Makine yapılandırma paketlerini imzalama
Makine yapılandırması özel ilkeleri, ilke paketinin değişmediğini doğrulamak için SHA256 karması kullanır. İsteğe bağlı olarak, müşteriler paketleri imzalamak ve makine yapılandırma uzantısını yalnızca imzalı içeriğe izin vermek üzere zorlamak için bir sertifika kullanabilir.
Bu senaryoya olanak tanımak için tamamlamanız gereken iki adım vardır. İçerik paketini imzalamak için cmdlet'ini çalıştırın ve kodun imzalanması gereken makinelere bir etiket ekleyin.
Kod imzalama sertifikası kullanarak imza doğrulama
İmza Doğrulama özelliğini kullanmak için cmdlet'ini Protect-GuestConfigurationPackage
çalıştırarak paketi yayımlanmadan önce imzalayın. Bu cmdlet bir 'Kod İmzalama' sertifikası gerektirir. 'Kod İmzalama' sertifikanız yoksa, örnekle birlikte test amacıyla otomatik olarak imzalanan bir sertifika oluşturmak için aşağıdaki betiği kullanın.
Windows imza doğrulaması
# How to create a self sign cert and use it to sign Machine Configuration
# custom policy package
# Create Code signing cert
$codeSigningParams = @{
Type = 'CodeSigningCert'
DnsName = 'GCEncryptionCertificate'
HashAlgorithm = 'SHA256'
}
$mycert = New-SelfSignedCertificate @codeSigningParams
# Export the certificates
$mypwd = ConvertTo-SecureString -String "Password1234" -Force -AsPlainText
$mycert | Export-PfxCertificate -FilePath C:\demo\GCPrivateKey.pfx -Password $mypwd
$mycert | Export-Certificate -FilePath "C:\demo\GCPublicKey.cer" -Force
# Import the certificate
$importParams = @{
FilePath = 'C:\demo\GCPrivateKey.pfx'
Password = $mypwd
CertStoreLocation = 'Cert:\LocalMachine\My'
}
Import-PfxCertificate @importParams
# Sign the policy package
$certToSignThePackage = Get-ChildItem -Path cert:\LocalMachine\My |
Where-Object { $_.Subject-eq "CN=GCEncryptionCertificate" }
$protectParams = @{
Path = 'C:\demo\AuditWindowsService.zip'
Certificate = $certToSignThePackage
Verbose = $true
}
Protect-GuestConfigurationPackage @protectParams
Linux imza doğrulaması
# generate gpg key
gpg --gen-key
# export public key
gpg --output public.gpg --export <email-id-used-to-generate-gpg-key>
# export private key
gpg --output private.gpg --export-secret-key <email-id-used-to-generate-gpg-key>
# Sign linux policy package
Import-Module GuestConfiguration
$protectParams = @{
Path = './not_installed_application_linux.zip'
PrivateGpgKeyPath = './private.gpg'
PublicGpgKeyPath = './public.gpg'
Verbose = $true
}
Protect-GuestConfigurationPackage
Cmdlet'in Protect-GuestConfigurationPackage
parametreleri:
- Yol: Makine yapılandırma paketinin tam yolu.
- Sertifika: Paketi imzalamak için kod imzalama sertifikası. Bu parametre yalnızca Windows için içerik imzalarken desteklenir.
Sertifika gereksinimleri
Makine yapılandırma aracısı, sertifika ortak anahtarının Windows makinelerinde "Güvenilen Yayımcılar"da ve Linux makinelerindeki yolda /usr/local/share/ca-certificates/gc
bulunmasını bekler. Düğümün imzalı içeriği doğrulaması için özel ilkeyi uygulamadan önce makineye sertifika ortak anahtarını yükleyin. Bu işlem, VM içindeki herhangi bir teknik kullanılarak veya Azure İlkesi kullanılarak yapılabilir. Sertifikaya sahip bir makine dağıtmak için örnek bir şablon kullanılabilir. Key Vault erişim ilkesi, İşlem kaynak sağlayıcısının dağıtımlar sırasında sertifikalara erişmesine izin vermelidir. Ayrıntılı adımlar için bkz . Azure Resource Manager'da sanal makineler için Key Vault'un ayarlanması.
Aşağıda, ortak anahtarı bir imzalama sertifikasından dışarı aktarmak ve makineye aktarmak için bir örnek verilmiştir.
$Cert = Get-ChildItem -Path cert:\LocalMachine\My |
Where-Object { $_.Subject-eq "CN=mycert3" } |
Select-Object -First 1
$Cert | Export-Certificate -FilePath "$env:temp\DscPublicKey.cer" -Force
Etiket gereksinimleri
İçeriğiniz yayımlandıktan sonra, kod imzalamanın gerekli olduğu tüm sanal makinelere ad GuestConfigPolicyCertificateValidation
ve değer enabled
içeren bir etiket ekleyin. Etiketlerin Azure İlkesi kullanılarak uygun ölçekte nasıl teslim edilebileceğine ilişkin Etiket örneklerine bakın. Bu etiket oluşturulduktan sonra, cmdlet'i kullanılarak New-GuestConfigurationPolicy
oluşturulan ilke tanımı, makine yapılandırma uzantısı aracılığıyla gereksinimi etkinleştirir.
İlgili içerik
- Ortamınızın büyük ölçekte yönetimi için
GuestConfiguration
modülünü kullanarak bir Azure İlkesi tanımı oluşturun. - Azure portalı kullanarak özel ilke tanımınızı atayın.
- Makine yapılandırma ilkesi atamaları için uyumluluk ayrıntılarını görüntülemeyi öğrenin.
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin