Titkosítási tanúsítvány beállítása és titkos kódok titkosítása Windows-fürtökön
Ez a cikk bemutatja, hogyan állíthat be egy titkosítási tanúsítványt, és hogyan titkosíthatja titkos kulcsokat Windows-fürtökön. Linux-fürtök esetén lásd: Titkosítási tanúsítvány beállítása és titkos kódok titkosítása Linux-fürtökön.
Az Azure Key Vault itt a tanúsítványok biztonságos tárolási helyeként és a tanúsítványok Azure-beli Service Fabric-fürtökön való telepítésének módjaként szolgál. Ha nem az Azure-ban végzi az üzembe helyezést, nem kell Key Vault használnia a titkos kódok kezeléséhez a Service Fabric-alkalmazásokban. A titkos kódok alkalmazásbeli használata azonban felhőalapú platformfüggetlen, amely lehetővé teszi az alkalmazások bárhol üzemeltetett fürtön való üzembe helyezését.
Adatfelfedési tanúsítvány beszerzése
Az adat-titkosítási tanúsítványokat szigorúan a szolgáltatás Settings.xml és környezeti változóiban lévő paraméterek titkosítására és visszafejtésére használják a szolgáltatás ServiceManifest.xml. Titkosítási szöveg hitelesítéséhez vagy aláírásához nem használatos. A tanúsítványnak meg kell felelnie a következő követelményeknek:
A tanúsítványnak tartalmaznia kell egy titkos kulcsot.
A tanúsítványt kulcscsere céljából kell létrehozni, amely egy személyes adatcsere (.pfx) fájlba exportálható.
A tanúsítványkulcs-használatnak tartalmaznia kell az adattovábbítást (10), és nem tartalmazhat kiszolgálóhitelesítést vagy ügyfél-hitelesítést.
Ha például önaláírt tanúsítványt hoz létre a PowerShell használatával, a jelölőt a
KeyUsage
következő értékreDataEncipherment
kell állítani:New-SelfSignedCertificate -Type DocumentEncryptionCert -KeyUsage DataEncipherment -Subject mydataenciphermentcert -Provider 'Microsoft Enhanced Cryptographic Provider v1.0'
A tanúsítvány telepítése a fürtben
Ezt a tanúsítványt a fürt minden csomópontjára telepíteni kell. A telepítési utasításokért tekintse meg, hogyan hozhat létre fürtöt az Azure Resource Manager használatával.
Alkalmazás titkos kulcsának titkosítása
A titkos kód titkosításához a következő PowerShell-parancs használható. Ez a parancs csak az értéket titkosítja; nem írja alá a titkosító szöveget. A titkos értékek titkosításához ugyanazt a titkosítási tanúsítványt kell használnia, amelyet a fürtben telepített:
Invoke-ServiceFabricEncryptText -CertStore -CertThumbprint "<thumbprint>" -Text "mysecret" -StoreLocation CurrentUser -StoreName My
Az eredményül kapott base-64 kódolású sztring tartalmazza a titkos titkosítási szöveget, valamint a titkosításhoz használt tanúsítvány adatait is.
Következő lépések
Megtudhatja, hogyan adhatja meg a titkosított titkos kódokat az alkalmazásokban.