A Key Vault virtuálisgép-bővítmény alkalmazása az Azure Cloud Servicesre (kiterjesztett támogatás)
Ez a cikk alapvető információkat tartalmaz a WindowsHoz készült Azure Key Vault virtuálisgép-bővítményről, és bemutatja, hogyan engedélyezheti azt az Azure Cloud Servicesben.
Mi a Key Vault virtuálisgép-bővítmény?
A Key Vault virtuálisgép-bővítmény automatikusan frissíti az Azure Key Vaultban tárolt tanúsítványokat. A bővítmény a key vaultokban tárolt megfigyelt tanúsítványok listáját figyeli. Amikor a bővítmény változást észlel, lekéri és telepíti a megfelelő tanúsítványokat. További információt a Windows Key Vault virtuálisgép-bővítményében talál.
A Key Vault virtuálisgép-bővítmény újdonságai
A Key Vault virtuálisgép-bővítmény mostantól támogatott az Azure Cloud Services (kiterjesztett támogatás) platformon, hogy a tanúsítványok kezelése teljes körű legyen. A bővítmény mostantól lekérheti a tanúsítványokat egy konfigurált kulcstartóból egy előre meghatározott lekérdezési időközzel, és telepítheti őket a szolgáltatás használatához.
Hogyan használhatom a Key Vault virtuálisgép-bővítményt?
Az alábbi eljárás bemutatja, hogyan telepítheti a Key Vault virtuálisgép-bővítményt az Azure Cloud Servicesre úgy, hogy először létrehoz egy bootstrap-tanúsítványt a tárolóban, hogy jogkivonatot szerezzen be a Microsoft Entra-azonosítóból. Ez a jogkivonat segít a bővítménynek a tárolóval való hitelesítésében. A hitelesítési folyamat beállítása és a bővítmény telepítése után a rendszer automatikusan lekérte az összes legújabb tanúsítványt rendszeres lekérdezési időközönként.
Megjegyzés:
A Key Vault virtuálisgép-bővítmény letölti a Windows tanúsítványtároló összes tanúsítványát a tulajdonság által certificateStoreLocation
megadott helyre a virtuálisgép-bővítmény beállításai között. A Key Vault virtuálisgép-bővítmény jelenleg csak a helyi rendszer rendszergazdai fiókjához biztosít hozzáférést a tanúsítvány titkos kulcsához.
Előfeltételek
Az Azure Key Vault virtuálisgép-bővítmény használatához Rendelkeznie kell egy Microsoft Entra-bérlővel. További információ: Rövid útmutató: Bérlő beállítása.
Az Azure Key Vault virtuálisgép-bővítmény engedélyezése
Hozzon létre egy tanúsítványt a tárolóban, és töltse le a tanúsítványhoz tartozó .cer fájlt.
Az Azure Portalon nyissa meg a Alkalmazásregisztrációk.
A Alkalmazásregisztrációk lapon válassza az Új regisztráció lehetőséget.
A következő lapon töltse ki az űrlapot, és fejezze be az alkalmazás létrehozását.
Töltse fel a tanúsítvány .cer fájlját a Microsoft Entra alkalmazásportálra.
A Key Vault Azure Event Grid értesítési funkciójával is feltöltheti a tanúsítványt.
Adjon titkos engedélyeket a Microsoft Entra alkalmazásnak a Key Vaultban:
- Ha szerepköralapú hozzáférés-vezérlési (RBAC) előzetes verziót használ, keresse meg a létrehozott Microsoft Entra-alkalmazás nevét, és rendelje hozzá a Key Vault Titkos kulcsok felhasználója (előzetes verzió) szerepkörhöz.
- Ha tárolóelérési szabályzatokat használ, rendelje hozzá a Titkos kulcs lekérése engedélyeket a létrehozott Microsoft Entra alkalmazáshoz. További információ: Hozzáférési szabályzatok hozzárendelése.
Telepítse a Key Vault virtuálisgép-bővítményt az erőforrás Azure Resource Manager-sablonrészletének
cloudService
használatával:{ "osProfile": { "secrets": [ { "sourceVault": { "id": "[parameters('sourceVaultValue')]" }, "vaultCertificates": [ { "certificateUrl": "[parameters('bootstrpCertificateUrlValue')]" } ] } ] }, "extensionProfile": { "extensions": [ { "name": "KVVMExtensionForPaaS", "properties": { "type": "KeyVaultForPaaS", "autoUpgradeMinorVersion": true, "typeHandlerVersion": "1.0", "publisher": "Microsoft.Azure.KeyVault", "settings": { "secretsManagementSettings": { "pollingIntervalInS": "3600", "certificateStoreName": "My", "certificateStoreLocation": "LocalMachine", "linkOnRenewal": false, "requireInitialSync": false, "observedCertificates": "[parameters('keyVaultObservedCertificates']" }, "authenticationSettings": { "clientId": "Your AAD app ID", "clientCertificateSubjectName": "Your boot strap certificate subject name [Do not include the 'CN=' in the subject name]" } } } } ] } }
Előfordulhat, hogy meg kell adnia a tanúsítványtárolót a serviceDefinition.csdef rendszerindító tanúsítványához:
<Certificates> <Certificate name="bootstrapcert" storeLocation="LocalMachine" storeName="My" /> </Certificates>
Következő lépések
Tovább javíthatja az üzembe helyezést az Azure Cloud Services monitorozásának engedélyezésével (kiterjesztett támogatás).