Delen via

De Key Vault Virtual Machine-extensie (VM) toepassen op Azure Cloud Services (uitgebreide ondersteuning)

Belangrijk

Vanaf 31 maart 2025 wordt cloudservices (uitgebreide ondersteuning) afgeschaft en wordt deze volledig buiten gebruik gesteld op 31 maart 2027. Meer informatie over deze veroudering en hoe u kunt migreren.

Dit artikel bevat basisinformatie over de Azure Key Vault VM-extensie voor Windows en laat zien hoe u deze inschakelt in Azure Cloud Services.

Wat is de Key Vault VM-extensie?

De Key Vault VM-extensie biedt automatische vernieuwing van certificaten die zijn opgeslagen in een Azure-sleutelkluis. Met name de extensie bewaakt een lijst met waargenomen certificaten die zijn opgeslagen in sleutelkluizen. Wanneer de extensie een wijziging detecteert, worden de bijbehorende certificaten opgehaald en geïnstalleerd. Zie de Key Vault VM-extensie voor Windows voor meer informatie.

Wat is er nieuw in de Key Vault VM-extensie?

De Key Vault VM-extensie wordt nu ondersteund op het Azure Cloud Services-platform (uitgebreide ondersteuning) om het beheer van certificaten end-to-end mogelijk te maken. De extensie kan nu certificaten ophalen uit een geconfigureerde sleutelkluis met een vooraf gedefinieerd polling-interval en deze installeren voor gebruik door de service.

Hoe kan ik de Key Vault VM-extensie gebruiken?

In de volgende procedure ziet u hoe u de Key Vault VM-extensie installeert in Azure Cloud Services door eerst een bootstrap-certificaat in uw kluis te maken om een token op te halen uit Microsoft Entra-id. Dit token helpt bij de authenticatie van de extensie met de kluis. Na het instellen van het verificatieproces en de installatie van de extensie, worden de laatste certificaten automatisch opgehaald met regelmatige controle-intervallen.

Notitie

Met de Key Vault-VM-extensie worden alle certificaten in het Windows-certificaatarchief gedownload naar de locatie die door de certificateStoreLocation eigenschap is opgegeven in de instellingen van de VM-extensie. Momenteel verleent de Key Vault-VM-extensie alleen toegang tot de persoonlijke sleutel van het certificaat aan het lokale systeembeheerdersaccount.

Vereiste voorwaarden

Als u de AZURE Key Vault VM-extensie wilt gebruiken, moet u een Microsoft Entra-tenant hebben. Zie quickstart: Een tenant instellen voor meer informatie.

De Azure Key Vault-VM-extensie inschakelen

  1. Genereer een certificaat in uw kluis en download het .cer-bestand voor dat certificaat.

  2. Ga in Azure Portal naar App-registraties.

    Schermopname van resources die beschikbaar zijn in Azure Portal, inclusief app-registraties.

  3. Selecteer op de pagina App-registratiesNieuwe registratie.

    Schermopname van de pagina voor app-registraties in Azure Portal.

  4. Op de volgende pagina vult u het formulier in en voltooit u het aanmaken van de app.

  5. Upload het .cer-bestand van het certificaat naar de Microsoft Entra-app-portal.

    U kunt eventueel de azure Event Grid-meldingsfunctie voor Key Vault gebruiken om het certificaat te uploaden.

  6. Verken de geheime machtigingen voor de Microsoft Entra-app in Key Vault:

    • Als u een RBAC-preview (op rollen gebaseerd toegangsbeheer) gebruikt, zoekt u naar de naam van de Microsoft Entra-app die u hebt gemaakt en wijst u deze toe aan de rol Key Vault Secrets User (preview).
    • Als u kluistoegangsbeleid gebruikt, wijst u Secret-Get-machtigingen toe aan de Microsoft Entra-app die u hebt gemaakt. Raadpleeg Toegangsbeleid toewijzen voor meer informatie.

  7. Installeer de Key Vault-VM-extensie met behulp van het Azure Resource Manager-sjabloonfragment voor de cloudService resource:

    {
    "osProfile":
    {
        "secrets":
        [
            {
                "sourceVault":
                {
                    "id": "[parameters('sourceVaultValue')]"
                },
                "vaultCertificates":
                [
                    {
                        "certificateUrl": "[parameters('bootstrpCertificateUrlValue')]"
                    }
                ]
            }
        ]
    },
    "extensionProfile":
    {
        "extensions":
        [
            {
                "name": "KVVMExtensionForPaaS",
                "properties":
                {
                    "type": "KeyVaultForPaaS",
                    "autoUpgradeMinorVersion": true,
                    "typeHandlerVersion": "1.0",
                    "publisher": "Microsoft.Azure.KeyVault",
                    "settings":
                    {
                        "secretsManagementSettings":
                        {
                            "pollingIntervalInS": "3600",
                            "certificateStoreName": "My",
                            "certificateStoreLocation": "LocalMachine",
                            "linkOnRenewal": false,
                            "requireInitialSync": false,
                            "observedCertificates": "[parameters('keyVaultObservedCertificates']"
                        },
                        "authenticationSettings":
                        {
                            "clientId": "Your AAD app ID",
                            "clientCertificateSubjectName": "Your boot strap certificate subject name [Do not include the 'CN=' in the subject name]"
                        }
                    }
                }
            }
        ]
    }
}

    Mogelijk moet u het certificaatarchief voor het bootstrap-certificaat opgeven in ServiceDefinition.csdef:

        <Certificates>
             <Certificate name="bootstrapcert" storeLocation="LocalMachine" storeName="My" />
    </Certificates>

Volgende stappen

Verbeter uw implementatie verder door bewaking in te schakelen in Azure Cloud Services (uitgebreide ondersteuning).

  • Last updated on