Anwenden der Key Vault-VM-Erweiterung auf Azure Cloud Services (erweiterter Support)

Was ist die Key Vault-VM-Erweiterung?

Die Key Vault-VM-Erweiterung ermöglicht die automatische Aktualisierung von Zertifikaten, die in einer Azure Key Vault-Instanz gespeichert sind. Hierbei überwacht die Erweiterung eine Liste mit beobachteten Zertifikaten, die in Schlüsseltresoren gespeichert sind, und ruft bei Erkennung einer Änderung die entsprechenden Zertifikate ab und installiert sie. Weitere Informationen finden Sie unter Key Vault-VM-Erweiterung für Windows.

Welche Neuerungen gibt es in der Key Vault VM-Erweiterung?

Die Key Vault-VM-Erweiterung wird jetzt auf der Azure Cloud Services-Plattform (erweiterter Support) unterstützt, um die End-to-End-Verwaltung von Zertifikaten zu ermöglichen. Die Erweiterung kann nun Zertifikate aus einer konfigurierten Key Vault-Instanz in einem vordefinierten Abrufintervall pullen und für die Verwendung durch den Dienst installieren.

Wie kann ich die Key Vault-VM-Erweiterung nutzen?

Im folgenden Tutorial erfahren Sie, wie Sie die Key Vault-VM-Erweiterung in PaaSV1-Diensten installieren, indem Sie zunächst ein Bootstrapzertifikat in Ihrem Tresor erstellen, um ein Token aus AAD abzurufen, das bei der Authentifizierung der Erweiterung beim Tresor hilft. Nachdem der Authentifizierungsprozess eingerichtet und die Erweiterung installiert wurde, werden alle aktuellen Zertifikate in regelmäßigen Abrufintervallen automatisch gepullt.

Voraussetzungen

Um die Azure Key Vault-VM-Erweiterung verwenden zu können, benötigen Sie einen Azure Active Directory-Mandanten. Weitere Informationen zum Einrichten eines neuen Active Directory-Mandanten finden Sie unter Einrichten Ihres AAD-Mandanten.

Aktivieren der Azure Key Vault-VM-Erweiterung

  1. Generieren Sie ein Zertifikat in Ihrem Tresor, und laden Sie die CER-Datei für dieses Zertifikat herunter.

  2. Navigieren Sie im Azure-Portal zu App-Registrierungen.

    Zeigt die Auswahl der App-Registrierung im Portal.

  3. Wählen Sie auf der Seite „App-Registrierungen“ oben links auf der Seite die Option Neue Registrierung aus.

    Zeigt die App-Registrierung im Azure-Portal.

  4. Auf der nächsten Seite können Sie das Formular ausfüllen und die App-Erstellung abschließen.

  5. Laden Sie die CER-Datei des Zertifikats in das Azure Active Directory-App-Portal hoch.

  6. Erteilen Sie der Azure Active Directory-App Berechtigungen zum Auflisten/Abrufen von Geheimnissen in Key Vault:

    • Wenn Sie rollenbasierte Zugriffssteuerung (Vorschau) verwenden, suchen Sie den Namen der AAD-App, die Sie erstellt haben, und weisen Sie sie der Rolle „Key Vault-Geheimnisbenutzer (Vorschau)“ zu.
    • Wenn Sie Tresorzugriffsrichtlinien verwenden, weisen Sie der AAD-App, die Sie erstellt haben, die Berechtigungen Secret-Get zu. Weitere Informationen finden Sie unter Zuweisen von Zugriffsrichtlinien.
  7. Installieren Sie die erste Version der im ersten Schritt erstellten Zertifikate und die Key Vault-VM-Erweiterung mithilfe der ARM-Vorlage, wie unten gezeigt:

        {
       "osProfile":{
          "secrets":[
             {
                "sourceVault":{
                   "id":"[parameters('sourceVaultValue')]"
                },
                "vaultCertificates":[
                   {
                      "certificateUrl":"[parameters('bootstrpCertificateUrlValue')]"
                   }
                ]
             }
          ]
       }{
          "name":"KVVMExtensionForPaaS",
          "properties":{
             "type":"KeyVaultForPaaS",
             "autoUpgradeMinorVersion":true,
             "typeHandlerVersion":"1.0",
             "publisher":"Microsoft.Azure.KeyVault",
             "settings":{
                "secretsManagementSettings":{
                   "pollingIntervalInS":"3600",
                   "certificateStoreName":"My",
                   "certificateStoreLocation":"LocalMachine",
                   "linkOnRenewal":false,
                   "requireInitialSync":false, 
                   "observedCertificates":"[parameters('keyVaultObservedCertificates']"
                },
                "authenticationSettings":{
                   "clientId":"Your AAD app ID",
                   "clientCertificateSubjectName":"Your boot strap certificate subject name [Do not include the 'CN=' in the subject name]"
                }
             }
          }
       }
    

    Möglicherweise müssen Sie den Zertifikatspeicher für das Bootstrapzertifikat in „ServiceDefinition.csdef“ wie folgt angeben:

        <Certificates>
                 <Certificate name="bootstrapcert" storeLocation="LocalMachine" storeName="My" />
        </Certificates> 
    

Nächste Schritte

Weitere Optimierung Ihrer Bereitstellung durch Aktivieren von Überwachung in Cloud Services (erweiterter Support).