Настройка клиента Azure Key Vault

Функциональность для хранения расширенных сертификатов позволяет определить тип хранилища сертификатов, используемого в приложениях для управления финансами и операциями.

Эта функциональность предусматривает два варианта для хранения сертификатов: локальное хранилище и хранилище Microsoft Azure Key Vault. Используемый вариант можно задать с помощью нового параметра Использовать расширенное хранилище сертификатов на вкладке Общие страницы Системные параметры (Администрирование системы>Настройка>Параметры системы).

• Локальное хранилище — этот вариант хранения можно использовать в сочетании с локальными развертываниями или локальной средой разработки любого типа. Чтобы использовать его, установите для параметра Использовать расширенное хранилище сертификатов значение Нет. Этот вариант хранения является рекомендуемым для сред разработки, используемых в целях разработки и проверки, когда необходимо проверить сертификат и работать с ним.
• Хранилище Azure Key Vault — этот вариант хранения является обязательным для облачных развертываний, однако его также можно использовать для локально развернутых сред и локальных сред разработки любого типа. Чтобы использовать его, установите для параметра Использовать расширенное хранилище сертификатов значение Да. Этот вариант хранения является единственным вариантом для рабочей среды в облаке Azure.

Прежде чем работать с сертификатами, хранящимися в Key Vault, необходимо настроить некоторые параметры. Информацию о требуемых параметрах см. в следующей статье базы знаний Майкрософт: 4040294 - Обслуживание хранилища Key Vault Azure. После настройки хранилища Key Vault необходимо создать связь с сертификатами в приложениях для управления финансами и операциями.

После установки сертификата в Key Vault его необходимо настроить в приложении.

1. Перейдите в раздел Администрирование системы>Настройка>Параметры Key Vault.
2. Выберите Создать для создания нового экземпляра.
3. Введите имя и описание, затем на экспресс-вкладке Общие задайте поля, необходимые для интеграции с хранилищем Key Vault:

• URL-адрес Key Vault — введите URL-адрес Key Vault по умолчанию, если он еще не определен секретной ссылкой.

• Клиент Key Vault — введите ИД интерактивного клиента приложения Microsoft Entra, связанного с хранилищем Key Vault для целей проверки подлинности.

• Секретный ключ Key Vault — введите секретный ключ, связанный с приложением Microsoft Entra, которое используется для проверки подлинности в хранилище Key Vault.

  Примечание

  Если используется несколько хранилищ Key Vault, следует настроить отдельный экземпляр для каждого экземпляра на странице Параметры Key Vault.

4. На экспресс-вкладке Сертификаты выберите Добавить, чтобы добавить сертификаты. Для каждого сертификата задайте следующие поля:

• Имя
• описание
• Секрет сертификата Key Vault — введите секретную ссылку на сертификат.

Формат секрета сертификата Key Vault должен быть следующего вида:

vault://<ИмяKeyVault*>/<ИмяСекрета>/<ВерсияСекрета*>

Атрибуты, помеченные звездочкой (*), необязательные. Однако атрибут <ИмяСекрета> является обязательным. В большинстве случаев можно определить секретный ключ Key Vault в следующем формате:

vault:///<ИмяСекрета>

Если версия секрета не определена в секретном ключе Key Vault, система извлекает активный сертификат с самой поздней датой истечения срока действия.

Примечание

Функциональность хранилища Key Vault была расширена и теперь включает кэширование сертификатов. Рекомендуется следующая конфигурация:

• Укажите версию секрета в секрете сертификата Key Vault.
• После отправки новой версии существующего сертификата в хранилище Key Vault обновите атрибут <SecretVersion> в поле Секрет сертификата Key Vault.

Используйте функцию Проверить, чтобы убедиться, что вы правильно определили ссылку на сертификат, и что сертификат действителен.