Windows kümelerinde şifreleme sertifikası ayarlama ve gizli dizileri şifreleme
Bu makalede, bir şifreleme sertifikasının nasıl ayarlanacağı ve Windows kümelerindeki gizli dizileri şifrelemek için nasıl kullanılacağı gösterilmektedir. Linux kümeleri için bkz. Linux kümelerinde şifreleme sertifikası ayarlama ve gizli dizileri şifreleme.
Azure Key Vault burada sertifikalar için güvenli bir depolama konumu olarak ve Azure'daki Service Fabric kümelerine yüklenen sertifikaları edinmenin bir yolu olarak kullanılır. Azure'a dağıtmıyorsanız, Service Fabric uygulamalarında gizli dizileri yönetmek için Key Vault kullanmanız gerekmez. Ancak bir uygulamada gizli dizilerin kullanılması , uygulamaların her yerde barındırılan bir kümeye dağıtılması için bulut platformunda bağımsızdır.
Veri şifreleme sertifikası alma
Veri şifreleme sertifikası, bir hizmetin Settings.xml ve bir hizmetin ServiceManifest.xml ortam değişkenlerindekiparametrelerin şifrelenmesi ve şifresinin çözülmesi için kesinlikle kullanılır. Şifreleme metninin kimlik doğrulaması veya imzaları için kullanılmaz. Sertifika aşağıdaki gereksinimleri karşılamalıdır:
Sertifika bir özel anahtar içermelidir.
Sertifika, bir Kişisel Bilgi Değişimi (.pfx) dosyasına aktarılabilen anahtar değişimi için oluşturulmalıdır.
Sertifika anahtarı kullanımı Veri Şifrelemesi 'ni (10) içermeli ve Sunucu Kimlik Doğrulaması veya İstemci Kimlik Doğrulaması içermemelidir.
Örneğin, PowerShell kullanarak otomatik olarak imzalanan bir sertifika oluştururken bayrağı olarak
KeyUsageayarlanmalıdırDataEncipherment:New-SelfSignedCertificate -Type DocumentEncryptionCert -KeyUsage DataEncipherment -Subject mydataenciphermentcert -Provider 'Microsoft Enhanced Cryptographic Provider v1.0'
Sertifikayı kümenize yükleme
Bu sertifika kümedeki her düğüme yüklenmelidir. Kurulum yönergeleri için bkz. Azure Resource Manager kullanarak küme oluşturma.
Uygulama gizli dizilerini şifreleme
Gizli diziyi şifrelemek için aşağıdaki PowerShell komutu kullanılır. Bu komut yalnızca değeri şifreler; şifre metnini imzalamaz . Gizli dizi değerleri için şifreleme metni oluşturmak için kümenizde yüklü olan aynı şifreleme sertifikasını kullanmanız gerekir:
Invoke-ServiceFabricEncryptText -CertStore -CertThumbprint "<thumbprint>" -Text "mysecret" -StoreLocation CurrentUser -StoreName My
Sonuçta elde edilen base-64 kodlu dize hem gizli şifreleme metnini hem de sertifikayı şifrelemek için kullanılan sertifika hakkındaki bilgileri içerir.
Sonraki adımlar
Bir uygulamada şifrelenmiş gizli dizileri belirtmeyi öğrenin.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin