Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
V tomto rychlém startu vytvoříte trezor klíčů ve službě Azure Key Vault pomocí Azure PowerShellu. Azure Key Vault je cloudová služba, která funguje jako zabezpečené úložiště tajných kódů. Můžete bezpečně ukládat klíče, hesla, certifikáty a další tajné klíče. Další informace o službě Key Vault najdete v tématu Přehled. Azure PowerShell slouží k vytváření a správě prostředků Azure pomocí příkazů nebo skriptů. Potom uložíte certifikát.
Požadavky
Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.
- Pokud se rozhodnete používat Azure PowerShell místně:
- Nainstalujte nejnovější verzi modulu Az PowerShell.
- Připojte se ke svému účtu Azure pomocí rutiny Connect-AzAccount .
- Pokud se rozhodnete použít Azure Cloud Shell:
- Další informace najdete v přehledu služby Azure Cloud Shell .
Vytvoření skupiny zdrojů
Skupina prostředků je logický kontejner, ve kterém se nasazují a spravují prostředky Azure. Pomocí rutiny Azure PowerShell New-AzResourceGroup vytvořte skupinu prostředků pojmenovanou myResourceGroup v lokalitě eastus.
New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"
Vytvořte trezor klíčů.
Pomocí rutiny Azure PowerShell New-AzKeyVault vytvořte trezor klíčů ve skupině prostředků z předchozího kroku. Potřebujete zadat některé informace:
Název trezoru klíčů: Řetězec 3 až 24 znaků, který může obsahovat pouze čísla (0–9), písmena (a-z, A-Z) a pomlčky (-)
Důležité
Každý trezor klíčů musí mít jedinečný název. Nahraďte
<vault-name>názvem trezoru klíčů v následujících příkladech.Název skupiny prostředků: "myResourceGroup"
Umístění: EastUS
New-AzKeyVault -Name "<vault-name>" -ResourceGroupName "myResourceGroup" -Location "EastUS" -EnableRbacAuthorization $true
Výstup této rutiny zobrazuje vlastnosti nově vytvořeného trezoru klíčů. Poznamenejte si tyto dvě vlastnosti:
- Název trezoru: Název, který jste zadali parametru -Name.
-
Identifikátor URI trezoru: V tomto příkladu je
https://<vault-name>.vault.azure.net/identifikátor URI trezoru . Aplikace, které používají váš trezor prostřednictvím REST API musí používat tento identifikátor URI.
V tuto chvíli je váš účet Azure jediným účtem s oprávněním provádět jakékoli operace s tímto novým trezorem.
Udělení oprávnění uživatelského účtu ke správě certifikátů ve službě Key Vault
Pokud chcete získat oprávnění k trezoru klíčů prostřednictvím řízení přístupu na základě role (RBAC), přiřaďte roli k hlavnímu názvu uživatele (UPN) pomocí rutiny Azure PowerShell New-AzRoleAssignment.
New-AzRoleAssignment -SignInName "<upn>" -RoleDefinitionName "Key Vault Certificates Officer" -Scope "/subscriptions/<subscription-id>/resourceGroups/myResourceGroup/providers/Microsoft.KeyVault/vaults/<vault-name>"
Nahraďte hodnoty <upn>, <subscription-id> a <vault-name> skutečnými hodnotami. Pokud jste použili jiný název skupiny prostředků, nahraďte také myResourceGroup. Váš UPN bude obvykle ve formátu e-mailové adresy (např. username@domain.com).
Přidání certifikátu do služby Key Vault
Nyní můžete přidat certifikát do trezoru. Tento certifikát může používat aplikace.
Pomocí těchto příkazů vytvořte certifikát podepsaný svým držitelem pomocí zásad s názvem ExampleCertificate :
$Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=<domain-name>" -IssuerName "Self" -ValidityInMonths 6 -ReuseKeyOnRenewal
Add-AzKeyVaultCertificate -VaultName "<vault-name>" -Name "ExampleCertificate" -CertificatePolicy $Policy
Teď můžete odkazovat na tento certifikát, který jste přidali do služby Azure Key Vault, pomocí jeho identifikátoru URI. Aktuální verzi získáte pomocí https://<vault-name>.vault.azure.net/certificates/ExampleCertificate.
Zobrazení dříve uloženého certifikátu:
Get-AzKeyVaultCertificate -VaultName "<vault-name>" -Name "ExampleCertificate"
Řešení potíží:
Operace vrátila neplatný stavový kód Zakázáno.
Pokud se zobrazí tato chyba, účet, který přistupuje ke službě Azure Key Vault, nemá správná oprávnění k vytváření certifikátů.
Spuštěním následujícího příkazu Azure PowerShellu přiřaďte správnou roli RBAC:
New-AzRoleAssignment -SignInName <user-principal-name> -RoleDefinitionName "Key Vault Certificates Officer" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.KeyVault/vaults/<vault-name>"
Vyčištění prostředků
Další rychlé starty a kurzy v této kolekci vycházejí z tohoto rychlého startu. Pokud chcete pokračovat v práci s dalšími rychlými úvody a kurzy, může se vám hodit tyto prostředky zachovat.
Pokud už ji nepotřebujete, můžete k odebrání skupiny prostředků a všech souvisejících prostředků použít rutinu Remove-AzResourceGroup Azure PowerShellu.
Remove-AzResourceGroup -Name "myResourceGroup"
Další kroky
V tomto rychlém startu jste vytvořili službu Key Vault a uložili jste do ní certifikát. Další informace o službě Key Vault a její integraci s vašimi aplikacemi najdete v následujících článcích.
- Přehled služby Azure Key Vault
- Informace o rutinách služby Azure PowerShell Key Vault najdete v referenčních informacích.
- Přehled zabezpečení služby Key Vault
- Kontrola osvědčených postupů zabezpečení specifických pro certifikáty