Údržba úložiště Azure Key Vault

Přehled

Data citlivá na firmu se obvykle používají zabezpečeným způsobem. To znamená, že funkce nebo aplikace pracující s těmito daty musí podporovat šifrování dat, práci s certifikáty atd. Vzhledem k tomu, že cloudová verze Microsoft Dynamics 365 for Finance and Operations nepodporuje místní úložiště certifikátů, musí zákazníci v tomto případě použít úložiště trezoru klíčů. Azure Key Vault nabízí možnost importovat kryptografické klíče, certifikáty do Azure a spravovat je. Další informace o Key Vault Azure: Co je Azure Key Vault.

K definování integrace mezi Microsoft Dynamics 365 for Finance and Operations a Azure Key Vault se vyžadují následující data:

• Adresa URL trezoru klíčů (název DNS),

• ID klienta (identifikátor aplikace),

• Seznam certifikátů s jejich názvy,

• Tajný klíč (hodnota klíče)

Níže najdete podrobný popis kroků nastavení:

Vytvoření úložiště Key Vault

1. Otevřete Azure Portal Microsoftu pomocí odkazu: https://ms.portal.azure.com/.

2. Kliknutím na tlačítko Vytvořit prostředek na levém panelu vytvořte nový prostředek. Zvolte skupinu Zabezpečení a identita a typ prostředku Key Vault.

3. Otevře se stránka Vytvořit trezor klíčů. Tady byste měli definovat parametry úložiště trezoru klíčů a potom kliknout na tlačítko Vytvořit:

• Zadejte název trezoru klíčů. Tento parametr se v části Nastavení klienta Azure Key Vault označuje jako <KeyVaultName>.

• Vyberte své předplatné.

• Zvolte skupinu prostředků. Je to jako interní adresář uvnitř úložiště trezoru klíčů. Můžete použít existující skupinu prostředků nebo vytvořit novou.

• Vyberte umístění.

• Vyberte cenovou úroveň.

• Klikněte na Vytvořit.

• Připněte vytvořený trezor klíčů na řídicí panel.

Nahrání certifikátu

Postup nahrání do úložiště trezoru klíčů závisí na typu certifikátu.

Import certifikátů *.pfx

1. Certifikáty s příponou *.pfx je možné nahrát do Key Vault Azure pomocí skriptu PowerShellu.

• Podle této instrukce nainstalujte modul AzureRM pro PowerShell: https://learn.microsoft.com/ru-ru/powershell/azure/install-azurerm-ps?view=azurermps-5.4.0

• Spusťte skript v PowerShellu, jako v následujícím příkladu:

Connect-AzAccount

$pfxFilePath = ' <localpath> '

$pwd = ''

$secretName = ' <name> '

$keyVaultName = ' <keyvault> '

$collection = New-ObjectSystem.Security.Cryptography.X509Certificates.X509Certificate2Collection

$collection. Import($pfxFilePath, $pwd;[System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable)

$pkcs 12ContentType =[System.Security.Cryptography.X509Certificates.X509ContentType]::P kcs12

$clearBytes = $collection. Export($pkcs 12ContentType)

$fileContentEncoded = [System.Convert]::ToBase64String($clearBytes)

$secret = ConvertTo-SecureString -String $fileContentEncoded -AsPlainText –Force

$secretContentType = application/x-pkcs12

Set-AzKeyVaultSecret -VaultName $keyVaultName -Name $secretName -SecretValue $Secret -ContentType $secretContentType

Kde:

<localpath> – místní cesta k souboru s certifikátem, například C:\<smth>.pfx

<název> – název certifikátu, např. <>

<> trezoru klíčů – název úložiště trezoru klíčů

Pokud se vyžaduje heslo, přidejte ho do $pwd značky.

1. Nastavte značku pro certifikát nahraný do služby Azure Key Vault.

• V Microsoft Azure Portal klikněte na tlačítkoŘídicí panel a výběrem příslušného trezoru klíčů ho otevřete.

• Klikněte na dlaždici Tajné kódy.

• Vyhledejte odpovídající tajný kód podle názvu certifikátu a otevřete ho.

• Otevřete kartu Značky.

• Nastavte název značky = "type" a hodnotu značky = "certificate".

Poznámka: Název značky a hodnota značky musí být vyplněné bez uvozovek a malými písmeny.

• Klikněte na tlačítko OK a uložte aktualizovaný tajný kód.

Import ostatních certifikátů

1. Kliknutím na tlačítkoŘídicí panel na levém panelu zobrazíte trezor klíčů vytvořený dříve.

2. Výběrem příslušného trezoru klíčů ho otevřete. Karta Přehled zobrazuje základní parametry úložiště trezoru klíčů, včetně názvu DNS.

Poznámka: Název DNS je povinný parametr pro integraci s trezorem klíčů, proto by měl být zadaný v aplikaci a v části Nastavení klienta Azure Key Vault se označuje jako <Key Vault adresa URL> parametr.

1. Klikněte na dlaždici Tajné kódy.

2. Kliknutím na tlačítko Generovat/importovat na stránce Tajné kódy  přidejte do úložiště trezoru klíčů nový certifikát. Na pravé straně stránky byste měli definovat parametry certifikátu:

• V poli Možnosti nahrávání vyberte hodnotu Ruční.

• Do pole Název zadejte název certifikátu.

Poznámka: Název tajného kódu je povinný parametr pro integraci s trezorem klíčů, proto by měl být zadán v aplikaci. V části Nastavení klienta Azure Key Vault se označuje jako parametr <SecretName>.

• Otevřete certifikát pro úpravy a zkopírujte veškerý jeho obsah včetně počátečních a uzavíracích značek.

• Vložte zkopírovaný obsah do pole Hodnota.

• Povolte certifikát.

• Stiskněte tlačítko Vytvořit.

1. Je možné nahrát několik verzí certifikátu a spravovat je v úložišti trezoru klíčů. Pokud potřebujete nahrát novou verzi existujícího certifikátu, vyberte příslušný certifikát a klikněte na tlačítko Nová verze.

Poznámka: Aktuální verze by měla být definována v nastavení aplikace a v části Nastavení klienta Azure Key Vault se označuje jako parametr<SecretVersion>.

Vytvoření vstupního bodu pro vaši aplikaci

Vytvořte vstupní bod pro vaši aplikaci, která používá úložiště trezoru klíčů.

1. Otevřete https://manage.windowsazure.com/ starší verze portálu.

2. Na levém panelu klikněte na Azure Active Directory a vyberte tu svou.

3. Při otevření služby Active Directory zvolte kartu Registrace aplikace.

4. Kliknutím na tlačítko Registrace nové aplikace na dolním panelu vytvořte novou položku aplikace.

5. Zadejte "Název" aplikace a vyberte odpovídající typ.

Poznámka: Na této stránce můžete také definovat přihlašovací adresu URL, která by měla mít formát http://<AppName>, kde <AppName> je název aplikace zadaný na předchozí stránce. <> AppName musí být definované v zásadách přístupu pro úložiště trezoru klíčů.

1. Klikněte na tlačítko Vytvořit.

Konfigurace aplikace

1. Otevřete kartu Registrace aplikací.

2. Najděte příslušnou aplikaci. Pole ID aplikace má stejnou hodnotu jako parametr <Key Vault Client>.

3. Klikněte na tlačítko Nastavení a pak otevřete kartu Klíče.

4. Vygenerujte klíč. Používá se pro zabezpečený přístup k úložišti trezoru klíčů z aplikace.

• Vyplňte pole Popis.

• Můžete vytvořit klíč s dobou trvání, která se rovná jednomu nebo dvěma rokům. Po kliknutí na tlačítko Uložit v dolní části stránky se hodnota klíče zobrazí.

Poznámka: Hodnota klíče je povinný parametr pro integraci s trezorem klíčů. Měl by se zkopírovat a pak zadat v aplikaci. V části Nastavení klienta Azure Key Vault se označuje jako <Key Vault parametr>tajného klíče.

1. Zkopírujte hodnotu "ID klienta" z konfigurace. Měl by být zadaný v aplikaci a v části Nastavení klienta Azure Key Vault by se měl označovat jako parametr >klienta<Key Vault.

Přidání aplikace do úložiště trezoru klíčů

Přidejte aplikaci do úložiště trezoru klíčů vytvořeného dříve.

1. Zpět k Azure Portal Microsoftu (https://ms.portal.azure.com/)

2. Otevřete úložiště trezoru klíčů a klikněte na dlaždici Zásady přístupu.

3. Klikněte na tlačítko Přidat nový a zvolte možnost Vybrat objekt zabezpečení. Pak byste měli aplikaci najít podle jejího názvu. Po nalezení aplikace klikněte na tlačítko Vybrat.

4. Vyplňte pole Konfigurovat ze šablony a klikněte na tlačítko OK.

Poznámka: Na této stránce můžete také v případě potřeby nastavit klíčová oprávnění.