Mulai cepat: Pustaka klien sertifikat Azure Key Vault untuk .NET

Memulai dengan pustaka klien sertifikat Azure Key Vault untuk .NET. Azure Key Vault adalah layanan cloud yang memberikan penyimpanan aman untuk sertifikat. Anda dapat menyimpan kunci, kata sandi, sertifikat, dan rahasia lainnya dengan aman. Brankas kunci Azure dapat dibuat dan dikelola melalui portal Microsoft Azure. Dalam mulai cepat ini, Anda mempelajari cara membuat, mengambil, dan menghapus sertifikat dari brankas kunci Azure menggunakan pustaka klien .NET

Sumber daya pustaka klien Key Vault:

Dokumentasi referensi API | Kode sumber pustaka | Paket (NuGet)

Untuk informasi selengkapnya tentang Key Vault dan sertifikat, lihat:

• Gambaran Umum Key Vault
• Gambaran Umum Sertifikat.

Prasyarat

• Langganan Azure - buat satu secara gratis
• .NET 6 SDK atau yang lebih baru
• Azure CLI
• Key Vault - Anda dapat membuatnya menggunakan portal Microsoft Azure, Azure CLI, atau Azure PowerShell.

Mulai cepat ini menggunakan dotnet dan Azure CLI

Siapkan

Mulai cepat ini menggunakan pustaka Azure Identity dengan Azure CLI untuk autentikasi pengguna ke Azure Services. Pengembang juga dapat menggunakan Visual Studio atau Visual Studio Code untuk mengautentikasi panggilan mereka. Untuk informasi selengkapnya, lihat Mengautentikasi klien dengan pustaka klien Azure Identity.

Masuk ke Azure

1. Jalankan perintah login.

   az login
   

   Jika CLI dapat membuka browser default Anda, CLI akan melakukannya dan memuat halaman masuk Azure.

   Jika tidak, buka halaman browser di https://aka.ms/devicelogin dan masukkan kode otorisasi yang ditampilkan di terminal Anda.

2. Masuk menggunakan kredensial akun Anda di browser.

Memberikan akses ke brankas kunci Anda

Azure CLI

Untuk memberikan izin aplikasi Anda ke brankas kunci Anda melalui Kontrol Akses Berbasis Peran (RBAC), tetapkan peran menggunakan perintah Azure CLI az role assignment create.

az role assignment create --role "Key Vault Secrets User" --assignee "<app-id>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

Azure PowerShell

Untuk memberikan izin aplikasi Anda ke brankas kunci Anda melalui Kontrol Akses Berbasis Peran (RBAC), tetapkan peran menggunakan cmdlet Azure PowerShell New-AzRoleAssignment.

New-AzRoleAssignment -ObjectId "<app-id>" -RoleDefinitionName "Key Vault Secrets User" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

Ganti <app-id>, <subscription-id>, <resource-group-name> , dan <your-unique-keyvault-name> dengan nilai aktual Anda. <app-id> adalah ID Aplikasi (klien) dari aplikasi terdaftar Anda di Azure AD.

Buat aplikasi konsol .NET baru

1. Di shell perintah, jalankan perintah berikut untuk membuat proyek bernama key-vault-console-app:

   dotnet new console --name key-vault-console-app
   

2. Ubah ke direktori key-vault-console-app yang baru dibuat, dan jalankan perintah berikut untuk membuat proyek:

   dotnet build
   

   Output build tidak boleh berisi peringatan atau kesalahan.

   Build succeeded.
    0 Warning(s)
    0 Error(s)
   

Menginstal paket

Dari shell perintah, instal pustaka klien sertifikat Azure Key Vault untuk .NET:

dotnet add package Azure.Security.KeyVault.Certificates

Untuk mulai cepat ini, Anda juga harus menginstal pustaka klien Azure Identity:

dotnet add package Azure.Identity

Atur variabel lingkungan

Aplikasi ini menggunakan nama brankas kunci Anda sebagai variabel lingkungan yang disebut KEY_VAULT_NAME.

Windows

set KEY_VAULT_NAME=<your-key-vault-name>

Windows PowerShell

$Env:KEY_VAULT_NAME="<your-key-vault-name>"

macOS atau Linux

export KEY_VAULT_NAME=<your-key-vault-name>

Model objek

Pustaka klien sertifikat Azure Key Vault untuk .NET mengizinkan Anda mengelola sertifikat. Bagian Contoh kode menunjukkan cara membuat klien, mengatur sertifikat, mengambil sertifikat, dan menghapus sertifikat.

Contoh kode

Menambahkan instruksi

Tambahkan arahan berikut di bagian atas Program.cs:

using System;
using Azure.Identity;
using Azure.Security.KeyVault.Certificates;

Mengautentikasi dan membuat klien

Permintaan aplikasi ke sebagian besar layanan Azure harus diotorisasi. Menggunakan kelas DefaultAzureCredential yang disediakan oleh pustaka klien Azure Identity adalah pendekatan yang direkomendasikan untuk menerapkan koneksi tanpa kata sandi ke layanan Azure dalam kode Anda. DefaultAzureCredential mendukung beberapa metode autentikasi dan menentukan metode autentikasi yang harus digunakan saat runtime bahasa umum. Pendekatan ini memungkinkan aplikasi Anda menggunakan metode autentikasi yang berbeda di lingkungan yang berbeda (lokal vs. produksi) tanpa menerapkan kode spesifik per lingkungan.

Dalam mulai cepat ini, DefaultAzureCredential autentikasi ke brankas kunci menggunakan kredensial pengguna pengembangan lokal yang masuk ke Azure CLI. Saat aplikasi disebarkan ke Azure, kode yang sama DefaultAzureCredential dapat secara otomatis menemukan dan menggunakan identitas terkelola yang ditetapkan ke App Service, Komputer Virtual, atau layanan lainnya. Untuk informasi selengkapnya, lihat Gambaran Umum Identitas Terkelola.

Dalam contoh ini, nama brankas kunci Anda diperluas ke URI brankas kunci, dalam format https://<your-key-vault-name>.vault.azure.net. Untuk informasi selengkapnya tentang mengautentikasi ke brankas kunci, lihat Panduan Pengembang.

string keyVaultName = Environment.GetEnvironmentVariable("KEY_VAULT_NAME");
var kvUri = "https://" + keyVaultName + ".vault.azure.net";

var client = new CertificateClient(new Uri(kvUri), new DefaultAzureCredential());

Menyimpan sertifikat

Dalam contoh ini, untuk kesederhanaan, Anda dapat menggunakan sertifikat yang ditandatangani sendiri dengan kebijakan penerbitan default. Untuk tugas ini, gunakan metode StartCreateCertificateAsync. Parameter metode ini menerima nama sertifikat dan kebijakan sertifikat.

var operation = await client.StartCreateCertificateAsync("myCertificate", CertificatePolicy.Default);
var certificate = await operation.WaitForCompletionAsync();

Catatan

Jika ada nama sertifikat, kode di atas akan membuat versi baru sertifikat tersebut.

Mengambil sertifikat

Anda sekarang dapat mengambil sertifikat yang dibuat sebelumnya dengan metode GetCertificateAsync.

var certificate = await client.GetCertificateAsync("myCertificate");

Hapus sertifikat

Terakhir, mari hapus dan bersihkan sertifikat dari brankas kunci Anda dengan metode StartDeleteCertificateAsync dan PurgeDeletedCertificateAsync.

var operation = await client.StartDeleteCertificateAsync("myCertificate");

// You only need to wait for completion if you want to purge or recover the certificate.
await operation.WaitForCompletionAsync();

var certificate = operation.Value;
await client.PurgeDeletedCertificateAsync("myCertificate");

Kode Sampel

Ubah aplikasi konsol .NET untuk berinteraksi dengan Key Vault dengan menyelesaikan langkah-langkah berikut:

• Ganti kode di Program.cs dengan kode berikut:

  using System;
  using System.Threading.Tasks;
  using Azure.Identity;
  using Azure.Security.KeyVault.Certificates;
  
  namespace key_vault_console_app
  {
      class Program
      {
          static async Task Main(string[] args)
          {
              const string certificateName = "myCertificate";
              var keyVaultName = Environment.GetEnvironmentVariable("KEY_VAULT_NAME");
              var kvUri = $"https://{keyVaultName}.vault.azure.net";
  
              var client = new CertificateClient(new Uri(kvUri), new DefaultAzureCredential());
  
              Console.Write($"Creating a certificate in {keyVaultName} called '{certificateName}' ...");
              CertificateOperation operation = await client.StartCreateCertificateAsync(certificateName, CertificatePolicy.Default);
              await operation.WaitForCompletionAsync();
              Console.WriteLine(" done.");
  
              Console.WriteLine($"Retrieving your certificate from {keyVaultName}.");
              var certificate = await client.GetCertificateAsync(certificateName);
              Console.WriteLine($"Your certificate version is '{certificate.Value.Properties.Version}'.");
  
              Console.Write($"Deleting your certificate from {keyVaultName} ...");
              DeleteCertificateOperation deleteOperation = await client.StartDeleteCertificateAsync(certificateName);
              // You only need to wait for completion if you want to purge or recover the certificate.
              await deleteOperation.WaitForCompletionAsync();
              Console.WriteLine(" done.");
  
              Console.Write($"Purging your certificate from {keyVaultName} ...");
              await client.PurgeDeletedCertificateAsync(certificateName);
              Console.WriteLine(" done.");
          }
      }
  }
  

Menguji dan memverifikasi

Jalankan perintah berikut untuk membangun proyek

dotnet build

Variasi output berikut akan muncul:

Creating a certificate in mykeyvault called 'myCertificate' ... done.
Retrieving your certificate from mykeyvault.
Your certificate version is '8532359bced24e4bb2525f2d2050738a'.
Deleting your certificate from mykeyvault ... done
Purging your certificate from mykeyvault ... done

Langkah berikutnya

Dalam mulai cepat ini, Anda membuat brankas kunci, menyimpan sertifikat, dan mengambil kembali sertifikat tersebut.

Untuk mempelajari selengkapnya tentang Key Vault dan cara mengintegrasikannya dengan aplikasi Anda, lihat artikel berikut:

• Baca Gambaran Umum Azure Key Vault
• Baca Gambaran umum sertifikat
• Lihat Access Key Vault dari Tutorial Aplikasi App Service
• Lihat Akses Key Vault dari Tutorial Komputer Virtual
• Lihat Panduan pengembang Azure Key Vault
• Tinjau Ringkasan keamanan Azure Key Vault