Mulai cepat memperlihatkan cara mengatur dan mengambil sertifikat dari Azure Key Vault menggunakan Azure PowerShell

Dalam panduan cepat ini, Anda membuat brankas kunci di Azure Key Vault menggunakan Azure PowerShell. Azure Key Vault adalah layanan awan yang berfungsi sebagai penyimpanan rahasia yang aman. Anda dapat menyimpan kunci, kata sandi, sertifikat, dan rahasia lainnya dengan aman. Untuk informasi lebih lanjut tentang Key Vault, Anda dapat meninjau Gambaran Umum. Azure PowerShell digunakan untuk membuat dan mengelola sumber daya Azure menggunakan perintah atau skrip. Setelah itu, Anda menyimpan sertifikat.

Prasyarat

Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.

Buat grup sumber daya

Grup sumber daya adalah wadah logis yang dipergunakan untuk menerapkan dan mengelola sumber daya Azure. Gunakan cmdlet Azure PowerShell New-AzResourceGroup untuk membuat grup sumber daya bernama myResourceGroup di lokasi eastus.

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

Buat brankas kunci

Gunakan cmdlet New-AzKeyVault Azure PowerShell untuk membuat Key Vault di grup sumber daya dari langkah sebelumnya. Anda perlu memberikan beberapa informasi:

  • Nama brankas kunci: String yang terdiri dari 3 hingga 24 karakter yang hanya dapat berisi angka (0-9), huruf (a-z, A-Z), dan tanda hubung (-)

    Penting

    Setiap key vault harus memiliki nama yang unik. Ganti <vault-name> dengan nama brankas kunci Anda dalam contoh berikut.

  • Nama grup sumber daya: myResourceGroup

  • Lokasi: EastUS

New-AzKeyVault -Name "<vault-name>" -ResourceGroupName "myResourceGroup" -Location "EastUS" -EnableRbacAuthorization $true -EnablePurgeProtection

Nota

Proteksi penghapusan permanen merupakan praktik terbaik keamanan Key Vault.

Hasil dari cmdlet ini menunjukkan properti brankas kunci yang baru dibuat. Perhatikan dua properti ini:

  • Nama Vault: Nama yang Anda berikan ke parameter -Name.
  • URI vault: Dalam contoh ini, URI vault adalah https://<vault-name>.vault.azure.net/. Aplikasi yang menggunakan brankas Anda melalui REST API-nya harus menggunakan URI ini.

Pada titik ini, akun Azure Anda adalah satu-satunya yang berwenang untuk melakukan operasi apa pun di brankas baru ini.

Berikan izin akun pengguna Anda untuk mengelola sertifikat di Key Vault

Untuk mendapatkan izin ke brankas kunci Anda melalui Kontrol Akses Berbasis Peran (RBAC), tetapkan peran ke "Nama Prinsipal Pengguna" (UPN) Anda menggunakan cmdlet Azure PowerShell New-AzRoleAssignment.

New-AzRoleAssignment -SignInName "<upn>" -RoleDefinitionName "Key Vault Certificates Officer" -Scope "/subscriptions/<subscription-id>/resourceGroups/myResourceGroup/providers/Microsoft.KeyVault/vaults/<vault-name>"

Ganti <upn>, <subscription-id>, dan <vault-name> dengan nilai aktual Anda. Jika Anda menggunakan nama grup sumber daya yang berbeda, ganti "myResourceGroup" juga. UPN Anda biasanya akan dalam format alamat email (misalnya, username@domain.com).

Unggah sertifikat ke Key Vault

Sekarang Anda dapat menambahkan sertifikat ke vault. Sertifikat ini bisa digunakan oleh aplikasi.

Gunakan perintah ini untuk membuat sertifikat yang ditandatangani sendiri dengan kebijakan yang disebut ExampleCertificate :

Nota

Panduan memulai cepat ini membuat sertifikat yang ditandatangani sendiri untuk keperluan demonstrasi. Untuk beban kerja produksi, integrasikan Key Vault dengan otoritas sertifikat tepercaya. Lihat Sekuriti sertifikat Azure Key Vault Anda.

$Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=<domain-name>" -IssuerName "Self" -ValidityInMonths 6 -ReuseKeyOnRenewal

Add-AzKeyVaultCertificate -VaultName "<vault-name>" -Name "ExampleCertificate" -CertificatePolicy $Policy

Sekarang Anda dapat mereferensikan sertifikat yang Anda tambahkan ke Azure Key Vault dengan menggunakan URI-nya. Gunakan https://<vault-name>.vault.azure.net/certificates/ExampleCertificate untuk mendapatkan versi saat ini.

Untuk melihat sertifikat yang disimpan sebelumnya:

Get-AzKeyVaultCertificate -VaultName "<vault-name>" -Name "ExampleCertificate"

Pemecahan Masalah:

Operasi mengembalikan kode status tidak valid 'Terlarang'

Jika Anda menerima kesalahan ini, akun yang mengakses Azure Key Vault tidak memiliki izin yang tepat untuk membuat sertifikat.

Jalankan perintah Azure PowerShell berikut untuk menetapkan peran RBAC yang tepat:

New-AzRoleAssignment -SignInName <user-principal-name> -RoleDefinitionName "Key Vault Certificates Officer" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.KeyVault/vaults/<vault-name>"

Membersihkan sumber daya

Panduan cepat dan tutorial lain dalam koleksi ini dibangun berdasarkan panduan cepat ini. Jika Anda berencana untuk terus bekerja dengan quickstarts dan tutorial lainnya, Anda mungkin ingin membiarkan sumber daya ini tetap di tempatnya.

Jika tidak diperlukan lagi, Anda dapat menggunakan cmdlet Remove-AzResourceGroup Azure PowerShell untuk menghapus grup sumber daya dan semua sumber daya terkait.

Remove-AzResourceGroup -Name "myResourceGroup"

Nota

Menghapus grup sumber daya juga akan menghapus Key Vault, tetapi vault tersebut kemudian masuk ke status hapus sementara dan tetap dapat dipulihkan selama periode retensi (90 hari secara bawaan). Nama brankas tetap dicadangkan secara global selama periode tersebut, dan karena proteksi penghapusan permanen diaktifkan, brankas tidak dapat dihapus secara permanen lebih awal. Untuk Key Vault standar, Key Vault yang dihapus sementara tidak dikenakan biaya. Untuk informasi selengkapnya, lihat gambaran umum penghapusan sementara Key Vault.

Langkah berikutnya

Dalam panduan cepat ini, Anda membuat Key Vault dan menyimpan sertifikat di dalamnya. Untuk mempelajari selengkapnya tentang Key Vault dan cara mengintegrasikannya dengan aplikasi Anda, lihat artikel di bawah ini.

  • Last updated on