Szybki start: biblioteka klienta certyfikatów usługi Azure Key Vault dla platformy .NET

Wprowadzenie do biblioteki klienta certyfikatów usługi Azure Key Vault dla platformy .NET. Azure Key Vault to usługa w chmurze, która zapewnia bezpieczny magazyn certyfikatów. Możesz bezpiecznie przechowywać klucze, hasła, certyfikaty oraz inne wpisy tajne. Magazyny kluczy platformy Azure można tworzyć oraz nimi zarządzać za pośrednictwem witryny Azure Portal. Z tego przewodnika Szybki start dowiesz się, jak tworzyć, pobierać i usuwać certyfikaty z magazynu kluczy platformy Azure przy użyciu biblioteki klienta platformy .NET.

Zasoby biblioteki klienta usługi Key Vault:

Dokumentacja interfejsu API — | pakiet kodu | źródłowego biblioteki (NuGet)

Aby uzyskać więcej informacji na temat usługi Key Vault i certyfikatów, zobacz:

• Omówienie usługi Key Vault
• Omówienie certyfikatów.

Wymagania wstępne

• Subskrypcja platformy Azure — utwórz bezpłatnie subskrypcję platformy Azure
• Zestaw .NET 6 SDK lub nowszy
• Interfejs wiersza polecenia platformy Azure
• Magazyn kluczy — można go utworzyć przy użyciu witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell.

Ten przewodnik Szybki start korzysta z interfejsu dotnet wiersza polecenia platformy Azure.

Ustawienia

Ten przewodnik Szybki start używa biblioteki tożsamości platformy Azure z interfejsem wiersza polecenia platformy Azure do uwierzytelniania użytkownika w usługach platformy Azure. Deweloperzy mogą również używać programu Visual Studio lub Visual Studio Code do uwierzytelniania wywołań. Aby uzyskać więcej informacji, zobacz Uwierzytelnianie klienta za pomocą biblioteki klienta tożsamości platformy Azure.

Logowanie się do platformy Azure

1. Uruchom polecenie login.

   az login
   

   Jeśli interfejs wiersza polecenia może otworzyć domyślną przeglądarkę, zrobi to i załaduje stronę logowania platformy Azure.

   W przeciwnym razie otwórz stronę przeglądarki pod https://aka.ms/devicelogin adresem i wprowadź kod autoryzacji wyświetlany w terminalu.

2. Zaloguj się w przeglądarce przy użyciu poświadczeń swojego konta.

Udzielanie dostępu do magazynu kluczy

Aby uzyskać uprawnienia do magazynu kluczy za pomocą kontroli dostępu opartej na rolach (RBAC), przypisz rolę do głównej nazwy użytkownika (UPN) przy użyciu polecenia az role assignment create interfejsu wiersza polecenia platformy Azure.

az role assignment create --role "Key Vault Certificate Officer" --assignee "<upn>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

Zastąp <wartości upn>, <subscription-id>, <resource-group-name> i <your-unique-keyvault-name> rzeczywistymi wartościami. Nazwa UPN będzie zwykle mieć format adresu e-mail (np. username@domain.com).

Tworzenie nowej aplikacji konsolowej platformy .NET

1. W powłoce poleceń uruchom następujące polecenie, aby utworzyć projekt o nazwie key-vault-console-app:

   dotnet new console --name key-vault-console-app
   

2. Przejdź do nowo utworzonego katalogu key-vault-console-app i uruchom następujące polecenie, aby skompilować projekt:

   dotnet build
   

   Dane wyjściowe kompilacji nie powinny zawierać żadnych ostrzeżeń ani błędów.

   Build succeeded.
    0 Warning(s)
    0 Error(s)
   

Instalowanie pakietów

W powłoce poleceń zainstaluj bibliotekę klienta certyfikatów usługi Azure Key Vault dla platformy .NET:

dotnet add package Azure.Security.KeyVault.Certificates

W tym przewodniku Szybki start należy również zainstalować bibliotekę klienta tożsamości platformy Azure:

dotnet add package Azure.Identity

Ustawianie zmiennych środowiskowych

Aplikacja uzyskuje nazwę magazynu kluczy ze zmiennej środowiskowej o nazwie KEY_VAULT_NAME.

Windows

set KEY_VAULT_NAME=<your-key-vault-name>

Windows PowerShell

$Env:KEY_VAULT_NAME="<your-key-vault-name>"

macOS lub Linux

export KEY_VAULT_NAME=<your-key-vault-name>

Model obiektów

Biblioteka klienta certyfikatów usługi Azure Key Vault dla platformy .NET umożliwia zarządzanie certyfikatami. W sekcji Przykłady kodu pokazano, jak utworzyć klienta, ustawić certyfikat, pobrać certyfikat i usunąć certyfikat.

Przykłady kodu

Dodawanie dyrektyw

Dodaj następujące dyrektywy na początku Program.cs:

using System;
using Azure.Identity;
using Azure.Security.KeyVault.Certificates;

Uwierzytelnianie i tworzenie klienta

Żądania aplikacji do większości usług platformy Azure muszą być autoryzowane. Użycie klasy DefaultAzureCredential udostępnionej przez bibliotekę klienta tożsamości platformy Azure jest zalecanym podejściem do implementowania połączeń bez hasła z usługami platformy Azure w kodzie. DefaultAzureCredential obsługuje wiele metod uwierzytelniania i określa, która metoda powinna być używana w czasie wykonywania. Takie podejście umożliwia aplikacji używanie różnych metod uwierzytelniania w różnych środowiskach (lokalnych i produkcyjnych) bez implementowania kodu specyficznego dla środowiska.

W tym przewodniku Szybki start DefaultAzureCredential uwierzytelnia się w magazynie kluczy przy użyciu poświadczeń lokalnego użytkownika dewelopera zalogowanego do interfejsu wiersza polecenia platformy Azure. Po wdrożeniu aplikacji na platformie Azure ten sam DefaultAzureCredential kod może automatycznie odnajdywać i używać tożsamości zarządzanej przypisanej do usługi App Service, maszyny wirtualnej lub innych usług. Aby uzyskać więcej informacji, zobacz Omówienie tożsamości zarządzanej.

W tym przykładzie nazwa magazynu kluczy jest rozszerzana na identyfikator URI magazynu kluczy w formacie https://<your-key-vault-name>.vault.azure.net. Aby uzyskać więcej informacji na temat uwierzytelniania w magazynie kluczy, zobacz Przewodnik dewelopera.

string keyVaultName = Environment.GetEnvironmentVariable("KEY_VAULT_NAME");
var kvUri = "https://" + keyVaultName + ".vault.azure.net";

var client = new CertificateClient(new Uri(kvUri), new DefaultAzureCredential());

Zapisywanie certyfikatu

W tym przykładzie dla uproszczenia można użyć certyfikatu z podpisem własnym z domyślnymi zasadami wystawiania. W tym zadaniu użyj metody StartCreateCertificateAsync . Parametry metody akceptują nazwę certyfikatu i zasady certyfikatu.

var operation = await client.StartCreateCertificateAsync("myCertificate", CertificatePolicy.Default);
var certificate = await operation.WaitForCompletionAsync();

Uwaga

Jeśli nazwa certyfikatu istnieje, powyższy kod utworzy nową wersję tego certyfikatu.

Pobieranie certyfikatu

Teraz możesz pobrać wcześniej utworzony certyfikat za pomocą metody GetCertificateAsync .

var certificate = await client.GetCertificateAsync("myCertificate");

Usuwanie certyfikatu

Na koniec usuńmy i przeczyścimy certyfikat z magazynu kluczy za pomocą metod StartDeleteCertificateAsync i PurgeDeletedCertificateAsync .

var operation = await client.StartDeleteCertificateAsync("myCertificate");

// You only need to wait for completion if you want to purge or recover the certificate.
await operation.WaitForCompletionAsync();

var certificate = operation.Value;
await client.PurgeDeletedCertificateAsync("myCertificate");

Przykładowy kod

Zmodyfikuj aplikację konsolową platformy .NET w celu interakcji z usługą Key Vault, wykonując następujące kroki:

• Zastąp kod w Program.cs następującym kodem:

  using System;
  using System.Threading.Tasks;
  using Azure.Identity;
  using Azure.Security.KeyVault.Certificates;
  
  namespace key_vault_console_app
  {
      class Program
      {
          static async Task Main(string[] args)
          {
              const string certificateName = "myCertificate";
              var keyVaultName = Environment.GetEnvironmentVariable("KEY_VAULT_NAME");
              var kvUri = $"https://{keyVaultName}.vault.azure.net";
  
              var client = new CertificateClient(new Uri(kvUri), new DefaultAzureCredential());
  
              Console.Write($"Creating a certificate in {keyVaultName} called '{certificateName}' ...");
              CertificateOperation operation = await client.StartCreateCertificateAsync(certificateName, CertificatePolicy.Default);
              await operation.WaitForCompletionAsync();
              Console.WriteLine(" done.");
  
              Console.WriteLine($"Retrieving your certificate from {keyVaultName}.");
              var certificate = await client.GetCertificateAsync(certificateName);
              Console.WriteLine($"Your certificate version is '{certificate.Value.Properties.Version}'.");
  
              Console.Write($"Deleting your certificate from {keyVaultName} ...");
              DeleteCertificateOperation deleteOperation = await client.StartDeleteCertificateAsync(certificateName);
              // You only need to wait for completion if you want to purge or recover the certificate.
              await deleteOperation.WaitForCompletionAsync();
              Console.WriteLine(" done.");
  
              Console.Write($"Purging your certificate from {keyVaultName} ...");
              await client.PurgeDeletedCertificateAsync(certificateName);
              Console.WriteLine(" done.");
          }
      }
  }
  

Testowanie i weryfikowanie

Wykonaj następujące polecenie, aby skompilować projekt

dotnet build

Zostanie wyświetlona odmiana następujących danych wyjściowych:

Creating a certificate in mykeyvault called 'myCertificate' ... done.
Retrieving your certificate from mykeyvault.
Your certificate version is '8532359bced24e4bb2525f2d2050738a'.
Deleting your certificate from mykeyvault ... done
Purging your certificate from mykeyvault ... done

Następne kroki

W tym przewodniku Szybki start utworzono magazyn kluczy, zapisano certyfikat i pobrano ten certyfikat.

Aby dowiedzieć się więcej o usłudze Key Vault i sposobie jej integracji z aplikacjami, zobacz następujące artykuły:

• Przeczytaj omówienie usługi Azure Key Vault
• Przeczytaj omówienie certyfikatów
• Samouczek dotyczący uzyskiwania dostępu do usługi Key Vault z poziomu aplikacji usługi App Service
• Zobacz samouczek uzyskiwania dostępu do usługi Key Vault z poziomu maszyny wirtualnej
• Zobacz przewodnik dewelopera usługi Azure Key Vault
• Przegląd zabezpieczeń usługi Key Vault