Titkos kulcsok és tanúsítványok automatikus betöltése Key Vault
App Configuration és Key Vault számos alkalmazásban egymás mellett használt kiegészítő szolgáltatások. App Configuration segítségével együtt használhatja a szolgáltatásokat azáltal, hogy olyan kulcsokat hoz létre a App Configuration tárolóban, amelyek Key Vault tárolt titkos kulcsokra vagy tanúsítványokra hivatkoznak. Mivel Key Vault titkos kulcsként tárolja a tanúsítvány nyilvános és titkos kulcspárját, az alkalmazás bármilyen tanúsítványt titkos kulcsként lekérhet Key Vault.
Jó biztonsági gyakorlatként a titkos kulcsokat és tanúsítványokat rendszeresen el kell forgatni. Miután elforgatta őket Key Vault, azt szeretné, hogy az alkalmazás vegye fel a legújabb titkos és tanúsítványértékeket. Ezt kétféleképpen érheti el az alkalmazás újraindítása nélkül:
- Frissítsen egy sentinel kulcs-értéket, hogy kiváltsa a teljes konfiguráció frissítését, és ezzel betöltse az összes Key Vault titkos kulcsot és tanúsítványt. További információ: Dinamikus konfiguráció használata ASP.NET Core alkalmazásokban.
- Bizonyos titkos kulcsokat és tanúsítványokat rendszeresen újra betölthet Key Vault.
Az első lehetőségnél frissítenie kell a sentinel kulcs-értéket App Configuration, amikor a titkos kulcsokat és tanúsítványokat Key Vault forgatja. Ez a módszer akkor működik jól, ha azonnal újra be szeretné terhelni a titkos kódokat és tanúsítványokat az alkalmazásban. Ha azonban a titkos kulcsok és tanúsítványok automatikusan elfordulnak Key Vault, az alkalmazás hibákat tapasztalhat, ha nem frissíti időben a sentinel kulcs-értékét. A második lehetőség lehetővé teszi a folyamat teljes automatizálását. Beállíthatja, hogy az alkalmazás újra betöltse a titkos kulcsokat és tanúsítványokat Key Vault a rotálás időpontjától számított elfogadható késleltetésen belül. Ez az oktatóanyag végigvezeti a második lehetőségen.
Előfeltételek
Ez az oktatóanyag bemutatja, hogyan állíthatja be az alkalmazást úgy, hogy automatikusan újra betöltse a titkos kulcsokat és tanúsítványokat Key Vault. A kódban található Key Vault-hivatkozások implementálására szolgáló oktatóanyagra épül. A folytatás előtt először fejezze be az Oktatóanyag: Key Vault-hivatkozások használata ASP.NET Core alkalmazásban című részt.
Microsoft.Azure.AppConfiguration.AspNetCore csomag v4.4.0 vagy újabb.
Automatikusan forgó tanúsítvány hozzáadása Key Vault
Kövesse az Oktatóanyag: Tanúsítvány automatikus rotálásának konfigurálása Key Vault című oktatóanyagot egy ExampleCertificate nevű automatikus rotációs tanúsítvány hozzáadásához az előző oktatóanyagban létrehozott Key Vault.
Hivatkozás hozzáadása a Key Vault tanúsítványhoz a App Configuration
A Azure Portal válassza a Minden erőforrás lehetőséget, majd válassza ki az előző oktatóanyagban létrehozott App Configuration store-példányt.
Válassza a Konfigurációkezelő lehetőséget.
Válassza a +Kulcstartó-referencialétrehozása> lehetőséget, majd adja meg a következő értékeket:
- Kulcs: Válassza a TestApp:Settings:KeyVaultCertificate lehetőséget.
- Címke: Hagyja üresen ezt az értéket.
- Előfizetés, erőforráscsoport és kulcstartó: Adja meg az előző oktatóanyagban létrehozott Key Vault megfelelő értékeket.
- Titkos kód: Válassza ki az előző szakaszban létrehozott ExampleCertificate nevű titkos kódot.
- Titkos verzió: Legújabb verzió.
Megjegyzés
Ha egy adott verzióra hivatkozik, a titkos kód vagy a tanúsítvány újrabetöltése Key Vault mindig ugyanazt az értéket adja vissza.
Kód frissítése Key Vault titkos kódok és tanúsítványok újrabetöltéséhez
A Program.cs fájlban frissítse a AddAzureAppConfiguration
metódust, hogy beállítson egy frissítési időközt a Key Vault tanúsítványhoz a SetSecretRefreshInterval
metódus használatával. Ezzel a módosítással az alkalmazás 12 óránként újra betölti az ExampleCertificate nyilvános-titkos kulcspárt.
config.AddAzureAppConfiguration(options =>
{
options.Connect(settings["ConnectionStrings:AppConfig"])
.ConfigureKeyVault(kv =>
{
kv.SetCredential(new DefaultAzureCredential());
kv.SetSecretRefreshInterval("TestApp:Settings:KeyVaultCertificate", TimeSpan.FromHours(12));
});
});
A metódus első argumentuma SetSecretRefreshInterval
a App Configuration Key Vault hivatkozásának kulcsa. Ez az argumentum nem kötelező. Ha a kulcsparaméter nincs megadva, a frissítési időköz az összes olyan titkos kódra és tanúsítványra érvényes lesz, amelyek nem rendelkeznek egyedi frissítési időközökkel.
A frissítési időköz azt határozza meg, hogy a titkos kulcsok és a tanúsítványok milyen gyakorisággal töltődjenek be újra Key Vault, függetlenül attól, hogy milyen változások történtek Key Vault vagy App Configuration értékein. Ha újra szeretné betölteni a titkos kulcsokat és tanúsítványokat, amikor azok értéke megváltozik App Configuration, a metódussal ConfigureRefresh
monitorozhatja őket. További információ: Dinamikus konfiguráció használata ASP.NET Core alkalmazásokban.
Válassza ki a frissítési időközt az elfogadható késleltetésnek megfelelően, miután a titkos kódok és tanúsítványok frissültek Key Vault. A szabályozás elkerülése érdekében fontos figyelembe venni a Key Vault szolgáltatás korlátait is.
Az erőforrások eltávolítása
Ha nem szeretné tovább használni a cikkben létrehozott erőforrásokat, törölje az itt létrehozott erőforráscsoportot a díjak elkerülése érdekében.
Fontos
Az erőforráscsoport törlése nem vonható vissza. Az erőforráscsoport és a benne lévő összes erőforrás véglegesen törlődik. Győződjön meg arról, hogy nem véletlenül törli a helytelen erőforráscsoportot vagy erőforrásokat. Ha a cikk erőforrásait egy olyan erőforráscsoportban hozta létre, amely más megtartani kívánt erőforrásokat tartalmaz, törölje az egyes erőforrásokat a megfelelő panelről az erőforráscsoport törlése helyett.
- Jelentkezzen be a Azure Portal, és válassza az Erőforráscsoportok lehetőséget.
- A Szűrés név alapján mezőbe írja be az erőforráscsoport nevét.
- Az eredménylistában válassza ki az erőforráscsoport nevét az áttekintés megtekintéséhez.
- Válassza az Erőforráscsoport törlése elemet.
- A rendszer az erőforráscsoport törlésének megerősítését kéri. Adja meg az erőforráscsoport nevét a megerősítéshez, majd válassza a Törlés lehetőséget.
Néhány pillanat múlva az erőforráscsoport és annak összes erőforrása törlődik.
Következő lépések
Ebben az oktatóanyagban megtanulta, hogyan állíthatja be az alkalmazást úgy, hogy automatikusan újra betöltse a titkos kulcsokat és tanúsítványokat Key Vault. A következő oktatóanyagból megtudhatja, hogyan használhatja a felügyelt identitást a App Configuration és Key Vault elérésének egyszerűsítésére.