Utrzymywanie przestrzeni dyskowej w usłudze Azure Key Vault

Omówienie

Dane poufne w firmie są zwykle używane w sposób zabezpieczony. Oznacza to, że funkcja lub aplikacja pracująca z danymi musi obsługiwać szyfrowanie danych, pracę z certyfikatami itp. Ponieważ wersja usługi Microsoft Dynamics 365 for Finance and Operations w chmurze nie obsługuje lokalnego magazynu certyfikatów, klienci muszą w tym przypadku użyć magazynu kluczy. Usługa Azure Key Vault umożliwia importowanie kluczy kryptograficznych, certyfikatów do platformy Azure i zarządzanie nimi. Dodatkowe informacje na temat usługi Azure Key Vault: Co to jest usługa Azure Key Vault.

Do zdefiniowania integracji między usługą Microsoft Dynamics 365 for Finance and Operations i Azure Key Vault są wymagane następujące dane:

• Adres URL magazynu kluczy (nazwa DNS),

• Identyfikator klienta (identyfikator aplikacji),

• Lista certyfikatów z ich nazwami,

• Klucz tajny (wartość klucza).

Poniżej znajduje się szczegółowy opis kroków konfiguracji:

Tworzenie magazynu Key Vault

1. Otwórz Azure Portal Microsoft za pomocą linku: https://ms.portal.azure.com/.

2. Kliknij przycisk "Utwórz zasób" w lewym panelu, aby utworzyć nowy zasób. Wybierz grupę "Zabezpieczenia + tożsamość" i typ zasobu "Key Vault".

3. Zostanie otwarta strona "Utwórz magazyn kluczy". W tym miejscu należy zdefiniować parametry magazynu kluczy, a następnie kliknąć przycisk "Utwórz":

• Określ "Nazwa" magazynu kluczy. Ten parametr jest określany jako "Konfigurowanie klienta usługi Azure Key Vault" jako <KeyVaultName>.

• Wybierz swoją subskrypcję.

• Wybierz grupę zasobów. Przypomina to katalog wewnętrzny wewnątrz magazynu kluczy. Możesz użyć istniejącej grupy zasobów lub utworzyć nową.

• Wybierz swoją lokalizację.

• Wybierz warstwę cen.

• Kliknij pozycję "Utwórz".

• Przypnij utworzony magazyn kluczy do pulpitu nawigacyjnego.

Przekazywanie certyfikatu

Procedura przekazywania do magazynu kluczy zależy od typu certyfikatu.

Importowanie certyfikatów *.pfx

1. Certyfikaty z rozszerzeniem *.pfx można przekazać do usługi Azure Key Vault przy użyciu skryptu programu PowerShell.

• Zainstaluj moduł AzureRM dla programu PowerShell, wykonując następujące instrukcje: https://learn.microsoft.com/ru-ru/powershell/azure/install-azurerm-ps?view=azurermps-5.4.0

• Uruchom skrypt w programie PowerShell, tak jak w poniższym przykładzie:

Connect-AzAccount

$pfxFilePath = ' <>lokalnego

$pwd = ''

$secretName => < nazwy

$keyVaultName = ' <keyvault> '

$collection = New-ObjectSystem.Security.Cryptography.X509Certificates.X509Certificate2Collection

$collection. Import($pfxFilePath, $pwd;[System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable)

$pkcs 12ContentType =[System.Security.Cryptography.X509Certificates.X509ContentType]::P kcs12

$clearBytes = $collection. Export($pkcs 12ContentType)

$fileContentEncoded = [System.Convert]::ToBase64String($clearBytes)

$secret = ConvertTo-SecureString -String $fileContentEncoded -AsPlainText –Force

$secretContentType = "application/x-pkcs12"

Set-AzKeyVaultSecret -VaultName $keyVaultName -Name $secretName -SecretValue $Secret -ContentType $secretContentType

Gdzie:

<Ścieżka lokalna> — ścieżka lokalna do pliku z certyfikatem, np. C:\<smth>.pfx

<nazwa> — nazwa certyfikatu, np. <>

<keyvault> — nazwa magazynu kluczy

Jeśli hasło jest wymagane, dodaj je do tagu $pwd

1. Ustaw tag certyfikatu przekazanego do magazynu kluczy platformy Azure.

• W aplikacji Microsoft Azure Portal kliknij przycisk "Pulpit nawigacyjny" i wybierz odpowiedni magazyn kluczy, aby go otworzyć.

• Kliknij kafelek "Sekrety".

• Znajdź odpowiedni klucz tajny za pomocą nazwy certyfikatu i otwórz go.

• Otwórz kartę "Tagi".

• Ustaw nazwę tagu = "typ" i Wartość tagu = "certyfikat".

Uwaga: Tag name (Nazwa tagu) i Tag value (Tag) muszą być wypełnione bez cudzysłowów i małych liter.

• Kliknij przycisk OK i zapisz zaktualizowany klucz tajny.

Importowanie pozostałych certyfikatów

1. Kliknij przycisk "Pulpit nawigacyjny" na lewym panelu, aby wyświetlić utworzony wcześniej magazyn kluczy.

2. Wybierz odpowiedni magazyn kluczy, aby go otworzyć. Karta "Przegląd" zawiera podstawowe parametry magazynu kluczy, w tym "nazwę DNS".

Uwaga: Nazwa DNS jest parametrem obowiązkowym na potrzeby integracji z magazynem kluczy, dlatego powinna być określona w aplikacji i określana jako "Konfigurowanie klienta usługi Azure Key Vault" jako <Key Vault adres URL> parametru.

1. Kliknij kafelek "Sekrety".

2. Kliknij przycisk "Generuj/importuj" na stronie "Sekrety",  aby dodać nowy certyfikat do magazynu kluczy. Po prawej stronie strony należy zdefiniować parametry certyfikatu:

• Wybierz wartość "Ręczna" w polu "Opcje przekazywania".

• Wprowadź nazwę certyfikatu w polu "Nazwa".

Uwaga: Nazwa tajna jest parametrem obowiązkowym na potrzeby integracji z magazynem kluczy, dlatego powinna być określona w aplikacji. Jest ono określane w "Konfigurowanie klienta usługi Azure Key Vault" jako parametr><SecretName.

• Otwórz certyfikat do edycji i skopiuj całą jego zawartość, w tym tagi początkowe i zamykające.

• Wklej skopiowana zawartość w polu "Wartość".

• Włącz certyfikat.

• Naciśnij przycisk "Utwórz".

1. Istnieje możliwość przekazania kilku wersji certyfikatu i zarządzania nimi w magazynie kluczy. Jeśli chcesz przekazać nową wersję istniejącego certyfikatu, wybierz odpowiedni certyfikat i kliknij przycisk "Nowa wersja".

Uwaga: Bieżąca wersja powinna zostać zdefiniowana w konfiguracji aplikacji i jest określana jako "Konfigurowanie klienta usługi Azure Key Vault" jako parametr><SecretVersion.

Tworzenie punktu wejścia dla aplikacji

Utwórz punkt wejścia dla aplikacji, która korzysta z magazynu kluczy.

1. Otwórz starszą https://manage.windowsazure.com/ portalu.

2. Kliknij pozycję "Azure Active Directory" w lewym panelu i wybierz swoje.

3. Po otwarciu usługi Active Directory wybierz kartę "Rejestracja aplikacji".

4. Kliknij przycisk "Rejestracja nowej aplikacji" na dolnym panelu, aby utworzyć nowy wpis aplikacji.

5. Określ "Nazwę" aplikacji i wybierz odpowiedni typ.

Uwaga: Na tej stronie możesz również zdefiniować "Adres URL logowania", który powinien mieć format http://<AppName>, gdzie <AppName> to nazwa aplikacji określona na poprzedniej stronie. <appname> muszą być zdefiniowane w zasadach dostępu dla magazynu kluczy.

1. Kliknij przycisk "Utwórz".

Konfigurowanie aplikacji

1. Otwórz kartę "Rejestracje aplikacji".

2. Znajdź odpowiednią aplikację. Pole "Identyfikator aplikacji" ma taką samą wartość jak parametr <Key Vault client>.

3. Kliknij przycisk "Ustawienia", a następnie otwórz kartę "Klawisze".

4. Wygeneruj klucz. Jest on używany do bezpiecznego dostępu do magazynu kluczy z aplikacji.

• Wypełnij pole "Opis".

• Klucz można utworzyć, gdy okres trwania wynosi jeden lub dwa lata. Po kliknięciu przycisku "Zapisz" w dolnej części strony wartość klucza staje się widoczna.

Uwaga: Wartość klucza jest parametrem obowiązkowym na potrzeby integracji z magazynem kluczy. Powinna zostać skopiowana, a następnie określona w aplikacji. Jest ono określane w sekcji "Konfigurowanie klienta usługi Azure Key Vault" jako <Key Vault klucza tajnego> parametru.

1. Skopiuj wartość "Identyfikator klienta" z konfiguracji. Należy ją określić w aplikacji i odwoływać się do parametru "Konfigurowanie klienta usługi Azure Key Vault" jako parametr >klienta<Key Vault.

Dodawanie aplikacji do magazynu kluczy

Dodaj aplikację do magazynu kluczy utworzonego wcześniej.

1. Wstecz do Azure Portal Microsoft (https://ms.portal.azure.com/),

2. Otwórz magazyn kluczy i kliknij kafelek "Zasady dostępu".

3. Kliknij przycisk "Dodaj nowy" i wybierz opcję "Wybierz podmiot główny". Następnie należy znaleźć aplikację według jej nazwy. Po znalezieniu aplikacji kliknij przycisk "Wybierz".

4. Wypełnij pole "Konfiguruj z szablonu" i kliknij przycisk OK.

Uwaga: Na tej stronie możesz również w razie potrzeby skonfigurować uprawnienia klucza.