Applicare l'estensione Key Vault macchina virtuale Servizi cloud di Azure (supporto esteso)

Qual è l'estensione Key Vault macchina virtuale?

L Key Vault di macchina virtuale offre l'aggiornamento automatico dei certificati archiviati in un Azure Key Vault. In particolare, l'estensione monitora un elenco di certificati osservati archiviati negli insiemi di credenziali delle chiavi e al rilevamento di una modifica, recupera e installa i certificati corrispondenti. Per altri dettagli, vedere l'Key Vault macchina virtuale per Windows.

Novità dell'estensione macchina Key Vault virtuale

L Key Vault di macchina virtuale è ora supportata nella piattaforma Servizi cloud di Azure (supporto esteso) per consentire la gestione end-to-end dei certificati. L'estensione può ora eseguire il pull dei certificati da un Key Vault configurato a un intervallo di polling predefinito e installarli per l'uso da parte del servizio.

Come è possibile sfruttare l'estensione Key Vault macchina virtuale?

L'esercitazione seguente illustra come installare l'estensione macchina virtuale Key Vault nei servizi PaaSV1 creando prima un certificato bootstrap nell'insieme di credenziali per ottenere un token da AAD che sarà utile per l'autenticazione dell'estensione con l'insieme di credenziali. Dopo aver configurato il processo di autenticazione e installato l'estensione, tutti i certificati più recenti verranno estratti automaticamente a intervalli di polling regolari.

Prerequisiti

Per usare l'Azure Key Vault macchina virtuale, è necessario avere un tenant Azure Active Directory servizio. Per altre informazioni sulla configurazione di un nuovo tenant di Active Directory, vedere Configurare il tenant di AAD

Abilitare l'estensione Azure Key Vault macchina virtuale

  1. Generare un certificato nell'insieme di credenziali e scaricare il file CER per tale certificato.

  2. Nell'portale di Azure passare a Registrazioni app.

    Mostra la selezione della registrazione dell'app nel portale.

  3. Nella pagina Registrazioni per l'app selezionare Nuova registrazione nell'angolo superiore sinistro della pagina

    Mostra la registrazione dell'app peccare portale di Azure.

  4. Nella pagina successiva è possibile compilare il modulo e completare la creazione dell'app.

  5. Caricare il file cer del certificato nel portale Azure Active Directory app.

    • Facoltativamente, è anche possibile sfruttare la Key Vault di notifica di Griglia di eventi per caricare il certificato.
  6. Concedere all'Azure Active Directory segreto dell'app o ottenere le autorizzazioni in Key Vault:

    • Se si usa l'anteprima del controllo degli accessi in base al ruolo, cercare il nome dell'app AAD creata e assegnarla al ruolo Key Vault Secrets User (anteprima).
    • Se si usano i criteri di accesso dell'insieme di credenziali, assegnare le autorizzazioni Secret-Get all'app AAD creata. Per altre informazioni, vedere Assegnare criteri di accesso
  7. Installare la prima versione dei certificati creati nel primo passaggio e l'estensione Key Vault macchina virtuale usando il modello arm, come illustrato di seguito:

        {
       "osProfile":{
          "secrets":[
             {
                "sourceVault":{
                   "id":"[parameters('sourceVaultValue')]"
                },
                "vaultCertificates":[
                   {
                      "certificateUrl":"[parameters('bootstrpCertificateUrlValue')]"
                   }
                ]
             }
          ]
       }{
          "name":"KVVMExtensionForPaaS",
          "properties":{
             "type":"KeyVaultForPaaS",
             "autoUpgradeMinorVersion":true,
             "typeHandlerVersion":"1.0",
             "publisher":"Microsoft.Azure.KeyVault",
             "settings":{
                "secretsManagementSettings":{
                   "pollingIntervalInS":"3600",
                   "certificateStoreName":"My",
                   "certificateStoreLocation":"LocalMachine",
                   "linkOnRenewal":false,
                   "requireInitialSync":false, 
                   "observedCertificates":"[parameters('keyVaultObservedCertificates']"
                },
                "authenticationSettings":{
                   "clientId":"Your AAD app ID",
                   "clientCertificateSubjectName":"Your boot strap certificate subject name [Do not include the 'CN=' in the subject name]"
                }
             }
          }
       }
    

    Potrebbe essere necessario specificare l'archivio certificati per il certificato della barra di avvio in ServiceDefinition.csdef come indicato di seguito:

        <Certificates>
                 <Certificate name="bootstrapcert" storeLocation="LocalMachine" storeName="My" />
        </Certificates> 
    

Passaggi successivi

Migliorare ulteriormente la distribuzione abilitando il monitoraggio in Servizi cloud (supporto esteso)