Aracılığıyla paylaş

Gizli dizileri ve sertifikaları Key Vault'tan otomatik olarak yeniden yükleme

  • Makale

Uygulama Yapılandırması ve Key Vault, birçok uygulamada yan yana kullanılan tamamlayıcı hizmetlerdir. Uygulama Yapılandırması, Uygulama Yapılandırması deponuzda Key Vault'ta depolanan gizli dizilere veya sertifikalara başvuran anahtarlar oluşturarak hizmetleri birlikte kullanmanıza yardımcı olur. Key Vault bir sertifikanın ortak ve özel anahtar çiftini gizli dizi olarak depoladığından, uygulamanız herhangi bir sertifikayı Key Vault'tan gizli dizi olarak alabilir.

İyi bir güvenlik uygulaması olarak gizli diziler ve sertifikalar düzenli aralıklarla döndürülmelidir. Anahtar Kasası'nda döndürüldükten sonra uygulamanızın en son gizli diziyi ve sertifika değerlerini almasını istersiniz. Uygulamanızı yeniden başlatmadan bunu başarmanın iki yolu vardır:

  • Tüm yapılandırmanızın yenilenmesini tetiklemek için bir sentinel anahtar değerini güncelleştirin ve böylece tüm Key Vault gizli dizilerini ve sertifikalarını yeniden yükleyin. Daha fazla bilgi için bkz. ASP.NET Core uygulamasında dinamik yapılandırmayı kullanma.
  • Key Vault'tan bazı veya tüm gizli dizileri ve sertifikaları düzenli aralıklarla yeniden yükleyin.

İlk seçenekte, Key Vault'ta gizli dizileri ve sertifikaları her döndürdüğünüzde Uygulama Yapılandırması sentinel anahtar değerini güncelleştirmeniz gerekir. Uygulamanızda gizli dizilerin ve sertifikaların hemen yeniden yüklenmesini zorlamak istediğinizde bu yaklaşım iyi çalışır. Ancak gizli diziler ve sertifikalar Key Vault'ta otomatik olarak döndürüldüğünde sentinel anahtar değerini zamanında güncelleştirmezseniz uygulamanız hatalarla karşılaşabilir. İkinci seçenek, bu işlemi tamamen otomatikleştirmenizi sağlar. Uygulamanızı, dönüş zamanından itibaren kabul edilebilir gecikme süreniz içinde Key Vault'tan gizli dizileri ve sertifikaları yeniden yükecek şekilde yapılandırabilirsiniz. Bu öğreticide ikinci seçenekte size yol gösterilir.

Önkoşullar

Key Vault'a otomatik dönen sertifika ekleme

Öğretici: Önceki öğreticide oluşturulan Key Vault'a ExampleCertificate adlı otomatik dönen bir sertifika eklemek için Key Vault'ta sertifika otomatik döndürmeyi yapılandırın.

Uygulama Yapılandırması'da Key Vault sertifikasına başvuru ekleme

  1. Azure portalında Tüm kaynaklar'ı ve ardından önceki öğreticide oluşturduğunuz Uygulama Yapılandırması mağaza örneğini seçin.

  2. Yapılandırma Gezgini'ne tıklayın.

  3. + Anahtar kasası başvurusu oluştur'u>seçin ve aşağıdaki değerleri belirtin:

    • Anahtar: TestApp:Ayarlar:KeyVaultCertificate öğesini seçin.
    • Etiket: Bu değeri boş bırakın.
    • Abonelik, Kaynak grubu ve Anahtar kasası: Önceki öğreticide oluşturduğunuz Key Vault'a karşılık gelen değerleri girin.
    • Gizli dizi: Önceki bölümde oluşturduğunuz ExampleCertificate adlı gizli diziyi seçin.
    • Gizli Dizi Sürümü: En son sürüm.

Not

Belirli bir sürüme başvuruyorsanız, Key Vault'tan gizli diziyi veya sertifikayı yeniden yüklemek her zaman aynı değeri döndürür.

Key Vault gizli dizilerini ve sertifikalarını yeniden yüklemek için kodu güncelleştirme

Program.cs dosyanızda yöntemini güncelleştirerek AddAzureAppConfiguration yöntemini kullanarak SetSecretRefreshInterval Key Vault sertifikanız için bir yenileme aralığı ayarlayın. Bu değişiklikle uygulamanız 12 saatte bir ExampleCertificate için ortak-özel anahtar çiftini yeniden yükler.

config.AddAzureAppConfiguration(options =>
{
    options.Connect(settings["ConnectionStrings:AppConfig"])
            .ConfigureKeyVault(kv =>
            {
                kv.SetCredential(new DefaultAzureCredential());
                kv.SetSecretRefreshInterval("TestApp:Settings:KeyVaultCertificate", TimeSpan.FromHours(12));
            });
});

yöntemindeki SetSecretRefreshInterval ilk bağımsız değişken, Uygulama Yapılandırması'daki Key Vault başvurusunun anahtarıdır. Bu bağımsız değişken isteğe bağlıdır. Anahtar parametresi atlanırsa, yenileme aralığı tek tek yenileme aralıkları olmayan tüm bu gizli dizilere ve sertifikalara uygulanır.

Yenileme aralığı, Key Vault veya Uygulama Yapılandırması değerlerinde yapılan değişikliklerden bağımsız olarak gizli dizilerinizin ve sertifikalarınızın Key Vault'tan yeniden yüklenme sıklığını tanımlar. Gizli dizileri ve sertifikaları değerleri Uygulama Yapılandırması değiştiğinde yeniden yüklemek istiyorsanız, yöntemini kullanarak ConfigureRefresh bunları izleyebilirsiniz. Daha fazla bilgi için bkz. ASP.NET Core uygulamasında dinamik yapılandırmayı kullanma.

Gizli dizileriniz ve sertifikalarınız Key Vault'ta güncelleştirildikten sonra kabul edilebilir gecikmenize göre yenileme aralığını seçin. Kısıtlanmamak için Key Vault hizmet sınırlarını göz önünde bulundurmak da önemlidir.

Kaynakları temizleme

Bu makalede oluşturulan kaynakları kullanmaya devam etmek istemiyorsanız ücretlerden kaçınmak için burada oluşturduğunuz kaynak grubunu silin.

Önemli

Silinen kaynak grupları geri alınamaz. Kaynak grubu ve içindeki tüm kaynaklar kalıcı olarak silinir. Yanlış kaynak grubunu veya kaynakları yanlışlıkla silmediğinizden emin olun. Bu makalenin kaynaklarını, saklamak istediğiniz diğer kaynakları içeren bir kaynak grubu içinde oluşturduysanız, kaynak grubunu silmek yerine her kaynağı ilgili bölmeden tek tek silin.

  1. Azure portalında oturum açın ve Kaynak grupları'nı seçin.
  2. Ada göre filtrele kutusuna kaynak grubunuzun adını girin.
  3. Genel bir bakış görmek için sonuç listesinde kaynak grubu adını seçin.
  4. Kaynak grubunu sil'i seçin.
  5. Kaynak grubunun silinmesini onaylamanız istenir. Onaylamak için kaynak grubunuzun adını girin ve Sil'i seçin.

Birkaç dakika sonra kaynak grubu ve tüm kaynakları silinir.

Sonraki adımlar

Bu öğreticide, key vault'tan gizli dizileri ve sertifikaları otomatik olarak yeniden yüklemek için uygulamanızı ayarlamayı öğrendiniz. yönetilen kimliği kullanarak Uygulama Yapılandırması ve Key Vault'a erişimi kolaylaştırmayı öğrenmek için sonraki öğreticiye geçin.

Yönetilen kimlik tümleştirmesi