在 Azure Stack Hub 上部署具有安全儲存憑證的 VM
本文說明如何部署已安裝Key Vault 憑證的 Azure Stack Hub 虛擬機(VM)。
概述
憑證可用於許多案例,例如向 Active Directory 進行驗證,或加密 Web 流量。 您可以將憑證安全地儲存為 Azure Stack Hub 金鑰保存庫中的秘密。 使用 Azure Stack Hub Key Vault 的優點如下:
- 憑證不會在腳本、命令行歷程記錄或範本中公開。
- 憑證管理程式已簡化。
- 您可以控制存取憑證的金鑰。
流程描述
下列步驟說明將憑證推送至 VM 所需的程式:
- 建立金鑰保存庫機密。
- 更新 azuredeploy.parameters.json 檔案。
- 部署範本。
注意
如果您是透過 VPN 連線,則可以從 Azure Stack 開發工具套件 (ASDK) 或從外部用戶端使用這些步驟。
先決條件
- 您必須訂閱包含 Key Vault 服務的供應專案。
- 安裝適用於 Azure Stack Hub 的 PowerShell。
- 設定 Azure Stack Hub 使用者的 PowerShell 環境。
建立金鑰保存庫機密
下列腳本會以 .pfx 格式建立憑證、建立密鑰保存庫,並將憑證儲存在密鑰保存庫中做為秘密。 秘密的 contentType 必須設定為 pfx。
重要
建立金鑰保存庫時,您必須使用 -EnabledForDeployment 參數。 此參數可確保可從 Azure Resource Manager 樣本參考金鑰保存庫。
# Create a certificate in the .pfx format
New-SelfSignedCertificate `
-certstorelocation cert:\LocalMachine\My `
-dnsname contoso.microsoft.com
$pwd = ConvertTo-SecureString `
-String "<Password used to export the certificate>" `
-Force `
-AsPlainText
Export-PfxCertificate `
-cert "cert:\localMachine\my\<certificate thumbprint that was created in the previous step>" `
-FilePath "<Fully qualified path to where the exported certificate can be stored>" `
-Password $pwd
# Create a key vault and upload the certificate into the key vault as a secret
$vaultName = "contosovault"
$resourceGroup = "contosovaultrg"
$location = "local"
$secretName = "servicecert"
$fileName = "<Fully qualified path to where the exported certificate can be stored>"
$certPassword = "<Password used to export the certificate>"
$fileContentBytes = get-content $fileName `
-Encoding Byte
$fileContentEncoded = [System.Convert]::ToBase64String($fileContentBytes)
$jsonObject = @"
{
"data": "$filecontentencoded",
"dataType" :"pfx",
"password": "$certPassword"
}
"@
$jsonObjectBytes = [System.Text.Encoding]::UTF8.GetBytes($jsonObject)
$jsonEncoded = [System.Convert]::ToBase64String($jsonObjectBytes)
New-AzResourceGroup `
-Name $resourceGroup `
-Location $location
New-AzKeyVault `
-VaultName $vaultName `
-ResourceGroupName $resourceGroup `
-Location $location `
-sku standard `
-EnabledForDeployment
$secret = ConvertTo-SecureString `
-String $jsonEncoded `
-AsPlainText -Force
Set-AzureKeyVaultSecret `
-VaultName $vaultName `
-Name $secretName `
-SecretValue $secret
當您執行此文稿時,輸出會包含秘密 URI。 請記下此 URI,因為您必須在推送憑證至 Windows Resource Manager 範本 中引用它。 將 vm-push-certificate-windows 範本資料夾下載到您的開發電腦。 此資料夾包含下列步驟中所需的 azuredeploy.json 和 azuredeploy.parameters.json 檔案。
根據您的環境值修改 azuredeploy.parameters.json 檔案。 重要參數是保存庫名稱、保存庫資源群組和秘密 URI(如先前腳本所產生的)。 下一節顯示參數檔案的範例。
更新 azuredeploy.parameters.json 檔案
使用 vaultName、秘密 URI、VmName和其他參數,根據您的環境更新 azuredeploy.parameters.json 檔案。 下列 JSON 檔案顯示樣本參數檔案的範例:
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"newStorageAccountName": {
"value": "kvstorage01"
},
"vmName": {
"value": "VM1"
},
"vmSize": {
"value": "Standard_D1_v2"
},
"adminUserName": {
"value": "demouser"
},
"adminPassword": {
"value": "demouser@123"
},
"vaultName": {
"value": "contosovault"
},
"vaultResourceGroup": {
"value": "contosovaultrg"
},
"secretUrlWithVersion": {
"value": "https://testkv001.vault.local.azurestack.external/secrets/testcert002/82afeeb84f4442329ce06593502e7840"
}
}
}
部署範本
使用下列 PowerShell 腳本部署範本:
# Deploy a Resource Manager template to create a VM and push the secret to it
New-AzResourceGroupDeployment `
-Name KVDeployment `
-ResourceGroupName $resourceGroup `
-TemplateFile "<Fully qualified path to the azuredeploy.json file>" `
-TemplateParameterFile "<Fully qualified path to the azuredeploy.parameters.json file>"
成功部署範本時,會顯示下列輸出:
Azure Stack Hub 會在部署期間將憑證推送至 VM。 憑證位置取決於 VM 的作系統:
- 在 Windows 中,憑證會新增至 LocalMachine 憑證位置,以及使用者提供的憑證存放區。
- 在 Linux 中,憑證會放在 /var/lib/waagent 目錄中,其中 X509 憑證檔案的檔名為 UppercaseThumbprint.crt,而私鑰的檔名為 UppercaseThumbprint.prv。
撤銷憑證
淘汰憑證是憑證管理程式的一部分。 您無法刪除舊版的憑證,但您可以使用 Set-AzureKeyVaultSecretAttribute Cmdlet 加以停用。
下列範例示範如何停用憑證。 針對 VaultName、Name和 Version 參數使用您自己的值。
Set-AzureKeyVaultSecretAttribute -VaultName contosovault -Name servicecert -Version e3391a126b65414f93f6f9806743a1f7 -Enable 0