Održavanje prostora za pohranu Sef za ključeve Azure

Pregled

Poslovni osjetljivi podaci obično se koriste na siguran način. To znači da funkcija ili aplikacija koja radi s tim podacima mora podržavati šifriranje podataka, rad s certifikatima itd. Budući da verzija sustava Microsoft Dynamics 365 za financije i operacije u oblaku ne podržava lokalnu pohranu certifikata, korisnici u tom slučaju moraju koristiti spremište sefa ključeva. Azure Sef za ključeve omogućuje uvoz kriptografskih ključeva, certifikata na Azure i upravljanje njima. Dodatne informacije o servisu Azure Sef za ključeve: Što je Azure Sef za ključeve.

Sljedeći su podaci potrebni za definiranje integracije između sustava Microsoft Dynamics 365 za financije i operacije i servisa Azure Sef za ključeve:

• URL sefa ključeva (DNS naziv),

• ID klijenta (identifikator aplikacije),

• Popis certifikata s njihovim imenima,

• Tajni ključ (vrijednost ključa).

U nastavku možete pronaći detaljan opis koraka postavljanja:

Stvaranje Sef za ključeve pohrane

1. Otvorite portal Microsoft Azure putem veze: https://ms.portal.azure.com/.

2. Kliknite gumb "Stvori resurs" na lijevoj ploči da biste stvorili novi resurs. Odaberite grupu "Sigurnost + identitet" i vrstu resursa "Sef za ključeve".

3. Otvorit će se stranica "Stvaranje sefa ključa". Ovdje biste trebali definirati parametre pohrane sefa ključeva, a zatim kliknuti gumb "Stvori":

• Navedite "Naziv" sefa ključa. Taj se parametar naziva "Postavljanje klijenta servisa Azure Sef za ključeve" kao<KeyVaultName>.

• Odaberite pretplatu.

• Odaberite grupu resursa. To je kao interni direktorij unutar spremišta sefa ključeva. Oboje možete koristiti postojeću grupu resursa ili stvoriti novu.

• Odaberite svoju lokaciju.

• Odaberite stavku cijena.

• Kliknite "Stvori".

• Prikvačite stvoreni sef ključa na nadzornu ploču.

Prijenos certifikata

Postupak prijenosa u spremište sefa ključeva ovisi o vrsti certifikata.

Uvoz *.pfx certifikata

1. Certifikati s nastavkom *.pfx mogu se prenijeti na Azure Sef za ključeve pomoću skripte komponente PowerShell.

• Instalirajte modul AzureRM za PowerShell slijedeći ove upute: https://learn.microsoft.com/ru-ru/powershell/azure/install-azurerm-ps?view=azurermps-5.4.0

• Pokrenite skriptu u ljusci PowerShell kao u primjeru prikazanom u nastavku:

Connect-AzAccount

$pfxFilePath = ' <Localpath> '

$pwd = ''

$secretName = ' <naziv> '

$keyVaultName = ' <keyvault> '

$collection = New-ObjectSystem.Security.Cryptography.X509Certificates.X509Certificate2Collection

$collection. Import($pfxFilePath, $pwd,[System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable)

$pkcs 12ContentType =[System.Security.Cryptography.X509Certificates.X509ContentType]::P kcs12

$clearBytes = $collection. Export($pkcs 12ContentType)

$fileContentEncoded = [System.Convert]::ToBase64String($clearBytes)

$secret = ConvertTo-SecureString -String $fileContentEncoded -AsPlainText –Force

$secretContentType = 'aplikacija/x-pkcs12'

Set-AzKeyVaultSecret -VaultName $keyVaultName -Name $secretName -SecretValue $Secret -ContentType $secretContentType

Gdje:

<Localpath> – lokalni put do datoteke pomoću certikata, npr. C:\<smth>.pfx

<naziv> – naziv certifikata, npr. <smth>

<keyvault> – naziv spremišta sefa ključeva

Ako je lozinka obavezna, dodajte je u oznaku $pwd

1. Postavite oznaku certifikata prenesenog u sef ključeva platforme Azure.

• Na portalu Microsoft Azure kliknite gumb "Nadzornaploča" i odaberite odgovarajući sef ključa da biste ga otvorili.

• Kliknite pločicu "Tajne".

• Pronađite odgovarajuću tajnu prema nazivu certifikata i otvorite je.

• Otvorite karticu "Oznake".

• Postavite naziv oznake = "vrsta" i vrijednost oznake = "certifikat".

Napomena: naziv oznake i vrijednost oznake moraju biti uneseni bez navodnika i malih slova.

• Kliknite gumb U redu i spremite ažuriranu tajnu.

Uvoz ostalih certifikata

1. Kliknite gumb "Nadzornaploča" na lijevoj ploči da biste vidjeli ranije stvoreni sef ključeva.

2. Odaberite odgovarajući sef ključeva da biste ga otvorili. Kartica "Pregled" prikazuje ključne parametre spremišta sefa ključeva, uključujući "DNS naziv".

Napomena: DNS naziv obavezni je parametar za integraciju s sefom ključeva, stoga bi se trebao navesti u aplikaciji i u odjeljku "Postavljanje klijenta za Azure Sef za ključeve" kao <Sef za ključeve URL> parametar.

1. Kliknite pločicu "Tajne".

2. Kliknite gumb "Generiraj/uvoz" na stranici "Tajne"  da biste dodali novi certifikat u spremište sefa ključeva. Na desnoj strani stranice trebali biste definirati parametre certifikata:

• Odaberite vrijednost "Ručno" u polju "Mogućnosti prijenosa".

• Unesite naziv certifikata u polje "Naziv".

Napomena: Tajno ime obavezni je parametar za integraciju s sefom ključa, stoga ga je potrebno navesti u aplikaciji. Naziv se naziva "Postavljanje servisa Azure Sef za ključeve Client" kao <SecretName> parametra.

• Otvorite certifikat za uređivanje i kopirajte sav njegov sadržaj, uključujući oznake početka i zatvaranja.

• Zalijepite kopirani sadržaj u polje "Vrijednost".

• Omogućite certifikat.

• Pritisnite gumb "Stvori".

1. Moguće je prenijeti nekoliko verzija certifikata i njima upravljati u spremištu sefa ključeva. Ako morate prenijeti novu verziju postojećeg certifikata, odaberite odgovarajući certifikat i kliknite gumb "Nova verzija".

Napomena: trenutačnu verziju potrebno je definirati u postavljanju aplikacije i u odjeljku "Postavljanje klijenta za Azure Sef za ključeve" kao<SecretVersion> parametar.

Stvaranje ulazne točke za aplikaciju

Stvorite ulaznu točku za aplikaciju koja koristi spremište sefa ključeva.

1. Otvorite naslijeđeni portal https://manage.windowsazure.com/.

2. Kliknite "Azure Active Directory" s lijeve ploče i odaberite svoj.

3. Kada otvorite aktivni imenik, odaberite karticu "Registracija aplikacije".

4. Kliknite gumb "Nova registracija aplikacije" na donjoj ploči da biste stvorili novi unos aplikacije.

5. Navedite "Naziv" aplikacije i odaberite odgovarajuću vrstu.

Napomena: na ovoj stranici možete definirati i "URL za prijavu", koji bi trebao imati oblik http://<AppName>, pri čemu je <AppName> naziv aplikacije naveden na prethodnoj stranici. <AppName> moraju biti definirani u pravilnicima pristupa za pohranu sefa ključeva.

1. Kliknite gumb "Stvori".

Konfiguriranje aplikacije

1. Otvorite karticu "Registracije aplikacija".

2. Pronađite odgovarajuću aplikaciju. Polje "ID aplikacije" ima istu vrijednost kao parametar<Sef za ključeve client>.

3. Kliknite gumb "Postavke", a zatim otvorite karticu "Tipke".

4. Generirajte ključ. Koristi se za siguran pristup spremištu sefa ključeva iz aplikacije.

• Ispunite polje "Opis".

• Možete stvoriti ključ s razdobljem trajanja jednakom jednu ili dvije godine. Kada kliknete gumb "Spremi" u donjem dijelu stranice, vrijednost ključa postaje vidljiva.

Napomena: Ključna vrijednost obavezni je parametar za integraciju s sefom ključa. Treba ga kopirati, a zatim navesti u aplikaciji. Naziv se naziva "Postavljanje servisa Azure Sef za ključeve Client" kao <Sef za ključeve ključa> parametra.

1. Kopirajte vrijednost "ID klijenta" iz konfiguracije. Potrebno ga je navesti u aplikaciji i u odjeljku "Postavljanje klijenta servisa Azure Sef za ključeve" kao <Sef za ključeve klijent> parametra.

Dodavanje aplikacije u spremište sefa ključeva

Dodajte aplikaciju u spremište sefa ključeva stvoreno prije.

1. Vratite se na portal platforme Microsoft Azure (https://ms.portal.azure.com/),

2. Otvorite prostor za pohranu sefa ključeva i kliknite pločicu "Pravila pristupa".

3. Kliknite gumb "Dodaj novo" i odaberite mogućnost "Odaberi upravitelj". Zatim biste aplikaciju trebali pronaći po njezinu nazivu. Kada pronađete aplikaciju, kliknite gumb "Odaberi".

4. Ispunite polje "Konfiguriraj iz predloška" i kliknite gumb U redu.

Napomena: na ovoj stranici po potrebi možete postaviti i dozvole za ključ.