تطبيق ملحق Key Vault VM على خدمات Azure السحابية (الدعم الموسع)

  • مقالة
  • قراءة خلال 2 دقائق

ما هو ملحق VM Key Vault؟

يوفر ملحق Key Vault VM التحديث التلقائي للشهادات المخزنة في Key Vault Azure. على وجه التحديد ، تراقب الإضافة قائمة بالشهادات المرصودة المخزنة في خزائن المفاتيح ، وعند اكتشاف التغيير ، تسترد الشهادات المقابلة وتثبيتها. لمزيد من التفاصيل، راجع ملحق الجهاز الظاهري Key Vault Windows.

ما الجديد في ملحق VM Key Vault؟

يتم الآن دعم ملحق Key Vault VM على النظام الأساسي Azure Cloud Services (الدعم الموسع) لتمكين إدارة الشهادات من البداية إلى النهاية. يمكن للملحق الآن سحب الشهادات من Key Vault تم تكوينها في فاصل استقصاء محدد مسبقا وتثبيتها لاستخدامها من قبل الخدمة.

كيف يمكنني الاستفادة من Key Vault VM؟

سيوضح لك البرنامج التعليمي التالي كيفية تثبيت ملحق Key Vault VM على خدمات PaaSV1 عن طريق إنشاء شهادة تمهيد أولا في خزينتك للحصول على رمز مميز من AAD (دليل Azure النشط) سيساعد في مصادقة الامتداد باستخدام القبو. بمجرد إعداد عملية المصادقة وتثبيت الإضافة ، سيتم سحب جميع الشهادات الأخيرة تلقائيا على فترات الاقتراع العادية.

ملاحظة

يقوم ملحق Key Vault VM بتنزيل كافة الشهادات في مخزن شهادات Windows أو إلى الموقع الذي توفره الخاصية "certificateStoreLocation" في إعدادات ملحق الجهاز الظاهري. حاليا، يمنح ملحق KV VM حق الوصول إلى المفتاح الخاص للشهادة فقط إلى حساب مسؤول النظام المحلي.

المتطلبات الأساسية

لاستخدام ملحق Azure Key Vault VM، يجب أن يكون لديك مستأجر Azure Active Directory. لمزيد من المعلومات حول إعداد مستأجر Active Directory جديد، راجع إعداد مستأجر AAD (دليل Azure النشط)

تمكين ملحق Azure Key Vault VM

  1. أنشئ شهادة في خزينتك وقم بتنزيل .cer لتلك الشهادة.

  2. في مدخل Azure، انتقل إلى تسجيلات التطبيقات.

    Shows selecting app registration in the portal.

  3. في صفحة تسجيلات التطبيقات ، حدد تسجيل جديد في الزاوية العلوية اليمنى من الصفحة

    Shows the app registration sin the Azure portal.

  4. في الصفحة التالية ، يمكنك ملء النموذج وإكمال إنشاء التطبيق.

  5. Upload .cer الشهادة إلى مدخل تطبيق Azure Active Directory.

  6. منح القائمة السرية لتطبيق Azure Active Directory / الحصول على أذونات في Key Vault:

    • إذا كنت تستخدم معاينة RBAC، فابحث عن اسم تطبيق AAD (دليل Azure النشط) الذي أنشأته وقم بتعيينه إلى دور مستخدم (معاينة) Key Vault Secrets.
    • إذا كنت تستخدم سياسات الوصول إلى الخزانة، فقم بتعيين أذونات Secret-Get إلى تطبيق AAD (دليل Azure النشط) الذي أنشأته. لمزيد من المعلومات، راجع تعيين سياسات الوصول

  7. قم بتثبيت الإصدار الأول من الشهادات التي تم إنشاؤها في الخطوة الأولى Key Vault ملحق VM باستخدام قالب ARM كما هو موضح أدناه:

        {
   "osProfile":{
      "secrets":[
         {
            "sourceVault":{
               "id":"[parameters('sourceVaultValue')]"
            },
            "vaultCertificates":[
               {
                  "certificateUrl":"[parameters('bootstrpCertificateUrlValue')]"
               }
            ]
         }
      ]
   }{
      "name":"KVVMExtensionForPaaS",
      "properties":{
         "type":"KeyVaultForPaaS",
         "autoUpgradeMinorVersion":true,
         "typeHandlerVersion":"1.0",
         "publisher":"Microsoft.Azure.KeyVault",
         "settings":{
            "secretsManagementSettings":{
               "pollingIntervalInS":"3600",
               "certificateStoreName":"My",
               "certificateStoreLocation":"LocalMachine",
               "linkOnRenewal":false,
               "requireInitialSync":false, 
               "observedCertificates":"[parameters('keyVaultObservedCertificates']"
            },
            "authenticationSettings":{
               "clientId":"Your AAD app ID",
               "clientCertificateSubjectName":"Your boot strap certificate subject name [Do not include the 'CN=' in the subject name]"
            }
         }
      }
   }

    قد تحتاج إلى تحديد مخزن الشهادات لشهادة حزام التمهيد في ServiceDefinition.csdef كما هو موضح أدناه:

        <Certificates>
             <Certificate name="bootstrapcert" storeLocation="LocalMachine" storeName="My" />
    </Certificates>

الخطوات التالية

زيادة تحسين النشر من خلال تمكين المراقبة في الخدمات السحابية (الدعم الموسع)