Szybki start: ustawianie i pobieranie certyfikatu z usługi Azure Key Vault przy użyciu programu Azure PowerShell
W tym przewodniku Szybki start utworzysz magazyn kluczy w usłudze Azure Key Vault przy użyciu programu Azure PowerShell. Azure Key Vault to usługa w chmurze, która działa jako bezpieczny magazyn wpisów tajnych. Możesz bezpiecznie przechowywać klucze, hasła, certyfikaty oraz inne wpisy tajne. Aby uzyskać więcej informacji na temat usługi Key Vault, możesz zapoznać się z omówieniem. Program Azure PowerShell służy do tworzenia zasobów platformy Azure i zarządzania nimi przy użyciu poleceń lub skryptów. Następnie należy przechowywać certyfikat.
Wymagania wstępne
Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.
- Jeśli zdecydujesz się używać programu Azure PowerShell lokalnie:
- Zainstaluj najnowszą wersję modułu Az programu PowerShell.
- Połącz się z kontem platformy Azure przy użyciu polecenia cmdlet Connect-AzAccount .
- Jeśli zdecydujesz się używać usługi Azure Cloud Shell:
- Aby uzyskać więcej informacji, zobacz Omówienie usługi Azure Cloud Shell .
Tworzenie grupy zasobów
Grupa zasobów to logiczny kontener przeznaczony do wdrażania zasobów platformy Azure i zarządzania nimi. Użyj polecenia cmdlet New-AzResourceGroup programu Azure PowerShell, aby utworzyć grupę zasobów o nazwie myResourceGroup w lokalizacji eastus.
New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"
Tworzenie magazynu kluczy
Użyj polecenia cmdlet New-AzKeyVault programu Azure PowerShell, aby utworzyć usługę Key Vault w grupie zasobów z poprzedniego kroku. Musisz podać kilka informacji:
Nazwa magazynu kluczy: ciąg zawierający od 3 do 24 znaków, który może zawierać tylko cyfry (0–9), litery (a-z, A-Z) i łączniki (-)
Ważne
Każdy magazyn kluczy musi mieć unikatową nazwę. Zastąp <ciąg your-unique-keyvault-name> nazwą magazynu kluczy w poniższych przykładach.
Nazwa grupy zasobów: myResourceGroup.
Lokalizacja: EastUS.
New-AzKeyVault -Name "<your-unique-keyvault-name>" -ResourceGroupName "myResourceGroup" -Location "EastUS"
Dane wyjściowe tego polecenia cmdlet pokazują właściwości nowo utworzonej usługi Key Vault. Zanotuj te dwie właściwości:
- Nazwa magazynu: nazwa podana do parametru -Name.
- Identyfikator URI magazynu: w tym przykładzie ten identyfikator URI jest https://< our-unique-keyvault-name.vault.azure.net/>. Aplikacje korzystające z magazynu za pomocą jego interfejsu API REST muszą używać tego identyfikatora URI.
Twoje konto platformy Azure jest teraz jedynym kontem z uprawnieniami do wykonywania jakichkolwiek operacji na tym nowym magazynie.
Nadawanie kontu użytkownika uprawnień do zarządzania certyfikatami w usłudze Key Vault
Aby uzyskać uprawnienia do magazynu kluczy za pomocą kontroli dostępu opartej na rolach (RBAC), przypisz rolę do głównej nazwy użytkownika (UPN) przy użyciu polecenia cmdlet programu Azure PowerShell New-AzRoleAssignment.
New-AzRoleAssignment -SignInName "<upn>" -RoleDefinitionName "Key Vault Certificate Officer" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"
Zastąp <wartości upn>, <subscription-id>, <resource-group-name> i <your-unique-keyvault-name> rzeczywistymi wartościami. Nazwa UPN będzie zwykle mieć format adresu e-mail (np. username@domain.com).
Dodawanie certyfikatu do usługi Key Vault
Aby teraz dodać certyfikat do magazynu. Ten certyfikat może być używany przez aplikację.
Użyj tych poleceń, aby utworzyć certyfikat z podpisem własnym z zasadami o nazwie ExampleCertificate :
$Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "Self" -ValidityInMonths 6 -ReuseKeyOnRenewal
Add-AzKeyVaultCertificate -VaultName "<your-unique-keyvault-name>" -Name "ExampleCertificate" -CertificatePolicy $Policy
Teraz możesz odwołać się do tego certyfikatu dodanego do usługi Azure Key Vault przy użyciu jego identyfikatora URI. Użyj polecenia https://<your-unique-keyvault-name>.vault.azure.net/certificates/ExampleCertificate, aby pobrać bieżącą wersję.
Aby wyświetlić wcześniej przechowywany certyfikat:
Get-AzKeyVaultCertificate -VaultName "<your-unique-keyvault-name>" -Name "ExampleCertificate"
Rozwiązywanie problemów:
Operacja zwróciła nieprawidłowy kod stanu "Zabronione"
Jeśli wystąpi ten błąd, konto, które uzyskuje dostęp do usługi Azure Key Vault, nie ma odpowiednich uprawnień do tworzenia certyfikatów.
Uruchom następujące polecenie programu Azure PowerShell, aby przypisać odpowiednie uprawnienia:
Set-AzKeyVaultAccessPolicy -VaultName <KeyVaultName> -ObjectId <AzureObjectID> -PermissionsToCertificates get,list,update,create
Czyszczenie zasobów
Inne przewodniki szybkiego startu i samouczki w tej kolekcji bazują na tym przewodniku. Jeśli planujesz korzystać z innych przewodników Szybki start i samouczków, pozostaw te zasoby na swoim miejscu.
Gdy grupa zasobów i wszystkie powiązane zasoby nie będą już potrzebne, możesz użyć polecenia cmdlet Remove-AzResourceGroup programu Azure PowerShell.
Remove-AzResourceGroup -Name "myResourceGroup"
Następne kroki
W tym przewodniku Szybki start utworzono usługę Key Vault i zapisano w niej certyfikat. Aby dowiedzieć się więcej na temat usługi Key Vault i sposobu jej integracji z aplikacjami, przejdź do poniższych artykułów.
- Przeczytaj omówienie usługi Azure Key Vault
- Zapoznaj się z dokumentacją poleceń cmdlet usługi Azure PowerShell Key Vault
- Przegląd zabezpieczeń usługi Key Vault