Udostępnij przez

Zastosuj rozszerzenie Key Vault dla maszyny wirtualnej (VM) do usług chmurowych Azure (rozszerzone wsparcie)

Ważne

Od 31 marca 2025 r. usługi w chmurze (wsparcie dodatkowe) są przestarzałe i zostaną w pełni wycofane 31 marca 2027 r. Dowiedz się więcej o tym wycofaniu i sposobie migracji.

Ten artykuł dostarcza podstawowych informacji o rozszerzeniu Azure Key Vault dla maszyn wirtualnych Windows i pokazuje, jak je włączyć w usługach Azure Cloud.

Czym jest rozszerzenie Key Vault VM?

Rozszerzenie VM dla Key Vault zapewnia automatyczne odświeżanie certyfikatów przechowywanych w Azure Key Vault. W szczególności rozszerzenie monitoruje listę obserwowanych certyfikatów przechowywanych w magazynach kluczy. Gdy rozszerzenie wykryje zmianę, pobiera i instaluje odpowiednie certyfikaty. Aby uzyskać więcej informacji, zobacz Rozszerzenie maszyny wirtualnej usługi Key Vault dla systemu Windows.

Co nowego w rozszerzeniu VM Key Vault?

Rozszerzenie Key Vault VM jest teraz obsługiwane na platformie Azure Cloud Services (rozszerzone wsparcie), aby umożliwić kompleksowe zarządzanie certyfikatami. Rozszerzenie może teraz ściągać certyfikaty ze skonfigurowanego magazynu kluczy w wstępnie zdefiniowanym interwale sondowania i instalować je do użycia przez usługę.

Jak mogę użyć rozszerzenia maszyny wirtualnej dla Key Vault?

Poniższa procedura pokazuje, jak zainstalować rozszerzenie maszyny wirtualnej Key Vault na usługach Azure Cloud Services, najpierw tworząc certyfikat bootstrap w magazynie w celu uzyskania tokenu z usługi Microsoft Entra ID. Ten token pomaga w uwierzytelnianiu rozszerzenia z sejfem. Po skonfigurowaniu procesu uwierzytelniania i zainstalowaniu rozszerzenia wszystkie najnowsze certyfikaty zostaną automatycznie pobrane w regularnych odstępach czasu sondowania.

Uwaga

Rozszerzenie Key Vault VM pobiera wszystkie certyfikaty ze sklepu certyfikatów systemu Windows do lokalizacji wskazanej przez właściwość certificateStoreLocation w ustawieniach rozszerzenia VM. Aktualnie rozszerzenie Key Vault dla maszyny wirtualnej (VM) przyznaje dostęp do klucza prywatnego certyfikatu wyłącznie lokalnemu kontu administratora systemu.

Wymagania wstępne

Aby użyć rozszerzenia VM Azure Key Vault, musisz mieć dzierżawcę Microsoft Entra. Aby uzyskać więcej informacji, zobacz Szybki start: konfigurowanie najemcy.

Włącz rozszerzenie VM dla Azure Key Vault

  1. Wygeneruj certyfikat w magazynie i pobierz plik .cer dla tego certyfikatu.

  2. W witrynie Azure Portal przejdź do pozycji Rejestracje aplikacji.

    Zrzut ekranu przedstawiający zasoby dostępne w witrynie Azure Portal, w tym rejestracje aplikacji.

  3. Na stronie Rejestracje aplikacji wybierz pozycję Nowa rejestracja.

    Zrzut ekranu przedstawiający stronę rejestracji aplikacji w witrynie Azure Portal.

  4. Na następnej stronie wypełnij formularz i zakończ tworzenie aplikacji.

  5. Prześlij plik .cer certyfikatu do portalu aplikacji Microsoft Entra.

    Opcjonalnie możesz użyć funkcji powiadomień usługi Azure Event Grid dla usługi Key Vault , aby przekazać certyfikat.

  6. Przydziel aplikacji Microsoft Entra tajne uprawnienia w Key Vault.

    • Jeśli używasz podglądu kontroli dostępu opartej na rolach (RBAC), wyszukaj nazwę aplikacji Microsoft Entra, którą utworzyłeś, i przypisz ją do roli Użytkownika Tajemnic Key Vault (podgląd).
    • Jeśli korzystasz z zasad dostępu do magazynu, przypisz uprawnienia Secret-Get aplikacji Microsoft Entra, którą utworzyłeś. Aby uzyskać dalsze informacje, zobacz sekcję Przypisywanie zasad dostępu.

  7. Zainstaluj rozszerzenie Key Vault VM, używając fragmentu szablonu Azure Resource Manager dla zasobu cloudService.

    {
    "osProfile":
    {
        "secrets":
        [
            {
                "sourceVault":
                {
                    "id": "[parameters('sourceVaultValue')]"
                },
                "vaultCertificates":
                [
                    {
                        "certificateUrl": "[parameters('bootstrpCertificateUrlValue')]"
                    }
                ]
            }
        ]
    },
    "extensionProfile":
    {
        "extensions":
        [
            {
                "name": "KVVMExtensionForPaaS",
                "properties":
                {
                    "type": "KeyVaultForPaaS",
                    "autoUpgradeMinorVersion": true,
                    "typeHandlerVersion": "1.0",
                    "publisher": "Microsoft.Azure.KeyVault",
                    "settings":
                    {
                        "secretsManagementSettings":
                        {
                            "pollingIntervalInS": "3600",
                            "certificateStoreName": "My",
                            "certificateStoreLocation": "LocalMachine",
                            "linkOnRenewal": false,
                            "requireInitialSync": false,
                            "observedCertificates": "[parameters('keyVaultObservedCertificates']"
                        },
                        "authenticationSettings":
                        {
                            "clientId": "Your AAD app ID",
                            "clientCertificateSubjectName": "Your boot strap certificate subject name [Do not include the 'CN=' in the subject name]"
                        }
                    }
                }
            }
        ]
    }
}

    Może być konieczne określenie magazynu certyfikatów dla certyfikatu bootstrap w pliku ServiceDefinition.csdef:

        <Certificates>
             <Certificate name="bootstrapcert" storeLocation="LocalMachine" storeName="My" />
    </Certificates>

Dalsze kroki

Dalsze ulepszanie wdrożenia przez włączenie monitorowania w usługach Azure Cloud Services (rozszerzona pomoc techniczna).

  • Last updated on