Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Начало работы с клиентской библиотекой сертификатов Azure Key Vault для Java. Чтобы установить пакет и испробовать пример кода для выполнения базовых задач, выполните описанные ниже шаги.
Tip
Если вы работаете с ресурсами Azure Key Vault Certificates в приложении Spring, рекомендуется использовать Spring Cloud Azure в качестве альтернативы. Spring Cloud Azure — это проект с открытым исходным кодом, который обеспечивает простую интеграцию Spring с службами Azure. Дополнительные сведения о Azure Spring Cloud и пример использования сертификатов Key Vault см. в статье Enable HTTPS в Spring Boot с сертификатами Azure Key Vault .
Дополнительные ресурсы:
- Исходный код
- Справочная документация по API
- Документация продукта
- Образцы
Prerequisites
- Подписка Azure — создайте бесплатно.
- Java набор для разработки (JDK) версии 8 и выше
- Apache Maven
- Azure CLI
В этом кратком руководстве предполагается, что вы работаете Azure CLI и Apache Maven в окне терминала Linux.
Настройка
В этом кратком руководстве используется библиотека удостоверений Azure с Azure CLI для проверки подлинности пользователя в службах Azure. Разработчики также могут использовать Visual Studio или Visual Studio Code для проверки подлинности своих вызовов. Для получения дополнительной информации см. раздел Аутентификация клиента с помощью клиентской библиотеки Azure Identity.
Вход в Azure
Запустите команду
login.az loginЕсли интерфейс командной строки может открыть браузер по умолчанию, он будет выполнять это и загружать страницу входа Azure.
В противном случае откройте страницу в браузере по адресу https://aka.ms/devicelogin и введите код авторизации, отображаемый в вашем терминале.
Выполните вход в браузере с помощью учетных данных.
Создание консольного приложения Java
В окне консоли используйте команду mvn для создания нового консольного приложения Java с именем akv-certificates-java.
mvn archetype:generate -DgroupId=com.keyvault.certificates.quickstart
-DartifactId=akv-certificates-java
-DarchetypeArtifactId=maven-archetype-quickstart
-DarchetypeVersion=1.4
-DinteractiveMode=false
Примерный результат создания проекта показан ниже:
[INFO] ----------------------------------------------------------------------------
[INFO] Using following parameters for creating project from Archetype: maven-archetype-quickstart:1.4
[INFO] ----------------------------------------------------------------------------
[INFO] Parameter: groupId, Value: com.keyvault.certificates.quickstart
[INFO] Parameter: artifactId, Value: akv-certificates-java
[INFO] Parameter: version, Value: 1.0-SNAPSHOT
[INFO] Parameter: package, Value: com.keyvault.certificates.quickstart
[INFO] Parameter: packageInPathFormat, Value: com/keyvault/quickstart
[INFO] Parameter: package, Value: com.keyvault.certificates.quickstart
[INFO] Parameter: groupId, Value: com.keyvault.certificates.quickstart
[INFO] Parameter: artifactId, Value: akv-certificates-java
[INFO] Parameter: version, Value: 1.0-SNAPSHOT
[INFO] Project created from Archetype in dir: /home/user/quickstarts/akv-certificates-java
[INFO] ------------------------------------------------------------------------
[INFO] BUILD SUCCESS
[INFO] ------------------------------------------------------------------------
[INFO] Total time: 38.124 s
[INFO] Finished at: 2019-11-15T13:19:06-08:00
[INFO] ------------------------------------------------------------------------
Измените каталог на вновь созданную папку akv-certificates-java/.
cd akv-certificates-java
Установка пакета
Откройте файл pom.xml в текстовом редакторе. Добавьте приведенные ниже элементы зависимости в группу зависимостей.
<dependency>
<groupId>com.azure</groupId>
<artifactId>azure-security-keyvault-certificates</artifactId>
<version>4.8.6</version>
</dependency>
<dependency>
<groupId>com.azure</groupId>
<artifactId>azure-identity</artifactId>
<version>1.18.2</version>
</dependency>
Создание группы ресурсов и хранилища ключей
В этом кратком руководстве используется предварительно созданное хранилище ключей Azure. Вы можете создать хранилище ключей, выполнив действия, описанные в следующих кратких руководствах.
- быстрый старт Azure CLI
- краткое начало Azure PowerShell
- Быстрый старт Azure Portal
Или вы можете выполнить эти команды Azure CLI.
Important
Каждое хранилище ключей должно иметь уникальное имя. Замените <vault-name> именем хранилища ключей в следующих примерах.
az group create --name "myResourceGroup" -l "EastUS"
az keyvault create --name "<vault-name>" -g "myResourceGroup" --enable-rbac-authorization true
Предоставление доступа к хранилищу ключей
Чтобы получить разрешения для хранилища ключей через Role-Based контроль доступа (RBAC), назначьте роль вашему "User Principal Name" (UPN) с помощью команды Azure CLI az role assignment create.
az role assignment create --role "Key Vault Certificates Officer" --assignee "<upn>" --scope "/subscriptions/<subscription-id>/resourceGroups/myResourceGroup/providers/Microsoft.KeyVault/vaults/<vault-name>"
Замените <upn>, <subscription-id>а <vault-name> также фактическими значениями. Если вы использовали другое имя группы ресурсов, замените myResourceGroup. UPN обычно имеет формат адреса электронной почты (например, username@domain.com).
Настройка переменных среды
Это приложение использует имя хранилища ключей в качестве переменной среды под названием KEY_VAULT_NAME.
Windows
set KEY_VAULT_NAME=<vault-name>
Windows PowerShell
$Env:KEY_VAULT_NAME="<vault-name>"
macOS или Linux
export KEY_VAULT_NAME=<vault-name>
Объектная модель
Клиентская библиотека сертификатов Azure Key Vault для Java позволяет управлять сертификатами. В разделе «Примеры кода» показано, как создать клиент, создать сертификат, получить сертификат и удалить сертификат.
Полная версия консольного приложения представлена ниже.
Примеры кода
Добавление директив
Добавьте в верхнюю часть кода следующие директивы:
import com.azure.core.util.polling.SyncPoller;
import com.azure.identity.DefaultAzureCredentialBuilder;
import com.azure.security.keyvault.certificates.CertificateClient;
import com.azure.security.keyvault.certificates.CertificateClientBuilder;
import com.azure.security.keyvault.certificates.models.CertificateOperation;
import com.azure.security.keyvault.certificates.models.CertificatePolicy;
import com.azure.security.keyvault.certificates.models.DeletedCertificate;
import com.azure.security.keyvault.certificates.models.KeyVaultCertificate;
import com.azure.security.keyvault.certificates.models.KeyVaultCertificateWithPolicy;
Аутентификация и создание клиента
Запросы приложений к большинству служб Azure должны быть авторизованы. Использование DefaultAzureCredential рекомендуется как подход для реализации безпарольных подключений к службам Azure в коде.
DefaultAzureCredential поддерживает несколько способов проверки подлинности и определяет, какой из них следует использовать в среде выполнения. Такой подход позволяет приложению использовать различные способы проверки подлинности в разных средах (локальной и рабочей) без реализации кода для конкретной среды.
В этом кратком руководстве DefaultAzureCredential выполняет проверку подлинности в хранилище ключей с помощью учетных данных локального пользователя разработки, вошедшего в Azure CLI. При развертывании приложения в Azure тот же код DefaultAzureCredential может автоматически обнаруживать и использовать управляемое удостоверение, назначенное службе приложений, виртуальной машине или другим службам. Дополнительные сведения см. в статье Что такое управляемые удостоверения для ресурсов Azure?.
В этом примере имя вашего хранилища ключей расширяется до URI хранилища ключей в формате https://<vault-name>.vault.azure.net. Дополнительные сведения об аутентификации в хранилище ключей см. в руководстве для разработчиков.
String keyVaultName = System.getenv("KEY_VAULT_NAME");
String keyVaultUri = "https://" + keyVaultName + ".vault.azure.net";
CertificateClient certificateClient = new CertificateClientBuilder()
.vaultUrl(keyVaultUri)
.credential(new DefaultAzureCredentialBuilder().build())
.buildClient();
Сохранение сертификата
Теперь, когда приложение прошло проверку подлинности, можно создать сертификат в хранилище ключей с помощью метода certificateClient.beginCreateCertificate. Для этого требуется имя сертификата и политики сертификата. Значение myCertificate назначается certificateName переменной в этом примере и используется политика по умолчанию.
Создание сертификата — это длительная операция, для которой можно отслеживать ход выполнения или дождаться ее завершения.
Замечание
В этом кратком руководстве создается самозаверенный сертификат в демонстрационных целях. Для рабочих нагрузок интегрируйте Key Vault с доверенным центром сертификации. См. раздел Защита сертификатов в Azure Key Vault.
SyncPoller<CertificateOperation, KeyVaultCertificateWithPolicy> certificatePoller =
certificateClient.beginCreateCertificate(certificateName, CertificatePolicy.getDefault());
certificatePoller.waitForCompletion();
Вы можете получить сертификат после завершения процесса создания, используя следующий вызов.
KeyVaultCertificate createdCertificate = certificatePoller.getFinalResult();
Получение сертификата
Теперь вы можете получить ранее созданный сертификат с помощью метода certificateClient.getCertificate.
KeyVaultCertificate retrievedCertificate = certificateClient.getCertificate(certificateName);
Теперь у вас есть доступ к сведениям о полученном сертификате через такие операции, как retrievedCertificate.getName и retrievedCertificate.getProperties, а также к его содержимому retrievedCertificate.getCer.
Удаление сертификата
Наконец, давайте удалим сертификат из хранилища ключей с помощью метода certificateClient.beginDeleteCertificate, которая также является длительной операцией.
SyncPoller<DeletedCertificate, Void> deletionPoller = certificateClient.beginDeleteCertificate(certificateName);
deletionPoller.waitForCompletion();
Очистка ресурсов
При отсутствии необходимости можно использовать Azure CLI или Azure PowerShell для удаления хранилища ключей и соответствующей группы ресурсов.
az group delete -g "myResourceGroup"
Remove-AzResourceGroup -Name "myResourceGroup"
Пример кода
package com.keyvault.certificates.quickstart;
import com.azure.core.util.polling.SyncPoller;
import com.azure.identity.DefaultAzureCredentialBuilder;
import com.azure.security.keyvault.certificates.CertificateClient;
import com.azure.security.keyvault.certificates.CertificateClientBuilder;
import com.azure.security.keyvault.certificates.models.CertificateOperation;
import com.azure.security.keyvault.certificates.models.CertificatePolicy;
import com.azure.security.keyvault.certificates.models.DeletedCertificate;
import com.azure.security.keyvault.certificates.models.KeyVaultCertificate;
import com.azure.security.keyvault.certificates.models.KeyVaultCertificateWithPolicy;
public class App {
public static void main(String[] args) throws InterruptedException, IllegalArgumentException {
String keyVaultName = System.getenv("KEY_VAULT_NAME");
String keyVaultUri = "https://" + keyVaultName + ".vault.azure.net";
System.out.printf("key vault name = %s and kv uri = %s \n", keyVaultName, keyVaultUri);
CertificateClient certificateClient = new CertificateClientBuilder()
.vaultUrl(keyVaultUri)
.credential(new DefaultAzureCredentialBuilder().build())
.buildClient();
String certificateName = "myCertificate";
System.out.print("Creating a certificate in " + keyVaultName + " called '" + certificateName + " ... ");
SyncPoller<CertificateOperation, KeyVaultCertificateWithPolicy> certificatePoller =
certificateClient.beginCreateCertificate(certificateName, CertificatePolicy.getDefault());
certificatePoller.waitForCompletion();
System.out.print("done.");
System.out.println("Retrieving certificate from " + keyVaultName + ".");
KeyVaultCertificate retrievedCertificate = certificateClient.getCertificate(certificateName);
System.out.println("Your certificate's ID is '" + retrievedCertificate.getId() + "'.");
System.out.println("Deleting your certificate from " + keyVaultName + " ... ");
SyncPoller<DeletedCertificate, Void> deletionPoller = certificateClient.beginDeleteCertificate(certificateName);
deletionPoller.waitForCompletion();
System.out.print("done.");
}
}
Дальнейшие шаги
В процессе работы с этим кратким руководством вы создали хранилище ключей, создали сертификат, извлекли его, а затем удалили. Чтобы узнать больше о Key Vault и о том, как интегрировать его с приложениями, перейдите к приведенным ниже статьям.
- Ознакомиться с Обзором Azure Key Vault
- Ознакомьтесь с руководством разработчика Azure Key Vault
- Защита доступа к хранилищу ключей
- Ознакомьтесь с рекомендациями по безопасности для конкретных сертификатов