Titkos kulcsok és tanúsítványok automatikus betöltése Key Vault

App Configuration és Key Vault számos alkalmazásban egymás mellett használt kiegészítő szolgáltatások. App Configuration segítségével együtt használhatja a szolgáltatásokat azáltal, hogy olyan kulcsokat hoz létre a App Configuration tárolóban, amelyek Key Vault tárolt titkos kulcsokra vagy tanúsítványokra hivatkoznak. Mivel Key Vault titkos kulcsként tárolja a tanúsítvány nyilvános és titkos kulcspárját, az alkalmazás bármilyen tanúsítványt titkos kulcsként lekérhet Key Vault.

Jó biztonsági gyakorlatként a titkos kulcsokat és tanúsítványokat rendszeresen el kell forgatni. Miután elforgatta őket Key Vault, azt szeretné, hogy az alkalmazás vegye fel a legújabb titkos és tanúsítványértékeket. Ezt kétféleképpen érheti el az alkalmazás újraindítása nélkül:

• Frissítsen egy sentinel kulcs-értéket, hogy kiváltsa a teljes konfiguráció frissítését, és ezzel betöltse az összes Key Vault titkos kulcsot és tanúsítványt. További információ: Dinamikus konfiguráció használata ASP.NET Core alkalmazásokban.
• Bizonyos titkos kulcsokat és tanúsítványokat rendszeresen újra betölthet Key Vault.

Az első lehetőségnél frissítenie kell a sentinel kulcs-értéket App Configuration, amikor a titkos kulcsokat és tanúsítványokat Key Vault forgatja. Ez a módszer akkor működik jól, ha azonnal újra be szeretné terhelni a titkos kódokat és tanúsítványokat az alkalmazásban. Ha azonban a titkos kulcsok és tanúsítványok automatikusan elfordulnak Key Vault, az alkalmazás hibákat tapasztalhat, ha nem frissíti időben a sentinel kulcs-értékét. A második lehetőség lehetővé teszi a folyamat teljes automatizálását. Beállíthatja, hogy az alkalmazás újra betöltse a titkos kulcsokat és tanúsítványokat Key Vault a rotálás időpontjától számított elfogadható késleltetésen belül. Ez az oktatóanyag végigvezeti a második lehetőségen.

Előfeltételek

• Ez az oktatóanyag bemutatja, hogyan állíthatja be az alkalmazást úgy, hogy automatikusan újra betöltse a titkos kulcsokat és tanúsítványokat Key Vault. A kódban található Key Vault-hivatkozások implementálására szolgáló oktatóanyagra épül. A folytatás előtt először fejezze be az Oktatóanyag: Key Vault-hivatkozások használata ASP.NET Core alkalmazásban című részt.

• Microsoft.Azure.AppConfiguration.AspNetCore csomag v4.4.0 vagy újabb.

Automatikusan forgó tanúsítvány hozzáadása Key Vault

Kövesse az Oktatóanyag: Tanúsítvány automatikus rotálásának konfigurálása Key Vault című oktatóanyagot egy ExampleCertificate nevű automatikus rotációs tanúsítvány hozzáadásához az előző oktatóanyagban létrehozott Key Vault.

Hivatkozás hozzáadása a Key Vault tanúsítványhoz a App Configuration

1. A Azure Portal válassza a Minden erőforrás lehetőséget, majd válassza ki az előző oktatóanyagban létrehozott App Configuration store-példányt.

2. Válassza a Konfigurációkezelő lehetőséget.

3. Válassza a +Kulcstartó-referencialétrehozása> lehetőséget, majd adja meg a következő értékeket:

   • Kulcs: Válassza a TestApp:Settings:KeyVaultCertificate lehetőséget.
   • Címke: Hagyja üresen ezt az értéket.
   • Előfizetés, erőforráscsoport és kulcstartó: Adja meg az előző oktatóanyagban létrehozott Key Vault megfelelő értékeket.
   • Titkos kód: Válassza ki az előző szakaszban létrehozott ExampleCertificate nevű titkos kódot.
   • Titkos verzió: Legújabb verzió.

Megjegyzés

Ha egy adott verzióra hivatkozik, a titkos kód vagy a tanúsítvány újrabetöltése Key Vault mindig ugyanazt az értéket adja vissza.

Kód frissítése Key Vault titkos kódok és tanúsítványok újrabetöltéséhez

A Program.cs fájlban frissítse a AddAzureAppConfiguration metódust, hogy beállítson egy frissítési időközt a Key Vault tanúsítványhoz a SetSecretRefreshInterval metódus használatával. Ezzel a módosítással az alkalmazás 12 óránként újra betölti az ExampleCertificate nyilvános-titkos kulcspárt.

config.AddAzureAppConfiguration(options =>
{
    options.Connect(settings["ConnectionStrings:AppConfig"])
            .ConfigureKeyVault(kv =>
            {
                kv.SetCredential(new DefaultAzureCredential());
                kv.SetSecretRefreshInterval("TestApp:Settings:KeyVaultCertificate", TimeSpan.FromHours(12));
            });
});

A metódus első argumentuma SetSecretRefreshInterval a App Configuration Key Vault hivatkozásának kulcsa. Ez az argumentum nem kötelező. Ha a kulcsparaméter nincs megadva, a frissítési időköz az összes olyan titkos kódra és tanúsítványra érvényes lesz, amelyek nem rendelkeznek egyedi frissítési időközökkel.

A frissítési időköz azt határozza meg, hogy a titkos kulcsok és a tanúsítványok milyen gyakorisággal töltődjenek be újra Key Vault, függetlenül attól, hogy milyen változások történtek Key Vault vagy App Configuration értékein. Ha újra szeretné betölteni a titkos kulcsokat és tanúsítványokat, amikor azok értéke megváltozik App Configuration, a metódussal ConfigureRefresh monitorozhatja őket. További információ: Dinamikus konfiguráció használata ASP.NET Core alkalmazásokban.

Válassza ki a frissítési időközt az elfogadható késleltetésnek megfelelően, miután a titkos kódok és tanúsítványok frissültek Key Vault. A szabályozás elkerülése érdekében fontos figyelembe venni a Key Vault szolgáltatás korlátait is.

Az erőforrások eltávolítása

Ha nem szeretné tovább használni a cikkben létrehozott erőforrásokat, törölje az itt létrehozott erőforráscsoportot a díjak elkerülése érdekében.

Fontos

Az erőforráscsoport törlése nem vonható vissza. Az erőforráscsoport és a benne lévő összes erőforrás véglegesen törlődik. Győződjön meg arról, hogy nem véletlenül törli a helytelen erőforráscsoportot vagy erőforrásokat. Ha a cikk erőforrásait egy olyan erőforráscsoportban hozta létre, amely más megtartani kívánt erőforrásokat tartalmaz, törölje az egyes erőforrásokat a megfelelő panelről az erőforráscsoport törlése helyett.

1. Jelentkezzen be a Azure Portal, és válassza az Erőforráscsoportok lehetőséget.
2. A Szűrés név alapján mezőbe írja be az erőforráscsoport nevét.
3. Az eredménylistában válassza ki az erőforráscsoport nevét az áttekintés megtekintéséhez.
4. Válassza az Erőforráscsoport törlése elemet.
5. A rendszer az erőforráscsoport törlésének megerősítését kéri. Adja meg az erőforráscsoport nevét a megerősítéshez, majd válassza a Törlés lehetőséget.

Néhány pillanat múlva az erőforráscsoport és annak összes erőforrása törlődik.

Következő lépések

Ebben az oktatóanyagban megtanulta, hogyan állíthatja be az alkalmazást úgy, hogy automatikusan újra betöltse a titkos kulcsokat és tanúsítványokat Key Vault. A következő oktatóanyagból megtudhatja, hogyan használhatja a felügyelt identitást a App Configuration és Key Vault elérésének egyszerűsítésére.

Felügyelt identitás integrációja