Makine yapılandırma paketlerini imzalama

Makine yapılandırması özel ilkeleri, ilke paketinin değişmediğini doğrulamak için SHA256 karması kullanır. İsteğe bağlı olarak, müşteriler paketleri imzalamak ve makine yapılandırma uzantısını yalnızca imzalı içeriğe izin vermek üzere zorlamak için bir sertifika kullanabilir.

Bu senaryoya olanak tanımak için tamamlamanız gereken iki adım vardır. İçerik paketini imzalamak için cmdlet'ini çalıştırın ve kodun imzalanması gereken makinelere bir etiket ekleyin.

Kod imzalama sertifikası kullanarak imza doğrulama

İmza Doğrulama özelliğini kullanmak için cmdlet'ini Protect-GuestConfigurationPackage çalıştırarak paketi yayımlanmadan önce imzalayın. Bu cmdlet bir 'Kod İmzalama' sertifikası gerektirir. 'Kod İmzalama' sertifikanız yoksa, örnekle birlikte test amacıyla otomatik olarak imzalanan bir sertifika oluşturmak için aşağıdaki betiği kullanın.

Windows imza doğrulaması

# How to create a self sign cert and use it to sign Machine Configuration
# custom policy package

# Create Code signing cert
$codeSigningParams = @{
    Type          = 'CodeSigningCert'
    DnsName       = 'GCEncryptionCertificate'
    HashAlgorithm = 'SHA256'
}
$mycert = New-SelfSignedCertificate @codeSigningParams

# Export the certificates
$mypwd = ConvertTo-SecureString -String "Password1234" -Force -AsPlainText
$mycert | Export-PfxCertificate -FilePath C:\demo\GCPrivateKey.pfx -Password $mypwd
$mycert | Export-Certificate -FilePath "C:\demo\GCPublicKey.cer" -Force

# Import the certificate
$importParams = @{
    FilePath          = 'C:\demo\GCPrivateKey.pfx'
    Password          = $mypwd
    CertStoreLocation = 'Cert:\LocalMachine\My'
}
Import-PfxCertificate @importParams

# Sign the policy package
$certToSignThePackage = Get-ChildItem -Path cert:\LocalMachine\My |
    Where-Object { $_.Subject-eq "CN=GCEncryptionCertificate" }
$protectParams = @{
    Path        = 'C:\demo\AuditWindowsService.zip'
    Certificate = $certToSignThePackage
    Verbose     = $true
}
Protect-GuestConfigurationPackage @protectParams

Linux imza doğrulaması

# generate gpg key
gpg --gen-key

# export public key
gpg --output public.gpg --export <email-id-used-to-generate-gpg-key>

# export private key
gpg --output private.gpg --export-secret-key <email-id-used-to-generate-gpg-key>

# Sign linux policy package
Import-Module GuestConfiguration
$protectParams = @{
    Path              = './not_installed_application_linux.zip'
    PrivateGpgKeyPath = './private.gpg'
    PublicGpgKeyPath  = './public.gpg'
    Verbose           = $true
}
Protect-GuestConfigurationPackage

Cmdlet'in Protect-GuestConfigurationPackage parametreleri:

• Yol: Makine yapılandırma paketinin tam yolu.
• Sertifika: Paketi imzalamak için kod imzalama sertifikası. Bu parametre yalnızca Windows için içerik imzalarken desteklenir.

Sertifika gereksinimleri

Makine yapılandırma aracısı, sertifika ortak anahtarının Windows makinelerinde "Güvenilen Yayımcılar"da ve Linux makinelerindeki yolda /usr/local/share/ca-certificates/gc bulunmasını bekler. Düğümün imzalı içeriği doğrulaması için özel ilkeyi uygulamadan önce makineye sertifika ortak anahtarını yükleyin. Bu işlem, VM içindeki herhangi bir teknik kullanılarak veya Azure İlkesi kullanılarak yapılabilir. Sertifikaya sahip bir makine dağıtmak için örnek bir şablon kullanılabilir. Key Vault erişim ilkesi, İşlem kaynak sağlayıcısının dağıtımlar sırasında sertifikalara erişmesine izin vermelidir. Ayrıntılı adımlar için bkz . Azure Resource Manager'da sanal makineler için Key Vault'un ayarlanması.

Aşağıda, ortak anahtarı bir imzalama sertifikasından dışarı aktarmak ve makineye aktarmak için bir örnek verilmiştir.

$Cert = Get-ChildItem -Path cert:\LocalMachine\My |
    Where-Object { $_.Subject-eq "CN=mycert3" } |
    Select-Object -First 1
$Cert | Export-Certificate -FilePath "$env:temp\DscPublicKey.cer" -Force

Etiket gereksinimleri

İçeriğiniz yayımlandıktan sonra, kod imzalamanın gerekli olduğu tüm sanal makinelere ad GuestConfigPolicyCertificateValidation ve değer enabled içeren bir etiket ekleyin. Etiketlerin Azure İlkesi kullanılarak uygun ölçekte nasıl teslim edilebileceğine ilişkin Etiket örneklerine bakın. Bu etiket oluşturulduktan sonra, cmdlet'i kullanılarak New-GuestConfigurationPolicy oluşturulan ilke tanımı, makine yapılandırma uzantısı aracılığıyla gereksinimi etkinleştirir.

İlgili içerik

• Ortamınızın büyük ölçekte yönetimi için GuestConfiguration modülünü kullanarak bir Azure İlkesi tanımı oluşturun.
• Azure portalı kullanarak özel ilke tanımınızı atayın.
• Makine yapılandırma ilkesi atamaları için uyumluluk ayrıntılarını görüntülemeyi öğrenin.