Memelihara penyimpanan Key Vault Azure

Ikhtisar

Data sensitif bisnis biasanya digunakan dengan cara yang aman. Ini berarti bahwa fungsionalitas atau aplikasi yang bekerja dengan data ini harus mendukung enkripsi data, bekerja dengan sertifikat, dll. Karena versi cloud Microsoft Dynamics 365 untuk Keuangan dan Operasi tidak mendukung penyimpanan sertifikat lokal, pelanggan perlu menggunakan penyimpanan kubah kunci dalam kasus ini. Azure Key Vault menyediakan kesempatan untuk mengimpor kunci kriptografis, sertifikat ke Azure, dan untuk mengelolanya. Informasi tambahan di Key Vault Azure: Apa itu Azure Key Vault.

Data berikut ini diperlukan untuk menentukan integrasi antara Microsoft Dynamics 365 untuk Keuangan dan Operasi dan Azure Key Vault:

• URL kubah kunci (nama DNS),

• ID Klien (pengidentifikasi aplikasi),

• Daftar sertifikat dengan nama mereka,

• Kunci rahasia (nilai kunci).

Di bawah ini, Anda dapat menemukan deskripsi mendetail tentang langkah-langkah penyiapan:

Membuat penyimpanan Key Vault

1. Buka portal Azure Microsoft menggunakan tautan: https://ms.portal.azure.com/.

2. Klik tombol "Buat sumber daya" di panel kiri untuk membuat sumber daya baru. Pilih grup "Keamanan + Identitas" dan tipe sumber daya "Key Vault".

3. Halaman "Buat kubah kunci" dibuka. Di sini, Anda harus menentukan parameter penyimpanan kubah kunci lalu mengklik tombol "Buat":

• Tentukan "Nama" kubah kunci. Parameter ini disebut dalam "Menyiapkan Azure Key Vault Client" sebagai <KeyVaultName>.

• Pilih langganan Anda.

• Pilih grup sumber daya. Ini seperti direktori internal di dalam penyimpanan kubah kunci. Anda dapat menggunakan grup sumber daya yang sudah ada atau membuat grup sumber daya baru.

• Pilih lokasi Anda.

• Pilih tingkat harga.

• Klik "Buat".

• Sematkan kubah Kunci yang dibuat ke Dasbor.

Mengunggah sertifikat

Prosedur unggah ke penyimpanan kubah kunci bergantung pada tipe sertifikat.

Impor sertifikat *.pfx

1. Sertifikat dengan ekstensi *.pfx dapat diunggah ke Azure Key Vault menggunakan skrip PowerShell.

• Instal modul AzureRM untuk PowerShell dengan mengikuti instruksi ini: https://learn.microsoft.com/ru-ru/powershell/azure/install-azurerm-ps?view=azurermps-5.4.0

• Jalankan skrip di PowerShell seperti dalam contoh yang diperlihatkan di bawah ini:

Connect-AzAccount

$pfxFilePath = ' <Localpath> '

$pwd = ''

$secretName = ' <nama> '

$keyVaultName = ' <keyvault> '

$collection = New-ObjectSystem.Security.Cryptography.X509Certificates.X509Certificate2Collection

$collection. Import($pfxFilePath, $pwd,[System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]:Exportable)

$pkcs 12ContentType =[System.Security.Cryptography.X509Certificates.X509ContentType]::P kcs12

$clearBytes = $collection. Export($pkcs 12ContentType)

$fileContentEncoded = [System.Convert]::ToBase64String($clearBytes)

$secret = ConvertTo-SecureString -String $fileContentEncoded -AsPlainText –Force

$secretContentType = 'application/x-pkcs12'

Set-AzKeyVaultSecret -VaultName $keyVaultName -Name $secretName -SecretValue $Secret -ContentType $secretContentType

Mana:

<Localpath> - jalur lokal ke file dengan certicate, misalnya C:\<smth>.pfx

<nama> - nama sertifikat, misalnya <smth>

<> keyvault - nama penyimpanan kubah kunci

Jika kata sandi diperlukan, tambahkan ke tag $pwd

1. Atur tag untuk sertifikat yang diunggah ke kubah Azure Key.

• Di Microsoft portal Azure, klik tombol "Dasbor" dan pilih kubah Kunci yang sesuai untuk membukanya.

• Klik ubin "Rahasia".

• Temukan rahasia yang sesuai dengan nama sertifikat dan bukalah.

• Buka tab "Tag".

• Atur Nama tag = "tipe" dan Nilai tag = "sertifikat".

Catatan: Nama tag dan nilai Tag harus diisi tanpa tanda kutip dan dalam huruf kecil.

• Klik tombol OK dan simpan rahasia yang diperbarui.

Impor sertifikat lainnya

1. Klik tombol "Dasbor" di panel kiri untuk melihat kubah kunci yang dibuat sebelumnya.

2. Pilih kubah Kunci yang sesuai untuk membukanya. Tab "Gambaran Umum" memperlihatkan parameter penting penyimpanan kubah kunci, termasuk "Nama DNS".

Catatan: Nama DNS adalah parameter wajib untuk integrasi dengan kubah kunci, oleh karena itu nama DNS harus ditentukan dalam aplikasi, dan dirujuk dalam "Menyiapkan Azure Key Vault Client" sebagai <Key Vault URL> parameter.

1. Klik ubin "Rahasia".

2. Klik tombol "Buat/Impor" di halaman "Rahasia" untuk menambahkan sertifikat baru ke penyimpanan kubah kunci. Di sisi kanan halaman, Anda harus menentukan parameter sertifikat:

• Pilih nilai "Manual" dalam bidang "Opsi unggah".

• Masukkan nama sertifikat dalam bidang "Nama".

Catatan: Nama Rahasia adalah parameter wajib untuk integrasi dengan kubah kunci, oleh karena itu harus ditentukan dalam aplikasi. Ini disebut dalam "Menyiapkan Azure Key Vault Client" sebagai parameter <SecretName>.

• Buka sertifikat untuk pengeditan dan salin semua kontennya termasuk tag awal dan penutup.

• Tempelkan konten yang disalin dalam bidang "Nilai".

• Aktifkan sertifikat.

• Tekan tombol "Buat".

1. Anda dapat mengunggah beberapa versi sertifikat dan mengelolanya di penyimpanan kubah kunci. Jika Anda perlu mengunggah versi baru untuk sertifikat yang sudah ada, lalu pilih sertifikat yang sesuai dan klik tombol "Versi baru".

Catatan: Versi saat ini harus ditentukan dalam penyiapan aplikasi, dan disebut dalam "Menyiapkan Azure Key Vault Client" sebagai parameter<SecretVersion>.

Membuat titik entri untuk aplikasi Anda

Buat titik entri untuk aplikasi Anda yang menggunakan penyimpanan kubah kunci.

1. Buka portal warisan https://manage.windowsazure.com/.

2. Klik "Azure Active Directory" dari panel kiri dan pilih pilihan Anda.

3. Dalam direktori aktif yang dibuka, pilih tab "Registrasi aplikasi".

4. Klik tombol "Pendaftaran aplikasi baru" di panel bawah untuk membuat entri aplikasi baru.

5. Tentukan "Nama" aplikasi dan pilih tipe yang sesuai.

Catatan: Di halaman ini Anda juga dapat menentukan "URL masuk", yang seharusnya memiliki format http://<AppName>, di mana <AppName> adalah nama aplikasi yang ditentukan pada halaman sebelumnya. <AppName> harus ditentukan dalam kebijakan akses untuk penyimpanan kubah kunci.

1. Klik tombol "Buat".

Mengonfigurasi aplikasi Anda

1. Buka tab "Pendaftaran aplikasi".

2. Temukan aplikasi yang sesuai. Bidang "ID Aplikasi" memiliki nilai yang sama dengan parameter <Key Vault Klien>.

3. Klik tombol "Pengaturan" lalu buka tab "Tombol".

4. Buat kunci. Ini digunakan untuk akses aman ke penyimpanan kubah kunci dari aplikasi.

• Isi bidang "Deskripsi".

• Anda dapat membuat kunci dengan periode durasi sama dengan satu atau dua tahun. Setelah mengklik tombol "Simpan" di bagian bawah halaman, Nilai Kunci akan terlihat.

Catatan: Nilai Kunci adalah parameter wajib untuk integrasi dengan kubah kunci. File harus disalin lalu ditentukan dalam aplikasi. Ini disebut dalam "Menyiapkan Azure Key Vault Client" sebagai <Key Vault kunci rahasia> parameter.

1. Salin nilai "ID Klien" dari konfigurasi. Ini harus ditentukan dalam aplikasi, dan dirujuk dalam "Menyiapkan Klien Key Vault Azure" sebagai parameter <Key Vault Klien>.

Menambahkan aplikasi ke penyimpanan kubah kunci

Tambahkan aplikasi Anda ke penyimpanan kubah kunci yang dibuat sebelumnya.

1. Kembali ke portal Azure Microsoft (https://ms.portal.azure.com/),

2. Buka penyimpanan kubah kunci Anda dan klik ubin "Kebijakan akses".

3. Klik tombol "Tambahkan baru" dan pilih opsi "Pilih prinsipal". Maka Anda harus menemukan aplikasi Anda dengan namanya. Ketika aplikasi ditemukan, klik tombol "Pilih".

4. Isi bidang "Konfigurasi dari templat" dan klik tombol Ok.

Catatan: Di halaman ini, Anda juga dapat menyiapkan izin kunci jika diperlukan.