Titkosítási tanúsítvány beállítása és titkos kódok titkosítása Windows-fürtökön

  • Cikk

Ez a cikk bemutatja, hogyan állíthat be egy titkosítási tanúsítványt, és hogyan titkosíthatja titkos kulcsokat Windows-fürtökön. Linux-fürtök esetén lásd: Titkosítási tanúsítvány beállítása és titkos kódok titkosítása Linux-fürtökön.

Az Azure Key Vault itt a tanúsítványok biztonságos tárolási helyeként és a tanúsítványok Azure-beli Service Fabric-fürtökön való telepítésének módjaként szolgál. Ha nem az Azure-ban végzi az üzembe helyezést, nem kell Key Vault használnia a titkos kódok kezeléséhez a Service Fabric-alkalmazásokban. A titkos kódok alkalmazásbeli használata azonban felhőalapú platformfüggetlen, amely lehetővé teszi az alkalmazások bárhol üzemeltetett fürtön való üzembe helyezését.

Adatfelfedési tanúsítvány beszerzése

Az adat-titkosítási tanúsítványokat szigorúan a szolgáltatás Settings.xml és környezeti változóiban lévő paraméterek titkosítására és visszafejtésére használják a szolgáltatás ServiceManifest.xml. Titkosítási szöveg hitelesítéséhez vagy aláírásához nem használatos. A tanúsítványnak meg kell felelnie a következő követelményeknek:

  • A tanúsítványnak tartalmaznia kell egy titkos kulcsot.

  • A tanúsítványt kulcscsere céljából kell létrehozni, amely egy személyes adatcsere (.pfx) fájlba exportálható.

  • A tanúsítványkulcs-használatnak tartalmaznia kell az adattovábbítást (10), és nem tartalmazhat kiszolgálóhitelesítést vagy ügyfél-hitelesítést.

    Ha például önaláírt tanúsítványt hoz létre a PowerShell használatával, a jelölőt a KeyUsage következő értékre DataEnciphermentkell állítani:

    New-SelfSignedCertificate -Type DocumentEncryptionCert -KeyUsage DataEncipherment -Subject mydataenciphermentcert -Provider 'Microsoft Enhanced Cryptographic Provider v1.0'

A tanúsítvány telepítése a fürtben

Ezt a tanúsítványt a fürt minden csomópontjára telepíteni kell. A telepítési utasításokért tekintse meg, hogyan hozhat létre fürtöt az Azure Resource Manager használatával.

Alkalmazás titkos kulcsának titkosítása

A titkos kód titkosításához a következő PowerShell-parancs használható. Ez a parancs csak az értéket titkosítja; nem írja alá a titkosító szöveget. A titkos értékek titkosításához ugyanazt a titkosítási tanúsítványt kell használnia, amelyet a fürtben telepített:

Invoke-ServiceFabricEncryptText -CertStore -CertThumbprint "<thumbprint>" -Text "mysecret" -StoreLocation CurrentUser -StoreName My

Az eredményül kapott base-64 kódolású sztring tartalmazza a titkos titkosítási szöveget, valamint a titkosításhoz használt tanúsítvány adatait is.

Következő lépések

Megtudhatja, hogyan adhatja meg a titkosított titkos kódokat az alkalmazásokban.