Kho khóa Azure để bọc bằng cách sử dụng đăng ký mặc định

2025-06-24

Azure key vault là dịch vụ dựa trên đám mây giúp lưu trữ an toàn các thông tin bí mật như chứng chỉ, mật khẩu, khóa và các thông tin nhạy cảm khác. Để tìm hiểu thêm, hãy xem Giới thiệu về Azure key vault. Thiết lập kho khóa Azure để tạo bộ lưu trữ blob Azure và sử dụng quy trình ký tự động trong wrap.

Bài viết này giải thích cách sử dụng Azure Key Vault hiện có hoặc tạo một Azure Key Vault mới trong cổng thông tin Azure .

Điều kiện tiên quyết

Microsoft Entra đăng ký để tạo kho khóa.
Đảm bảo ID đăng ký của bạn được đặt làm mặc định. Thông tin thêm: Nhận thông tin đăng ký
Quyền truy cập quản trị cho đối tượng thuê của bạn.
Tài khoản Apple đã đăng ký Chương trình nhà phát triển Apple hoặc Chương trình nhà phát triển doanh nghiệp Apple. ...
Tạo chứng chỉ phân phối, hồ sơ cung cấp tạm thời hoặc hồ sơ cung cấp doanh nghiệp.

Cấu hình URI kho khóa

Quan trọng

Trước khi cấu hình URI Key Vault, bạn cần tạo Azure Key Vault. Thực hiện theo các bước trong Tạo kho lưu trữ.

Tạo một nguyên tắc dịch vụ cho ứng dụng Wrap KeyVault Access

đăng nhập vào đối tượng thuê của bạn với tư cách là quản trị viên và chạy các lệnh PowerShell sau:
```
Connect-AzureAD -TenantId <your tenant ID>
New-AzureADServicePrincipal -AppId 4e1f8dc5-5a42-45ce-a096-700fa485ba20 -DisplayName "Wrap KeyVault Access App"
```
Chỉ định vai trò Người đọc cho người đứng đầu dịch vụ

Thêm vai trò Người đọc vào Ứng dụng truy cập Wrap Key Vault trong Kiểm soát truy cập (IAM) của đăng ký mặc định và Key Vault của bạn.
1. Trong cổng thông tin Azure, chọn Kiểm soát truy cập (IAM) rồi chọn Thêm>Thêm chỉ định vai trò.
2. Chuyển đến tab Thành viên , chọn Vai trò chức năng công việc và đảm bảo rằng Người đọc đã được chọn.
3. Trên tab Thành viên , chọn Chọn thành viên và tìm kiếm Ứng dụng Wrap Key Vault Access.
4. Chọn Ứng dụng Wrap Key Vault Access và sau đó Xem lại + chỉ định để chỉ định vai trò Người đọc.
Tạo hoặc truy cập Key Vault hiện có

Đảm bảo Key Vault nằm trong gói đăng ký mặc định của người thuê nhà. Thông tin thêm: Tạo kho lưu trữ khóa bằng cổng thông tin Azure.
Thêm chính sách truy cập cho Key Vault

Đối với Quyền bí mật và Quyền chứng chỉ, hãy chọn Lấy và Liệt kê.
Tải lên chứng chỉ và bí mật

Chọn nền tảng của bạn và làm theo các bước dưới đây:
- Android
  
  Tạo tệp .pfx và tải tệp này lên phần chứng chỉ của Key Vault. Thông tin thêm: Tạo khóa
  
  Lưu ý
  
  Đảm bảo tên chứng chỉ được bao gồm trong bước thẻ và mật khẩu khớp với tham số lưu trữ được sử dụng khi tạo tệp .pfx.
- iOS
  1. Cài đặt tệp .cer bằng Keychain Access. Xem Tạo chứng chỉ phân phối.
  2. Xuất chứng chỉ dưới dạng tệp .p12, sau đó đổi tên phần mở rộng thành .pfx (yêu cầu của Key Vault).
  3. Khi tải lên Key Vault, hãy cung cấp mật khẩu được đặt cho tệp .p12.
  4. Tạo hồ sơ cung cấp và mã hóa nó thành base64:
    - Máy Mac: base64 -i example.mobileprovision
    - Cửa sổ: certutil -encode data.txt tmp.b64
  5. Tải chuỗi base64 lên làm bí mật Key Vault, sau đó tải tệp .pfx lên làm chứng chỉ Key Vault.
Thêm thẻ cho chứng chỉ

Sau khi tải lên iOS hoặc Android chứng chỉ, hãy thêm ba thẻ có tên là ID gói và giá trị là tên chứng chỉ đã tải lên. Sử dụng cùng một ID gói như trong trình hướng dẫn gói .