Menerapkan ekstensi VM Key Vault ke Azure Cloud Services (dukungan perpanjangan)

  • Artikel

Artikel ini menyediakan informasi dasar tentang ekstensi Azure Key Vault VM untuk Windows dan menunjukkan kepada Anda cara mengaktifkannya di Azure Cloud Services.

Apa itu ekstensi VM Key Vault?

Ekstensi komputer virtual Key Vault menyediakan refresh otomatis untuk sertifikat yang disimpan di brankas kunci Azure. Secara khusus, ekstensi memonitor daftar sertifikat yang diamati yang disimpan dalam key vault. Ketika ekstensi mendeteksi perubahan, ekstensi mengambil dan menginstal sertifikat yang sesuai. Untuk informasi selengkapnya, lihat ekstensi VM Key Vault untuk Windows.

Apa yang baru dalam ekstensi VM Key Vault?

Ekstensi VM Key Vault sekarang didukung pada platform Azure Cloud Services (dukungan perpanjangan) untuk memungkinkan manajemen sertifikat secara menyeluruh. Ekstensi sekarang dapat menarik sertifikat dari brankas kunci yang dikonfigurasi pada interval polling yang telah ditentukan dan menginstalnya untuk digunakan layanan.

Bagaimana cara menggunakan ekstensi VM Key Vault?

Prosedur berikut ini akan menunjukkan kepada Anda cara menginstal ekstensi VM Key Vault di Azure Cloud Services dengan terlebih dahulu membuat sertifikat bootstrap di vault Anda untuk mendapatkan token dari Azure Active Directory (Azure AD). Token itu akan membantu dalam autentikasi ekstensi dengan vault. Setelah proses autentikasi disiapkan dan ekstensi diinstal, semua sertifikat terbaru akan ditarik ke bawah secara otomatis pada interval polling reguler.

Catatan

Ekstensi VM Key Vault mengunduh semua sertifikat di penyimpanan sertifikat Windows ke lokasi yang disediakan oleh certificateStoreLocation properti di pengaturan ekstensi VM. Saat ini, ekstensi VM Key Vault memberikan akses ke kunci privat sertifikat hanya ke akun admin sistem lokal.

Prasyarat

Untuk menggunakan ekstensi Azure Key Vault VM, Anda harus memiliki penyewa Azure AD. Untuk informasi selengkapnya, lihat Mulai Cepat: Menyiapkan penyewa.

Mengaktifkan ekstensi VM Azure Key Vault

  1. Buat sertifikat di vault Anda dan unduh file .cer untuk sertifikat tersebut.

  2. Di portal Azure, buka Pendaftaran aplikasi.

    Cuplikan layar sumber daya yang tersedia di portal Azure, termasuk pendaftaran aplikasi.

  3. Pada halaman Pendaftaran aplikasi , pilih Pendaftaran baru .

    Cuplikan layar yang memperlihatkan halaman untuk pendaftaran aplikasi di portal Azure.

  4. Pada halaman berikutnya, isi formulir dan lengkapi pembuatan aplikasi.

  5. Unggah file .cer sertifikat ke portal aplikasi Azure AD.

    Secara opsional, Anda dapat menggunakan fitur pemberitahuan Azure Event Grid untuk Key Vault mengunggah sertifikat.

  6. Berikan izin rahasia aplikasi Azure Active Directory di Key Vault:

    • Jika Anda menggunakan pratinjau kontrol akses berbasis peran (RBAC), cari nama aplikasi Azure AD yang Anda buat dan tetapkan ke peran Pengguna Rahasia Key Vault (pratinjau).
    • Jika Anda menggunakan kebijakan akses vault, tetapkan izin Secret-Get ke aplikasi Azure AD yang Anda buat. Untuk informasi selengkapnya, lihat Menetapkan kebijakan akses.

  7. Instal ekstensi Key Vault VM dengan menggunakan cuplikan templat Azure Resource Manager untuk cloudService sumber daya:

    {
    "osProfile":
    {
        "secrets":
        [
            {
                "sourceVault":
                {
                    "id": "[parameters('sourceVaultValue')]"
                },
                "vaultCertificates":
                [
                    {
                        "certificateUrl": "[parameters('bootstrpCertificateUrlValue')]"
                    }
                ]
            }
        ]
    },
    "extensionProfile":
    {
        "extensions":
        [
            {
                "name": "KVVMExtensionForPaaS",
                "properties":
                {
                    "type": "KeyVaultForPaaS",
                    "autoUpgradeMinorVersion": true,
                    "typeHandlerVersion": "1.0",
                    "publisher": "Microsoft.Azure.KeyVault",
                    "settings":
                    {
                        "secretsManagementSettings":
                        {
                            "pollingIntervalInS": "3600",
                            "certificateStoreName": "My",
                            "certificateStoreLocation": "LocalMachine",
                            "linkOnRenewal": false,
                            "requireInitialSync": false,
                            "observedCertificates": "[parameters('keyVaultObservedCertificates']"
                        },
                        "authenticationSettings":
                        {
                            "clientId": "Your AAD app ID",
                            "clientCertificateSubjectName": "Your boot strap certificate subject name [Do not include the 'CN=' in the subject name]"
                        }
                    }
                }
            }
        ]
    }
}

    Anda mungkin perlu menentukan penyimpanan sertifikat untuk sertifikat bootstrap di ServiceDefinition.csdef:

        <Certificates>
             <Certificate name="bootstrapcert" storeLocation="LocalMachine" storeName="My" />
    </Certificates>

Langkah berikutnya

Tingkatkan penyebaran Anda lebih lanjut dengan mengaktifkan pemantauan di Azure Cloud Services (dukungan yang diperluas).