設定 Azure Key Vault 用戶端
透過儲存進階憑證的功能,您可以定義財務和營運應用程式中使用的憑證儲存體類型。
此功能提供了兩種儲存憑證的選項:本機儲存體和 Microsoft Azure Key Vault 儲存體。 您可以定義使用的選項,方法是在系統參數頁面 (系統管理>設定>系統參數) 的一般索引標籤上,設定新的使用進階憑證儲存選項。
- 本機儲存體 – 此儲存體選項可用於內部部署和任何類型的內部部署開發環境。 若要使用,請將使用進階憑證儲存選項設定為否。 對於用於開發和驗證目的的開發環境中,建議使用此儲存體選項,在這些環境中需要驗證憑證並使用它。
- Azure Key Vault 儲存體 – 雲端部署需要此儲存體選項,但它也可用於內部部署環境和任何類型的內部部署開發環境。 若要使用,請將使用進階憑證儲存選項設定為是。 此儲存體選項是 Azure 雲端中實際執行環境的唯一選項。
需要進行一些設定才能使用儲存在 Key Vault 中的憑證。 有關所需設定的資訊,請參閱以下 Microsoft 知識庫 (KB) 文章:4040294 - 維護 Azure Key Vault 儲存體。 在您設定完 Key Vault 儲存體後,您應該會連結到財務和營運應用程式中的憑證。
將憑證安裝到 Key Vault 後,必須在應用程式中進行設定。
- 移至系統管理>設定>Key Vault 參數。
- 選取新以建立新執行個體。
- 輸入名稱和描述,然後在一般 FastTab 上,設定與 Key Vault 儲存體整合所需的欄位:
Key Vault URL – 如果密碼引用尚未定義預設Key Vault URL ,則請輸入該 URL。
Key Vault 用戶端 – 輸入與用於驗證的 Key Vault 儲存體有關的 Microsoft Entra 應用程式互動式用戶端識別碼。
Key Vault 祕密金鑰 – 輸入與用於以 Key Vault 儲存體進行驗證相關的 Microsoft Entra 應用程式的秘密金鑰。
附註
如果使用多個 Key Vault 儲存體,您應該在 Key Vault參數頁面上為每個執行個體設定單獨的執行個體 。
- 在憑證 FastTab 上,選取新增以新增您的憑證。 對於每個憑證,設定下列欄位:
- 名稱
- 描述
- Key Vault 憑證密碼 – 輸入密碼引用到憑證。
Key Vault 憑證密碼的格式必須類似以下範例:
vault://<KeyVaultName*>/<SecretName>/<SecretVersion*>
標有星號 (*) 的屬性是可選的。 但是,<SecretName> 屬性是必需的。 在大多數情況下,您可以用下列格式定義 Key Vault 秘密金鑰:
vault:///<SecretName>
如果密碼版本未在 Key Vault 秘密金鑰中定義,系統將擷取具有最新到期日的使用中憑證。
附註
Key Vault 儲存體功能已擴充,其中包括憑證快取。 建議進行下列設定:
- 在 Key Vault 憑證密碼中指定密碼版本。
- 將現有憑證的新版本上傳到 Key Vault 儲存體後,更新 Key Vault 憑證秘密欄位中的<SecretVersion>屬性。
使用驗證函數來驗證您是否已正確定義了對憑證的引用,以及憑證是否有效。