A Key Vault virtuálisgép-bővítmény alkalmazása az Azure Cloud Servicesre (kiterjesztett támogatás)

  • Cikk

Ez a cikk alapvető információkat tartalmaz a WindowsHoz készült Azure Key Vault virtuálisgép-bővítményről, és bemutatja, hogyan engedélyezheti azt az Azure Cloud Servicesben.

Mi a Key Vault virtuálisgép-bővítmény?

A Key Vault virtuálisgép-bővítmény automatikusan frissíti az Azure Key Vaultban tárolt tanúsítványokat. A bővítmény a key vaultokban tárolt megfigyelt tanúsítványok listáját figyeli. Amikor a bővítmény változást észlel, lekéri és telepíti a megfelelő tanúsítványokat. További információt a Windows Key Vault virtuálisgép-bővítményében talál.

A Key Vault virtuálisgép-bővítmény újdonságai

A Key Vault virtuálisgép-bővítmény mostantól támogatott az Azure Cloud Services (kiterjesztett támogatás) platformon, hogy a tanúsítványok kezelése teljes körű legyen. A bővítmény mostantól lekérheti a tanúsítványokat egy konfigurált kulcstartóból egy előre meghatározott lekérdezési időközzel, és telepítheti őket a szolgáltatás használatához.

Hogyan használhatom a Key Vault virtuálisgép-bővítményt?

Az alábbi eljárás bemutatja, hogyan telepítheti a Key Vault virtuálisgép-bővítményt az Azure Cloud Servicesre úgy, hogy először létrehoz egy bootstrap-tanúsítványt a tárolóban, hogy jogkivonatot szerezzen be a Microsoft Entra-azonosítóból. Ez a jogkivonat segít a bővítménynek a tárolóval való hitelesítésében. A hitelesítési folyamat beállítása és a bővítmény telepítése után a rendszer automatikusan lekérte az összes legújabb tanúsítványt rendszeres lekérdezési időközönként.

Megjegyzés:

A Key Vault virtuálisgép-bővítmény letölti a Windows tanúsítványtároló összes tanúsítványát a tulajdonság által certificateStoreLocation megadott helyre a virtuálisgép-bővítmény beállításai között. A Key Vault virtuálisgép-bővítmény jelenleg csak a helyi rendszer rendszergazdai fiókjához biztosít hozzáférést a tanúsítvány titkos kulcsához.

Előfeltételek

Az Azure Key Vault virtuálisgép-bővítmény használatához Rendelkeznie kell egy Microsoft Entra-bérlővel. További információ: Rövid útmutató: Bérlő beállítása.

Az Azure Key Vault virtuálisgép-bővítmény engedélyezése

  1. Hozzon létre egy tanúsítványt a tárolóban, és töltse le a tanúsítványhoz tartozó .cer fájlt.

  2. Az Azure Portalon nyissa meg a Alkalmazásregisztrációk.

    Screenshot of resources available in the Azure portal, including app registrations.

  3. A Alkalmazásregisztrációk lapon válassza az Új regisztráció lehetőséget.

    Screenshot that shows the page for app registrations in the Azure portal.

  4. A következő lapon töltse ki az űrlapot, és fejezze be az alkalmazás létrehozását.

  5. Töltse fel a tanúsítvány .cer fájlját a Microsoft Entra alkalmazásportálra.

    A Key Vault Azure Event Grid értesítési funkciójával is feltöltheti a tanúsítványt.

  6. Adjon titkos engedélyeket a Microsoft Entra alkalmazásnak a Key Vaultban:

    • Ha szerepköralapú hozzáférés-vezérlési (RBAC) előzetes verziót használ, keresse meg a létrehozott Microsoft Entra-alkalmazás nevét, és rendelje hozzá a Key Vault Titkos kulcsok felhasználója (előzetes verzió) szerepkörhöz.
    • Ha tárolóelérési szabályzatokat használ, rendelje hozzá a Titkos kulcs lekérése engedélyeket a létrehozott Microsoft Entra alkalmazáshoz. További információ: Hozzáférési szabályzatok hozzárendelése.

  7. Telepítse a Key Vault virtuálisgép-bővítményt az erőforrás Azure Resource Manager-sablonrészletének cloudService használatával:

    {
    "osProfile":
    {
        "secrets":
        [
            {
                "sourceVault":
                {
                    "id": "[parameters('sourceVaultValue')]"
                },
                "vaultCertificates":
                [
                    {
                        "certificateUrl": "[parameters('bootstrpCertificateUrlValue')]"
                    }
                ]
            }
        ]
    },
    "extensionProfile":
    {
        "extensions":
        [
            {
                "name": "KVVMExtensionForPaaS",
                "properties":
                {
                    "type": "KeyVaultForPaaS",
                    "autoUpgradeMinorVersion": true,
                    "typeHandlerVersion": "1.0",
                    "publisher": "Microsoft.Azure.KeyVault",
                    "settings":
                    {
                        "secretsManagementSettings":
                        {
                            "pollingIntervalInS": "3600",
                            "certificateStoreName": "My",
                            "certificateStoreLocation": "LocalMachine",
                            "linkOnRenewal": false,
                            "requireInitialSync": false,
                            "observedCertificates": "[parameters('keyVaultObservedCertificates']"
                        },
                        "authenticationSettings":
                        {
                            "clientId": "Your AAD app ID",
                            "clientCertificateSubjectName": "Your boot strap certificate subject name [Do not include the 'CN=' in the subject name]"
                        }
                    }
                }
            }
        ]
    }
}

    Előfordulhat, hogy meg kell adnia a tanúsítványtárolót a serviceDefinition.csdef rendszerindító tanúsítványához:

        <Certificates>
             <Certificate name="bootstrapcert" storeLocation="LocalMachine" storeName="My" />
    </Certificates>

Következő lépések

Tovább javíthatja az üzembe helyezést az Azure Cloud Services monitorozásának engedélyezésével (kiterjesztett támogatás).