Поддържане на Azure Хранилище за ключове съхранение

Отнася се за
Dynamics 365 for Finance and Operations Microsoft Dynamics 365 for Financials

Общ преглед

Бизнес конфиденциалните данни обикновено се използват по сигурен начин. Това означава, че една функционалност или приложение, работещо с тези данни, трябва да поддържа шифроване на данни, работа със сертификати и др. Тъй като версията в облака на Microsoft Dynamics 365 for Finance and Operations не поддържа локално съхранение на сертификати, в този случай клиентите трябва да използват хранилище за ключове. Azure Хранилище за ключове дава възможност за импортиране на криптографски ключове, сертификати към Azure и тяхното управление. Допълнителна информация за Azure Хранилище за ключове: Какво представлява Azure Хранилище за ключове.

Следните данни са необходими, за да дефинирате интеграцията между Microsoft Dynamics 365 for Finance and Operations и Azure Хранилище за ключове:

  • URL адрес на хранилище за ключове (DNS име),
  • ИД на клиент (идентификатор на приложение),
  • Списък на сертификатите с техните имена,
  • Таен ключ (стойност на ключ).

По-долу можете да намерите подробно описание на стъпките за настройка:

Създаване на хранилище за Хранилище за ключове

  1. Отворете портала на Microsoft Azure, като използвате връзката: https://ms.portal.azure.com/.
  2. Щракнете върху бутона "Създаване на ресурс" в левия панел, за да създадете нов ресурс. Изберете групата "Защита + самоличност" и типа ресурс "Хранилище за ключове".
  3. Отваря се страницата "Създаване на хранилище с ключове". Тук трябва да дефинирате параметрите на хранилището за ключове и след това да щракнете върху бутона "Създаване":
  • Задайте "Име" на хранилището с ключове. Този параметър се посочва в "Настройка на Azure Хранилище за ключове клиент" като <KeyVaultName>.
  • Изберете своя абонамент.
  • Изберете група ресурси. То е като вътрешна директория в хранилището за ключове. Можете както да използвате съществуваща група ресурси, така и да създадете нова.
  • Изберете вашето местоположение.
  • Изберете ценово ниво.
  • Щракнете върху "Създай".
  • Закачете създаденото хранилище за ключове към таблото.

Качване на сертификат

Процедурата за качване в хранилището за ключове зависи от типа на сертификата.

Импортиране на *.pfx сертификати

  1. Сертификатите с разширение *.pfx могат да бъдат качени в Azure Хранилище за ключове с помощта на PowerShell скрипт.

Connect-AzAccount

$pfxFilePath = '<Localpath>'

$pwd = ''

$secretName = '<name>'

$keyVaultName = '<keyvault>'

$collection = New-ObjectSystem.Security.Cryptography.X509Certificates.X509Certificate2Collection

$collection. Import($pfxFilePath; $pwd,[System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable)

$pkcs 12ContentType =[System.Security.Cryptography.X509Certificates.X509ContentType]::P kcs12

$clearBytes = $collection. Export($pkcs 12ContentType)

$fileContentEncoded = [System.Convert]::ToBase64String($clearBytes)

$secret = ConvertTo-SecureString -String $fileContentEncoded -AsPlainText –Force

$secretContentType = 'application/x-pkcs12'

Set-AzKeyVaultSecret -VaultName $keyVaultName -Name $secretName -SecretValue $Secret -ContentType $secretContentType

Къде:

<Localpath> – локален път до файла със сертикат, например C:\<smth.pfx>

<Име> - Име на сертификата, например <SMTH>

<keyvault> – име на хранилището за ключове

Ако се изисква парола, добавете я към $pwd на етикет

  1. Задайте етикет за сертификата, качен в хранилището за ключове на Azure.
  • В портала на Microsoft Azure щракнете върху бутона "Табло"* и изберете съответното хранилище за ключове, за да го отворите.
  • Кликнете върху плочката "Тайни".
  • Намерете подходяща тайна по името на сертификата и я отворете.
  • Отваряне на раздела "Етикети".
  • Set Tag name = "type" and Tag value = "certificate".

Забележка: Името на етикета и стойността на етикета трябва да бъдат попълнени без кавички и с малки букви.

  • Щракнете върху бутона OK и запишете актуализираната тайна.

Импортиране на другите сертификати

  1. Щракнете върху бутона "Табло" в левия панел, за да видите хранилището с ключове, създадено по-рано.
  2. Изберете съответния хранилище за ключове, за да го отворите. Разделът "Общ преглед" показва основни параметри на хранилището за ключове, включително "DNS име".

Забележка: DNS името е задължителен параметър за интеграция с хранилището с ключове, поради което трябва да бъде посочено в приложението и посочено в "Настройка на Azure Хранилище за ключове клиент" като <параметър Хранилище за ключове URL> адрес.

  1. Кликнете върху плочката "Тайни".
  2. Щракнете върху бутона "Генериране/импортиране" на страницата "Тайни", за да добавите нов сертификат към хранилището за ключове. В дясната страна на страницата трябва да зададете параметрите на сертификата:
  • Изберете стойността "Ръчно" в полето "Опции за качване".
  • Въведете името на сертификата в полето "Име".

Забележка: Тайното име е задължителен параметър за интеграция с хранилището с ключове, поради което трябва да бъде посочено в приложението. Той се посочва в "Настройка на Azure Хранилище за ключове клиент" като <параметър SecretName>.

  • Отваряте сертификат за редактиране и копирате цялото му съдържание, включително началния и затварящия етикет.
  • Поставете копираното съдържание в полето "Стойност".
  • Разрешете сертификата.
  • Натиснете бутона "Създаване".
  1. Възможно е да качите няколко версии на сертификата и да ги управлявате в хранилището за ключове. Ако трябва да качите нова версия за съществуващ сертификат, изберете съответния сертификат и щракнете върху бутона "Нова версия".

Забележка: Текущата версия трябва да бъде дефинирана в настройката на приложението и е посочена в "Настройка на Azure Хранилище за ключове Client" като <параметър SecretVersion>.

Създаване на входна точка за вашето приложение

Създайте входна точка за вашето приложение, която използва хранилището за ключове.

  1. Отворете наследения портал https://manage.windowsazure.com/.
  2. Щракнете върху "Azure Active Directory" от левия панел и изберете вашия.
  3. В отворен указател Active Directory изберете раздела "Регистрация на приложения".
  4. Щракнете върху бутона "Регистрация на ново приложение" в долния панел, за да създадете нов запис на приложение.
  5. Посочете "Име" на приложението и изберете подходящ тип.

Забележка: На тази страница можете също да дефинирате "URL адрес за влизане", който трябва да има формат http://< AppName>, където <AppName> е име на приложение, указано на предходната страница.  <AppName> трябва да бъде дефинирано в правилата за достъп до съхранението на хранилището за ключове.

  1. Щракнете върху бутона "Създаване".

Конфигуриране на вашето приложение

  1. Отваряне на раздела "Регистрации на приложения".
  2. Намерете подходящо приложение. Полето "ИД на приложение" има същата стойност като параметъра на клиент на< Хранилище за ключове>.
  3. Щракнете върху бутона "Настройки" и след това отворете раздела "Клавиши".
  4. Генериране на ключ. Използва се за защитен достъп до хранилището за ключове от приложението.
  • Попълнете полето "Описание".
  • Можете да създадете ключ, чийто период може да бъде равен на една или две години. След като щракнете върху бутона "Запиши" в долната част на страницата, стойността на ключа става видима.

Забележка: Стойността на ключа е задължителен параметър за интегриране с хранилището с ключове. Тя трябва да бъде копирана и след това посочена в приложението. Той се посочва в "Настройка на Azure Хранилище за ключове клиент" като <параметър Хранилище за ключове таен ключ>.

  1. Копирайте стойността на "ИД на клиент" от конфигурацията. Той трябва да бъде посочен в приложението и посочен в "Настройка на Azure Хранилище за ключове клиент" като <параметър Хранилище за ключове Client>.

Добавяне на приложение към хранилището за ключове

Добавете приложението си към хранилището за ключове, създадено преди това.

  1. Връщане към портала на Microsoft Azure (https://ms.portal.azure.com/),
  2. Отворете хранилището за ключове и щракнете върху плочката "Правила за достъп".
  3. Кликнете върху бутона "Добавяне на нов" и изберете опцията "Избор на главница". След това трябва да намерите приложението си по неговото име. Когато приложението бъде намерено, щракнете върху бутона "Избор".
  4. Попълнете полето "Конфигуриране от шаблон" и щракнете върху бутона OK.

Забележка: На тази страница можете също да зададете разрешения за ключа, ако е необходимо.