Aplicar a extensão VM do Cofre-Chave aos Serviços de Nuvem Azure (suporte alargado)

O que é a extensão VM do cofre da chave?

A extensão Key Vault VM fornece uma atualização automática dos certificados armazenados num Cofre de Chaves Azure. Especificamente, a extensão monitoriza uma lista de certificados observados armazenados em cofres-chave, e ao detetar uma alteração, recupera e instala os certificados correspondentes. Para mais detalhes, consulte a extensão Key Vault VM para Windows.

Quais as novidades na extensão VM do Cofre da Chave?

A extensão Key Vault VM é agora suportada na plataforma Azure Cloud Services (suporte alargado) para permitir que a gestão dos certificados termine. A extensão pode agora retirar certificados de um Cofre chave configurado num intervalo de votação pré-definido e instalá-los para utilização pelo serviço.

Como posso aproveitar a extensão VM do Cofre-Chave?

O seguinte tutorial irá mostrar-lhe como instalar a extensão VM do Key Vault nos serviços PaaSV1, criando primeiro um certificado de bootstrap no seu cofre para obter um token da AAD que ajudará na autenticação da extensão com o cofre. Uma vez que o processo de autenticação é configurado e a extensão é instalada todos os certificados mais recentes serão retirados automaticamente em intervalos de votação regulares.

Pré-requisitos

Para utilizar a extensão VM do Azure Key Vault, você precisa ter um inquilino do Azure Ative Directory. Para obter mais informações sobre a criação de um novo inquilino ative directory, consulte Configurar o seu inquilino AAD

Ativar a extensão VM do Cofre da Chave Azure

  1. Gere um certificado no seu cofre e descarregue o .cer para esse certificado.

  2. No portal Azure navegue para Registos de Aplicações.

    Mostra a seleção do registo de aplicações no portal.

  3. Na página de Registos de Aplicações selecione Novo Registo no canto superior esquerdo da página

    Mostra o registo da aplicação no portal Azure.

  4. Na página seguinte pode preencher o formulário e completar a criação da aplicação.

  5. Faça o upload do .cer do certificado para o portal de aplicações Azure Ative Directory.

  6. Conceda a lista secreta da aplicação Azure Ative Directory/obtenha permissões no Key Vault:

    • Se estiver a utilizar a pré-visualização do RBAC, procure o nome da aplicação AAD que criou e atribua-a à função Key Vault Secrets User (pré-visualização).
    • Se estiver a utilizar políticas de acesso ao cofre, atribua permissões Secret-Get à aplicação AAD que criou. Para mais informações, consulte As políticas de acesso a atribuir
  7. Instale a primeira versão dos certificados criados no primeiro passo e a extensão VM do Cofre-Chave utilizando o modelo ARM, como mostrado abaixo:

        {
       "osProfile":{
          "secrets":[
             {
                "sourceVault":{
                   "id":"[parameters('sourceVaultValue')]"
                },
                "vaultCertificates":[
                   {
                      "certificateUrl":"[parameters('bootstrpCertificateUrlValue')]"
                   }
                ]
             }
          ]
       }{
          "name":"KVVMExtensionForPaaS",
          "properties":{
             "type":"KeyVaultForPaaS",
             "autoUpgradeMinorVersion":true,
             "typeHandlerVersion":"1.0",
             "publisher":"Microsoft.Azure.KeyVault",
             "settings":{
                "secretsManagementSettings":{
                   "pollingIntervalInS":"3600",
                   "certificateStoreName":"My",
                   "certificateStoreLocation":"LocalMachine",
                   "linkOnRenewal":false,
                   "requireInitialSync":false, 
                   "observedCertificates":"[parameters('keyVaultObservedCertificates']"
                },
                "authenticationSettings":{
                   "clientId":"Your AAD app ID",
                   "clientCertificateSubjectName":"Your boot strap certificate subject name [Do not include the 'CN=' in the subject name]"
                }
             }
          }
       }
    

    Pode ser necessário especificar a loja de certificados para o certificado de correia de arranque em ServiceDefinition.csdef como abaixo:

        <Certificates>
                 <Certificate name="bootstrapcert" storeLocation="LocalMachine" storeName="My" />
        </Certificates> 
    

Passos seguintes

Melhorar ainda mais a sua implementação, permitindo a monitorização nos Serviços cloud (suporte alargado)