Sdílet prostřednictvím

Nastavení šifrovacího certifikátu a šifrování tajných kódů v clusterech s Windows

  • Článek

Tento článek ukazuje, jak nastavit šifrovací certifikát a použít ho k šifrování tajných kódů v clusterech s Windows. Informace o clusterech s Linuxem najdete v tématu Nastavení šifrovacího certifikátu a šifrování tajných kódů v clusterech s Linuxem.

Azure Key Vault se zde používá jako bezpečné umístění úložiště pro certifikáty a jako způsob, jak získat certifikáty nainstalované v clusterech Service Fabric v Azure. Pokud do Azure nenasazujete, nemusíte ke správě tajných kódů v aplikacích Service Fabric používat službu Key Vault. Použití tajných kódů v aplikaci je však nezávislé na cloudové platformě, aby bylo možné aplikace nasadit do clusteru hostovaného kdekoli.

Získání certifikátu šifrování dat

Certifikát šifrování dat se používá výhradně k šifrování a dešifrování parametrů v Settings.xml služby a proměnných prostředí v ServiceManifest.xml služby. Nepoužívá se k ověřování ani podepisování šifrového textu. Certifikát musí splňovat následující požadavky:

  • Certifikát musí obsahovat privátní klíč.

  • Certifikát musí být vytvořen pro výměnu klíčů, exportovatelný do souboru Personal Information Exchange (.pfx).

  • Použití klíče certifikátu musí obsahovat šifrování dat (10) a nesmí obsahovat ověřování serveru ani ověřování klientů.

    Například při vytváření certifikátu podepsaného svým držitelem pomocí PowerShellu KeyUsage musí být příznak nastaven na DataEncipherment:

    New-SelfSignedCertificate -Type DocumentEncryptionCert -KeyUsage DataEncipherment -Subject mydataenciphermentcert -Provider 'Microsoft Enhanced Cryptographic Provider v1.0'

Instalace certifikátu v clusteru

Tento certifikát musí být nainstalovaný na každém uzlu v clusteru. Pokyny k nastavení najdete v tématu vytvoření clusteru pomocí Azure Resource Manageru .

Šifrování tajných kódů aplikací

K šifrování tajného kódu se používá následující příkaz PowerShellu. Tento příkaz šifruje pouze hodnotu; nepodepíše šifrový text. K vytvoření šifrovacího textu tajných hodnot musíte použít stejný certifikát šifrování, který je nainstalovaný ve vašem clusteru:

Invoke-ServiceFabricEncryptText -CertStore -CertThumbprint "<thumbprint>" -Text "mysecret" -StoreLocation CurrentUser -StoreName My

Výsledný řetězec s kódováním base-64 obsahuje tajný šifrový text i informace o certifikátu, který byl použit k jeho šifrování.

Další kroky

Zjistěte, jak v aplikaci zadat šifrované tajné kódy.