Rozszerzenie maszyny wirtualnej usługi Azure Key Vault dla systemu Windows

Rozszerzenie maszyny wirtualnej usługi Azure Key Vault zapewnia automatyczne odświeżanie certyfikatów przechowywanych w magazynie kluczy platformy Azure. Rozszerzenie monitoruje listę obserwowanych certyfikatów przechowywanych w magazynach kluczy. Po wykryciu zmiany rozszerzenie pobiera i instaluje odpowiednie certyfikaty. W tym artykule opisano obsługiwane platformy, konfiguracje i opcje wdrażania rozszerzenia maszyny wirtualnej usługi Key Vault dla systemu Windows.

Systemy operacyjne

Rozszerzenie maszyny wirtualnej usługi Key Vault obsługuje system Windows Server 2019 lub nowszy. Rozszerzenie maszyny wirtualnej Key Vault jest również obsługiwane na niestandardowej lokalnej maszynie wirtualnej. Maszyna wirtualna powinna zostać przekazana i przekonwertowana na wyspecjalizowany obraz do użycia na platformie Azure przy użyciu instalacji podstawowej systemu Windows Server 2019.

Obsługiwane certyfikaty

Rozszerzenie maszyny wirtualnej usługi Key Vault obsługuje następujące typy zawartości certyfikatów:

• PKCS #12
• PEM

Uwaga

Rozszerzenie maszyny wirtualnej usługi Key Vault pobiera wszystkie certyfikaty do magazynu certyfikatów systemu Windows lub do lokalizacji określonej we właściwości w certificateStoreLocation ustawieniach rozszerzenia maszyny wirtualnej.

Funkcje

Rozszerzenie maszyny wirtualnej usługi Key Vault dla systemu Windows w wersji 3.0 obsługuje:

• Dodaj uprawnienia ACL do pobranych certyfikatów
• Włącz konfigurację magazynu certyfikatów dla każdego certyfikatu
• Eksportowanie kluczy prywatnych
• Obsługa ponownego powiązania certyfikatu IIS

Wymagania wstępne

Zapoznaj się z następującymi wymaganiami wstępnymi dotyczącymi używania rozszerzenia maszyny wirtualnej usługi Key Vault dla systemu Windows:

• Instancja Azure Key Vault z certyfikatem. Aby uzyskać więcej informacji, zobacz Tworzenie magazynu kluczy przy użyciu portalu Azure.

• Maszyna wirtualna z przypisaną tożsamością zarządzaną.

• Rola Użytkownika tajemnic usługi Key Vault musi być przypisana na poziomie zakresu Key Vault dla maszyn wirtualnych i zarządzanej tożsamości w usługach Azure Virtual Machine Scale Sets. Ta rola pobiera część tajemnicy certyfikatu. Aby uzyskać więcej informacji, zobacz następujące artykuły:

  • Uwierzytelnianie w usłudze Azure Key Vault
  • Używanie uprawnień wpisów tajnych, klucza i certyfikatu w ramach RBAC w usłudze Azure Key Vault
  • Przypisanie roli w zakresie Key Vault

• Zestawy skalowania maszyn wirtualnych powinny mieć następującą identity konfigurację:

  "identity": {
     "type": "UserAssigned",
     "userAssignedIdentities": {
        "[parameters('userAssignedIdentityResourceId')]": {}
     }
  }
  

• Rozszerzenie maszyny wirtualnej usługi Key Vault powinno mieć następującą authenticationSettings konfigurację:

  "authenticationSettings": {
      "msiEndpoint": "[parameters('userAssignedIdentityEndpoint')]",
      "msiClientId": "[reference(parameters('userAssignedIdentityResourceId'), variables('msiApiVersion')).clientId]"
  }
  

Uwaga

Stary model uprawnień zasad dostępu może również służyć do zapewnienia dostępu do maszyn wirtualnych i zestawów skalowania maszyn wirtualnych. Ta metoda wymaga polityki z uprawnieniami pobierania i wyświetlania listy dotyczącej tajemnic. Aby uzyskać więcej informacji, zobacz Przypisywanie zasad dostępu do usługi Key Vault.

Schemat rozszerzenia

Poniższy kod JSON przedstawia schemat rozszerzenia maszyny wirtualnej usługi Key Vault. Przed rozważenie opcji implementacji schematu zapoznaj się z następującymi ważnymi uwagami.

• Rozszerzenie nie wymaga ustawień chronionych. Wszystkie ustawienia są uznawane za informacje publiczne.

• Obserwowane adresy URL certyfikatów powinny mieć postać https://myVaultName.vault.azure.net/secrets/myCertName.

  Ten formularz jest preferowany, ponieważ /secrets ścieżka zwraca pełny certyfikat, w tym klucz prywatny, ale /certificates ścieżka nie. Aby uzyskać więcej informacji na temat certyfikatów, zobacz Omówienie kluczy, wpisów tajnych i certyfikatów usługi Azure Key Vault.

• Właściwość authenticationSettings jest wymagana dla maszyn wirtualnych z dowolnymi tożsamościami przypisanymi przez użytkownika.

  Ta właściwość określa tożsamość, która ma być używana do uwierzytelniania w usłudze Key Vault. Zdefiniuj tę właściwość przy użyciu tożsamości przypisanej przez system, aby uniknąć problemów z rozszerzeniem maszyny wirtualnej z wieloma tożsamościami.

{
   "type": "Microsoft.Compute/virtualMachines/extensions",
   "name": "KVVMExtensionForWindows",
   "apiVersion": "2022-08-01",
   "location": "<location>",
   "dependsOn": [
      "[concat('Microsoft.Compute/virtualMachines/', <vmName>)]"
   ],
   "properties": {
      "publisher": "Microsoft.Azure.KeyVault",
      "type": "KeyVaultForWindows",
      "typeHandlerVersion": "3.0",
      "autoUpgradeMinorVersion": true,
      "settings": {
         "secretsManagementSettings": {
             "pollingIntervalInS": <A string that specifies the polling interval in seconds. Example: "3600">,
             "linkOnRenewal": <Windows only. Ensures s-channel binding when the certificate renews without necessitating redeployment. Example: true>,
             "requireInitialSync": <Initial synchronization of certificates. Example: true>,
             "observedCertificates": <An array of KeyVault URIs that represent monitored certificates, including certificate store location and ACL permission to certificate private key. Example: 
             [
                {
                    "url": <A Key Vault URI to the secret portion of the certificate. Example: "https://myvault.vault.azure.net/secrets/mycertificate1">,
                    "certificateStoreName": <The certificate store name. Example: "MY">,
                    "certificateStoreLocation": <The certificate store location, which currently works locally only. Example: "LocalMachine">,
                    "accounts": <Optional. An array of preferred accounts with read access to certificate private keys. Administrators and SYSTEM get Full Control by default. Example: ["Network Service", "Local Service"]>
                },
                {
                    "url": <Example: "https://myvault.vault.azure.net/secrets/mycertificate2">,
                    "certificateStoreName": <Example: "MY">,
                    "certificateStoreLocation": <Example: "CurrentUser">,
                    "keyExportable": <Optional. Lets the private key be exportable. Example: "false">,
                    "accounts": <Example: ["Local Service"]>
                }
             ]>
         },
         "authenticationSettings": {
             "msiEndpoint":  <Required when the msiClientId property is used. Specifies the MSI endpoint. Example for most Azure VMs: "http://169.254.169.254/metadata/identity/oauth2/token">,
             "msiClientId":  <Required when the VM has any user assigned identities. Specifies the MSI identity. Example:  "00001111-aaaa-2222-bbbb-3333cccc4444">
         }
      }
   }
}

Wartości właściwości

Schemat JSON zawiera następujące właściwości.

Nazwa	Wartość/przykład	Typ danych
apiVersion	2022-08-01	termin
publisher	Microsoft.Azure.KeyVault	sznurek
type	KeyVaultForWindows	sznurek
typeHandlerVersion	"3.0"	sznurek
pollingIntervalInS	"3600"	sznurek
linkOnRenewal (opcjonalny)	prawda	typ logiczny (boolowski)
requireInitialSync (opcjonalny)	fałszywy	typ logiczny (boolowski)
observedCertificates	[{...}, {...}]	tablica ciągów
observedCertificates/url	"https://myvault.vault.azure.net/secrets/mycertificate"	sznurek
observedCertificates/certificateStoreName	moje	sznurek
observedCertificates/certificateStoreLocation	LocalMachine lub CurrentUser (uwzględniana wielkość liter)	sznurek
observedCertificates/keyExportable (opcjonalny)	fałszywy	typ logiczny (boolowski)
observedCertificates/accounts (opcjonalny)	["Usługa sieciowa", "Usługa lokalna"]	tablica ciągów
msiEndpoint	"http://169.254.169.254/metadata/identity/oauth2/token"	sznurek
msiClientId	00001111-aaaa-2222-bbbb-3333cccc44444	sznurek

Wdrażanie szablonu

Rozszerzenia maszyn wirtualnych platformy Azure można wdrażać za pomocą szablonów usługi Azure Resource Manager (ARM). Szablony są idealne podczas wdrażania co najmniej jednej maszyny wirtualnej, które wymagają po wdrożeniu odświeżania certyfikatów. Rozszerzenie można wdrożyć na poszczególnych maszynach wirtualnych lub wystąpieniach usługi Virtual Machine Scale Sets. Schemat i konfiguracja są wspólne dla obu typów szablonów.

Konfiguracja JSON rozszerzenia skarbca kluczy jest zagnieżdżona wewnątrz szablonu maszyny wirtualnej lub zestawów skalowania maszyn wirtualnych. W przypadku rozszerzenia zasobu maszyny wirtualnej konfiguracja jest zagnieżdżona pod obiektem "resources": [] maszyny wirtualnej. W przypadku rozszerzenia wystąpienia usługi Virtual Machine Scale Sets konfiguracja jest zagnieżdżona pod obiektem "virtualMachineProfile":"extensionProfile":{"extensions" :[] .

Poniższe fragmenty kodu JSON zawierają przykładowe ustawienia wdrożenia szablonu usługi ARM rozszerzenia maszyny wirtualnej usługi Key Vault.

{
   "type": "Microsoft.Compute/virtualMachines/extensions",
   "name": "KeyVaultForWindows",
   "apiVersion": "2022-08-01",
   "location": "<location>",
   "dependsOn": [
      "[concat('Microsoft.Compute/virtualMachines/', <vmName>)]"
   ],
   "properties": {
      "publisher": "Microsoft.Azure.KeyVault",
      "type": "KeyVaultForWindows",
      "typeHandlerVersion": "3.0",
      "autoUpgradeMinorVersion": true,
      "settings": {
         "secretsManagementSettings": {
             "pollingIntervalInS": <A string that specifies the polling interval in seconds. Example: "3600">,
             "linkOnRenewal": <Windows only. Ensures s-channel binding when the certificate renews without necessitating redeployment. Example: true>,
             "observedCertificates": <An array of KeyVault URIs that represent monitored certificates, including certificate store location and ACL permission to certificate private key. Example:
             [
                {
                    "url": <A Key Vault URI to the secret portion of the certificate. Example: "https://myvault.vault.azure.net/secrets/mycertificate1">,
                    "certificateStoreName": <The certificate store name. Example: "MY">,
                    "certificateStoreLocation": <The certificate store location, which currently works locally only. Example: "LocalMachine">,
                    "accounts": <Optional. An array of preferred accounts with read access to certificate private keys. Administrators and SYSTEM get Full Control by default. Example: ["Network Service", "Local Service"]>
                },
                {
                    "url": <Example: "https://myvault.vault.azure.net/secrets/mycertificate2">,
                    "certificateStoreName": <Example: "MY">,
                    "certificateStoreLocation": <Example: "CurrentUser">,
                    "keyExportable": <Optional. Lets the private key be exportable. Example: "false">,
                    "accounts": <Example: ["Local Service"]>
                },
                {
                    "url": <Example: "https://myvault.vault.azure.net/secrets/mycertificate3">,
                    "certificateStoreName": <Example: "TrustedPeople">,
                    "certificateStoreLocation": <Example: "LocalMachine">
                }
             ]>           
         },
         "authenticationSettings": {
            "msiEndpoint":  <Required when the msiClientId property is used. Specifies the MSI endpoint. Example for most Azure VMs: "http://169.254.169.254/metadata/identity/oauth2/token">,
            "msiClientId":  <Required when the VM has any user assigned identities. Specifies the MSI identity. Example: "00001111-aaaa-2222-bbbb-3333cccc4444">
         }
      }
   }
}

Porządkowanie zależności rozszerzeń

Możesz włączyć rozszerzenie maszyny wirtualnej Key Vault, aby obsługiwać kolejność zależności rozszerzeń. Domyślnie rozszerzenie VM Key Vault zgłasza pomyślne uruchomienie od razu po rozpoczęciu sondowania. Można jednak skonfigurować rozszerzenie w celu raportowania pomyślnego uruchomienia dopiero po pobraniu i zainstalowaniu wszystkich certyfikatów przez rozszerzenie.

Jeśli używasz innych rozszerzeń, które wymagają instalacji wszystkich certyfikatów przed ich uruchomieniem, możesz włączyć kolejność zależności dla rozszerzenia w rozszerzeniu VM usługi Key Vault. Ta funkcja umożliwia innym rozszerzeniom deklarowanie zależności od rozszerzenia usługi Key Vault dla maszyny wirtualnej.

Tej funkcji można użyć, aby zapobiec uruchamianiu innych rozszerzeń do momentu zainstalowania wszystkich certyfikatów zależnych. Po włączeniu tej funkcji rozszerzenie maszyny wirtualnej usługi Key Vault ponowi próbę pobrania i zainstalowania certyfikatów do 25 razy z wydłużającymi się okresami opóźnienia, podczas których pozostaje w stanie Przejściowym. Jeśli ponawianie prób zostanie wyczerpane, rozszerzenie zgłosi stan Błąd . Po pomyślnym zainstalowaniu wszystkich certyfikatów rozszerzenie maszyny wirtualnej usługi Key Vault zgłasza pomyślny start.

Aby włączyć funkcję porządkowania zależności rozszerzenia w rozszerzeniu maszyny wirtualnej usługi Key Vault, ustaw secretsManagementSettings właściwość:

"secretsManagementSettings": {
   "requireInitialSync": true,
   ...
}

Aby uzyskać więcej informacji na temat konfigurowania zależności między rozszerzeniami, zobacz Aprowizowanie rozszerzeń sekwencji w zestawach skalowania maszyn wirtualnych.

Ważne

Funkcja kolejności zależności rozszerzenia nie jest zgodna z szablonem ARM, który tworzy tożsamość przypisaną przez system i aktualizuje zasady dostępu Key Vault używając tej tożsamości. Jeśli spróbujesz użyć funkcji w tym scenariuszu, występuje zakleszczenie, ponieważ zasady dostępu usługi Key Vault nie mogą być aktualizowane dopiero po uruchomieniu wszystkich rozszerzeń. Zamiast tego należy użyć tożsamości MSI przypisanej jednemu użytkownikowi i wstępnie skonfiguruj listy ACL magazynów kluczy dla tej tożsamości przed wdrożeniem.

Wdrażanie programu Azure PowerShell

Rozszerzenie maszyny wirtualnej usługi Azure Key Vault można wdrożyć za pomocą programu Azure PowerShell. Zapisz ustawienia rozszerzenia maszyny wirtualnej usługi Key Vault w pliku JSON (settings.json).

Poniższe fragmenty kodu JSON zawierają przykładowe ustawienia wdrażania rozszerzenia maszyny wirtualnej usługi Key Vault za pomocą programu PowerShell.

{   
   "secretsManagementSettings": {
   "pollingIntervalInS": "3600",
   "linkOnRenewal": true,
   "observedCertificates":
   [
      {
          "url": "https://<examplekv>.vault.azure.net/secrets/certificate1",
          "certificateStoreName": "MY",
          "certificateStoreLocation": "LocalMachine",
          "accounts": [
             "Network Service"
          ]
      },
      {
          "url": "https://<examplekv>.vault.azure.net/secrets/certificate2",
          "certificateStoreName": "MY",
          "certificateStoreLocation": "LocalMachine",
          "keyExportable": true,
          "accounts": [
             "Network Service",
             "Local Service"
          ]
      }
   ]},
   "authenticationSettings": {
      "msiEndpoint":  "http://169.254.169.254/metadata/identity/oauth2/token",
      "msiClientId":  "00001111-aaaa-2222-bbbb-3333cccc4444"
   }      
}

Wdrażanie na maszynie wirtualnej

# Build settings
$settings = (get-content -raw ".\settings.json")
$extName =  "KeyVaultForWindows"
$extPublisher = "Microsoft.Azure.KeyVault"
$extType = "KeyVaultForWindows"
 
# Start the deployment
Set-AzVmExtension -TypeHandlerVersion "3.0" -ResourceGroupName <ResourceGroupName> -Location <Location> -VMName <VMName> -Name $extName -Publisher $extPublisher -Type $extType -SettingString $settings

Wdrażanie na instancji Virtual Machine Scale Sets

# Build settings
$settings = ".\settings.json"
$extName = "KeyVaultForWindows"
$extPublisher = "Microsoft.Azure.KeyVault"
$extType = "KeyVaultForWindows"
  
# Add extension to Virtual Machine Scale Sets
$vmss = Get-AzVmss -ResourceGroupName <ResourceGroupName> -VMScaleSetName <VmssName>
Add-AzVmssExtension -VirtualMachineScaleSet $vmss  -Name $extName -Publisher $extPublisher -Type $extType -TypeHandlerVersion "3.0" -Setting $settings

# Start the deployment
Update-AzVmss -ResourceGroupName <ResourceGroupName> -VMScaleSetName <VmssName> -VirtualMachineScaleSet $vmss 

Wdrożenie za pomocą CLI platformy Azure

Rozszerzenie VM Azure Key Vault można wdrożyć przy użyciu Azure CLI. Zapisz ustawienia rozszerzenia maszyny wirtualnej usługi Key Vault w pliku JSON (settings.json).

Poniższe fragmenty kodu JSON zawierają przykładowe ustawienia wdrażania rozszerzenia maszyny wirtualnej usługi Key Vault przy użyciu interfejsu wiersza polecenia platformy Azure.

   {   
        "secretsManagementSettings": {
          "pollingIntervalInS": "3600",
          "linkOnRenewal": true,
          "observedCertificates": [
            {
                "url": "https://<examplekv>.vault.azure.net/secrets/certificate1",
                "certificateStoreName": "MY",
                "certificateStoreLocation": "LocalMachine",
                "accounts": [
                    "Network Service"
                ]
            },
            {
                "url": "https://<examplekv>.vault.azure.net/secrets/certificate2",
                "certificateStoreName": "MY",
                "certificateStoreLocation": "LocalMachine",                
                "keyExportable": true,
                "accounts": [
                    "Network Service",
                    "Local Service"
                ]
            }
        ]
        },
          "authenticationSettings": {
          "msiEndpoint":  "http://169.254.169.254/metadata/identity/oauth2/token",
          "msiClientId":  "00001111-aaaa-2222-bbbb-3333cccc4444"
        }      
     }

Wdrażanie na maszynie wirtualnej

# Start the deployment
az vm extension set --name "KeyVaultForWindows" `
 --publisher Microsoft.Azure.KeyVault `
 --resource-group "<resourcegroup>" `
 --vm-name "<vmName>" `
 --settings "@settings.json"

Wdrażanie na instancji Virtual Machine Scale Sets

# Start the deployment
az vmss extension set --name "KeyVaultForWindows" `
 --publisher Microsoft.Azure.KeyVault `
 --resource-group "<resourcegroup>" `
 --vmss-name "<vmssName>" `
 --settings "@settings.json"

Rozwiązywanie problemów

Poniżej przedstawiono kilka sugestii dotyczących rozwiązywania problemów z wdrażaniem.

Sprawdź często zadawane pytania

Czy istnieje limit liczby obserwowanych certyfikatów?

Nie. Rozszerzenie maszyny wirtualnej usługi Key Vault nie ogranicza liczby obserwowanych certyfikatów (observedCertificates).

Jakie jest domyślne uprawnienie, jeśli nie określono konta?

Domyślnie administratorzy i system otrzymują pełną kontrolę.

Jak określić, czy klucz certyfikatu to CAPI1 czy CNG?

Rozszerzenie opiera się na domyślnym zachowaniu interfejsu API PFXImportCertStore. Domyślnie jeśli certyfikat ma atrybut Nazwa dostawcy, który jest zgodny z interfejsem CAPI1, certyfikat jest importowany przy użyciu interfejsów API CAPI1. W przeciwnym razie certyfikat jest importowany przy użyciu interfejsów API CNG.

Czy rozszerzenie obsługuje automatyczne łączenie certyfikatów?

Tak, rozszerzenie maszyny wirtualnej usługi Azure Key Vault obsługuje automatyczne łączenie certyfikatów. Rozszerzenie maszyny wirtualnej Key Vault obsługuje powiązanie kanału S podczas odnawiania certyfikatu, gdy właściwość linkOnRenewal jest ustawiona na wartość true.

W przypadku usług IIS można skonfigurować automatyczne ponowne powiązanie, włączając automatyczne ponowne powiązanie odnawiania certyfikatów w usługach IIS. Rozszerzenie maszyny wirtualnej Azure Key Vault generuje powiadomienia o cyklu życia certyfikatu po zainstalowaniu certyfikatu z pasującym SAN. Usługi IIS wykorzystują to zdarzenie do automatycznego ponownego powiązania certyfikatu. Aby uzyskać więcej informacji, zobacz Certificate Rebind w usługach IIS.

Wyświetlanie stanu rozszerzenia

Sprawdź stan wdrożenia rozszerzenia w witrynie Azure Portal lub przy użyciu programu PowerShell lub interfejsu wiersza polecenia platformy Azure.

Aby wyświetlić stan wdrożenia rozszerzeń dla danej maszyny wirtualnej, uruchom następujące polecenia.

• Azure PowerShell:

  Get-AzVMExtension -ResourceGroupName <myResourceGroup> -VMName <myVM> -Name <myExtensionName>
  

• Interfejs wiersza polecenia platformy Azure:

  az vm get-instance-view --resource-group <myResourceGroup> --name <myVM> --query "instanceView.extensions"
  

Przeglądanie dzienników i konfiguracji

Dzienniki rozszerzenia VM usługi Key Vault istnieją tylko lokalnie na tej maszynie wirtualnej. Przejrzyj szczegóły dziennika, aby uzyskać pomoc dotyczącą rozwiązywania problemów.

Plik dziennika	Opis
C:\WindowsAzure\Logs\WaAppAgent.log'	Pokazuje, kiedy występują aktualizacje rozszerzenia.
C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.KeyVault.KeyVaultForWindows<najnowsza wersja>\	Pokazuje stan pobierania certyfikatu. Lokalizacja pobierania to zawsze mój sklep (certlm.msc) komputera z systemem Windows.
C:\Packages\Plugins\Microsoft.Azure.KeyVault.KeyVaultForWindows<\RuntimeSettings>\	Dzienniki usługi rozszerzenia maszyny wirtualnej usługi Key Vault pokazują stan usługi akvvm_service.
C:\Packages\Plugins\Microsoft.Azure.KeyVault.KeyVaultForWindows<najnowsza wersja>\Status\	Konfiguracja i pliki binarne dla rozszerzenia maszyny wirtualnej Key Vault.

Instalacja certyfikatu w systemie Windows

Rozszerzenie maszyny wirtualnej Key Vault dla systemu Windows instaluje certyfikaty w magazynie certyfikatów systemu Windows. Po pobraniu certyfikatu z usługi Key Vault rozszerzenie:

1. Instaluje wszystkie certyfikaty pośrednie i końcowe, niezależnie od liczby certyfikatów pośrednich. Certyfikaty główne nie są zainstalowane, ponieważ rozszerzenie nie jest autoryzowane do przeprowadzenia instalacji głównej. Właściciel usługi jest odpowiedzialny za zapewnienie, że certyfikat główny jest zaufany w systemie.
   • Certyfikaty końcowe są instalowane w określonym magazynie certyfikatów (certificateStoreName) i lokalizacji (certificateStoreLocation)
   • Certyfikaty pośredniego urzędu certyfikacji są instalowane w magazynie pośrednich urzędów certyfikacji
2. Umieszcza certyfikaty w określonym magazynie certyfikatów (certificateStoreName) i lokalizacji (certificateStoreLocation)
3. Stosuje odpowiednie uprawnienia do klucza prywatnego na accounts podstawie określonego w konfiguracji
4. Ustawia właściwość linkOnRenewal (jeśli jest włączona), aby sprawić, że powiązania certyfikatów w aplikacjach, takich jak IIS, są automatycznie aktualizowane po odnowieniu certyfikatów.

Domyślne repozytoria certyfikatów

Jeśli nie zostanie określony, certyfikaty są instalowane w następujących lokalizacjach domyślnie:

• Nazwa sklepu: MY (Osobisty)
• Lokalizacja sklepu: LocalMachine

Kontrola dostępu do certyfikatu

Domyślnie administratorzy i system otrzymują uprawnienia Pełna kontrola na zainstalowanych certyfikatach. Dostęp można dostosować przy użyciu tablicy accounts w konfiguracji certyfikatu:

"accounts": ["Network Service", "Local Service"]

Dzięki temu dostęp do odczytu do określonych kont umożliwia aplikacjom działającym w ramach tych tożsamości korzystanie z certyfikatów.

Odnawianie certyfikatu

Po odnowieniu certyfikatów w Key Vault, rozszerzenie automatycznie:

1. Pobiera nową wersję certyfikatu
2. Instaluje go w skonfigurowanym magazynie certyfikatów
3. Utrzymuje istniejące powiązania za pomocą linkOnRenewal funkcji, jeśli jest włączona

Zarządzanie cyklem życia certyfikatu

W przypadku aplikacji, takich jak usługi IIS, które obsługują powiadomienia dotyczące cyklu życia certyfikatów, rozszerzenie generuje zdarzenia, gdy są zainstalowane certyfikaty z pasującymi alternatywnymi nazwami podmiotów (SAN), co umożliwia automatyczne ponowne łączenie bez przerwy w działaniu usługi.

Uzyskiwanie pomocy technicznej

Poniżej przedstawiono kilka innych opcji, które ułatwiają rozwiązywanie problemów z wdrażaniem:

• Aby uzyskać pomoc, skontaktuj się z ekspertami platformy Azure na forach Q&A i Stack Overflow.

• Jeśli nie znajdziesz odpowiedzi na stronie, możesz opublikować pytanie, aby uzyskać odpowiedzi od firmy Microsoft lub innych członków społeczności.

• Możesz również skontaktować się z pomocą techniczną firmy Microsoft. Aby uzyskać informacje na temat korzystania z pomocy technicznej platformy Azure, przeczytaj często zadawane pytania dotyczące pomocy technicznej platformy Azure.