De Key Vault VM-extensie toepassen op Azure Cloud Services (uitgebreide ondersteuning)

Dit artikel bevat basisinformatie over de Azure Key Vault VM-extensie voor Windows en laat zien hoe u deze inschakelt in Azure Cloud Services.

Wat is de Key Vault VM-extensie?

De Key Vault VM-extensie biedt automatisch vernieuwen van certificaten die zijn opgeslagen in een Azure-sleutelkluis. De extensie bewaakt met name een lijst met geobserveerde certificaten die zijn opgeslagen in sleutelkluizen. Wanneer de extensie een wijziging detecteert, worden de bijbehorende certificaten opgehaald en geïnstalleerd. Zie Key Vault VM-extensie voor Windows voor meer informatie.

Wat is er nieuw in de Key Vault VM-extensie?

De Key Vault VM-extensie wordt nu ondersteund op het Azure Cloud Services-platform (uitgebreide ondersteuning) om het beheer van certificaten end-to-end mogelijk te maken. De extensie kan nu certificaten ophalen uit een geconfigureerde sleutelkluis met een vooraf gedefinieerd polling-interval en deze installeren voor gebruik door de service.

Hoe kan ik de Key Vault VM-extensie gebruiken?

In de volgende procedure ziet u hoe u de Key Vault VM-extensie installeert in Azure Cloud Services door eerst een bootstrap-certificaat in uw kluis te maken om een token op te halen uit Azure Active Directory (Azure AD). Dit token helpt bij de verificatie van de extensie met de kluis. Nadat het verificatieproces is ingesteld en de extensie is geïnstalleerd, worden alle meest recente certificaten automatisch opgehaald met regelmatige polling-intervallen.

Notitie

De Key Vault VM-extensie downloadt alle certificaten in het Windows-certificaatarchief naar de locatie die wordt opgegeven door de certificateStoreLocation eigenschap in de vm-extensie-instellingen. Momenteel verleent de Key Vault VM-extensie alleen toegang tot de persoonlijke sleutel van het certificaat aan het lokale systeembeheerdersaccount.

Vereisten

Als u de Azure Key Vault VM-extensie wilt gebruiken, hebt u een Azure AD-tenant nodig. Zie Quickstart: Een tenant instellen voor meer informatie.

De Azure Key Vault VM-extensie inschakelen

  1. Genereer een certificaat in uw kluis en download het CER-bestand voor dat certificaat.

  2. Ga in de Azure Portal naar App-registraties.

    Schermopname van resources die beschikbaar zijn in de Azure Portal, inclusief app-registraties.

  3. Selecteer nieuwe registratie op de pagina App-registraties.

    Schermopname van de pagina voor app-registraties in de Azure Portal.

  4. Vul op de volgende pagina het formulier in en voltooi het maken van de app.

  5. Upload het CER-bestand van het certificaat naar de Azure AD app-portal.

    U kunt desgewenst de meldingsfunctie Azure Event Grid voor Key Vault gebruiken om het certificaat te uploaden.

  6. Ververleent de Azure Active Directory-app-geheimmachtigingen in Key Vault:

    • Als u een preview-versie van op rollen gebaseerd toegangsbeheer (RBAC) gebruikt, zoekt u naar de naam van de Azure AD app die u hebt gemaakt en wijst u deze toe aan de rol Key Vault Geheimen-gebruiker (preview).
    • Als u toegangsbeleid voor de kluis gebruikt, wijst u machtigingen voor Secret-Get toe aan de Azure AD-app die u hebt gemaakt. Zie Toegangsbeleid toewijzen voor meer informatie.
  7. Installeer de Key Vault VM-extensie met behulp van het Azure Resource Manager-sjabloonfragment voor de cloudService resource:

    {
        "osProfile":
        {
            "secrets":
            [
                {
                    "sourceVault":
                    {
                        "id": "[parameters('sourceVaultValue')]"
                    },
                    "vaultCertificates":
                    [
                        {
                            "certificateUrl": "[parameters('bootstrpCertificateUrlValue')]"
                        }
                    ]
                }
            ]
        },
        "extensionProfile":
        {
            "extensions":
            [
                {
                    "name": "KVVMExtensionForPaaS",
                    "properties":
                    {
                        "type": "KeyVaultForPaaS",
                        "autoUpgradeMinorVersion": true,
                        "typeHandlerVersion": "1.0",
                        "publisher": "Microsoft.Azure.KeyVault",
                        "settings":
                        {
                            "secretsManagementSettings":
                            {
                                "pollingIntervalInS": "3600",
                                "certificateStoreName": "My",
                                "certificateStoreLocation": "LocalMachine",
                                "linkOnRenewal": false,
                                "requireInitialSync": false,
                                "observedCertificates": "[parameters('keyVaultObservedCertificates']"
                            },
                            "authenticationSettings":
                            {
                                "clientId": "Your AAD app ID",
                                "clientCertificateSubjectName": "Your boot strap certificate subject name [Do not include the 'CN=' in the subject name]"
                            }
                        }
                    }
                }
            ]
        }
    }
    

    Mogelijk moet u het certificaatarchief voor het bootstrap-certificaat opgeven in ServiceDefinition.csdef:

        <Certificates>
                 <Certificate name="bootstrapcert" storeLocation="LocalMachine" storeName="My" />
        </Certificates> 
    

Volgende stappen

Verbeter uw implementatie verder door bewaking in Te schakelen in Azure Cloud Services (uitgebreide ondersteuning).