Údržba ukladacieho priestoru služby Azure Key Vault

Prehľad

Citlivé obchodné údaje sa zvyčajne používajú zabezpečeným spôsobom. Znamená to, že funkcia alebo aplikácia pracujúca s týmito údajmi musí podporovať šifrovanie údajov, prácu s certifikátmi atď. Keďže cloudová verzia systému Microsoft Dynamics 365 for Finance and Operations nepodporuje lokálny ukladací priestor certifikátov, zákazníci musia v tomto prípade používať ukladací priestor v trezore kľúčov. Azure Key Vault poskytuje možnosť importovať kryptografické kľúče, certifikáty do služby Azure a spravovať ich. Ďalšie informácie o službe Azure Key Vault: Čo je Azure Key Vault.

Na definovanie integrácie medzi službou Microsoft Dynamics 365 for Finance and Operations a službou Azure Key Vault sú potrebné nasledujúce údaje:

• URL adresa služby Key Vault (názov DNS),

• ID klienta (identifikátor aplikácie),

• Zoznam certifikátov s ich menami,

• Tajný kľúč (hodnota kľúča).

Nižšie nájdete podrobný popis krokov nastavenia:

Vytvorenie ukladacieho priestoru Key Vault

1. Otvorte portál Microsoft Azure pomocou prepojenia: https://ms.portal.azure.com/.

2. Kliknutím na tlačidlo Vytvoriť zdroj na ľavom paneli vytvorte nový zdroj. Vyberte skupinu Zabezpečenie + identita a typ zdroja Key Vault.

3. Otvorí sa stránka Vytvorenie trezora kľúčov. Tu by ste mali definovať parametre ukladacieho priestoru kľúčového trezoru a potom kliknúť na tlačidlo Vytvoriť:

• Zadajte "Názov" trezora kľúčov. Tento parameter sa nazýva Nastavenie klienta Azure Key Vault ako <KeyVaultName>.

• Vyberte svoje predplatné.

• Vyberte skupinu zdrojov. Je to ako interný adresár v ukladacom priestore trezora kľúčov. Môžete použiť existujúcu skupinu zdrojov alebo vytvoriť novú.

• Vyberte umiestnenie.

• Vyberte cenovú hladinu.

• Kliknite na položku Vytvoriť.

• Pripnite vytvorený trezor kľúčov na tabuľu.

Nahratie certifikátu

Postup nahrávania do úložiska trezora kľúčov závisí od typu certifikátu.

Import *.pfx certifikátov

1. Certifikáty s príponou *.pfx možno nahrať do služby Azure Key Vault pomocou skriptu prostredia PowerShell.

• Nainštalujte modul AzureRM pre PowerShell podľa tohto návodu: https://learn.microsoft.com/ru-ru/powershell/azure/install-azurerm-ps?view=azurermps-5.4.0

• Spustite skript v prostredí PowerShell, ako je to znázornené nižšie v príklade:

Connect-AzAccount

$pfxFilePath = ' <Localpath> '

$pwd = ''

$secretName = ' <názov> '

$keyVaultName = ' <keyvault> '

$collection = New-ObjectSystem.Security.Cryptography.X509Certificates.X509Certificate2Collection

$collection. Import($pfxFilePath, $pwd,[System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable)

$pkcs 12ContentType =[System.Security.Cryptography.X509Certificates.X509ContentType]::P kcs12

$clearBytes = $collection. Export($pkcs 12ContentType)

$fileContentEncoded = [System.Convert]::ToBase64String($clearBytes)

$secret = ConvertTo-SecureString -String $fileContentEncoded -AsPlainText –Force

$secretContentType = "application/x-pkcs12"

Set-AzKeyVaultSecret -VaultName $keyVaultName -Name $secretName -SecretValue $Secret -ContentType $secretContentType

Kde:

<Localpath> – lokálna cesta k súboru s certicate, napr. C:\<smth>.pfx

<názov> – názov certifikátu, napr. <>

<keyvault> – názov úložiska key vault

Ak sa vyžaduje heslo, pridajte ho do značky $pwd

1. Nastavte značku certifikátu nahratého do trezora kľúčov platformy Azure.

• Na portáli Microsoft Azure kliknite na tlačidloTabuľa a výberom príslušného trezora kľúčov ho otvorte.

• Kliknite na dlaždicu Tajomstvo.

• Vyhľadajte vhodný tajný kód podľa názvu certifikátu a otvorte ho.

• Otvorte kartu Značky.

• Nastaviť názov značky = "type" a hodnota značky = "certifikát".

Poznámka: Názov značky a hodnota značky musia byť vyplnené bez úvodzoviek a malými písmenami.

• Kliknite na tlačidlo OK a uložte aktualizovaný tajný kód.

Import ostatných certifikátov

1. Kliknutím na tlačidloTabuľa na ľavom paneli zobrazíte predtým vytvorený trezor kľúčov.

2. Výberom príslušného trezora kľúčov ho otvorte. Karta Prehľad zobrazuje základné parametre úložiska trezora kľúčov vrátane názvu DNS.

Poznámka: Názov DNS je povinný parameter na integráciu s trezorom kľúčov, preto by mal byť v aplikácii zadaný a uvedený v časti Nastavenie klienta Azure Key Vault ako parameter<Key Vault URL adresy>.

1. Kliknite na dlaždicu Tajomstvo.

2. Kliknutím na tlačidlo Generovať/Importovať na stránke Tajné kódy  pridajte nový certifikát do úložiska trezora kľúčov. Na pravej strane stránky by ste mali definovať parametre certifikátu:

• V poli Možnosti nahrávania vyberte hodnotu Manuálne.

• Do poľa Názov zadajte názov certifikátu.

Poznámka: Názov tajného kľúča je povinný parameter na integráciu s trezorom kľúčov, preto by mal byť zadaný v aplikácii. Označuje sa v časti Nastavenie klienta Azure Key Vault ako parameter <SecretName>.

• Otvorte certifikát na úpravu a skopírujte všetok jeho obsah vrátane začiatočných a záverečných značiek.

• Prilepte skopírovaný obsah do poľa Hodnota.

• Povoľte certifikát.

• Stlačte tlačidlo Vytvoriť.

1. Je možné nahrať niekoľko verzií certifikátu a spravovať ich v ukladacom priestore trezora kľúčov. Ak potrebujete nahrať novú verziu existujúceho certifikátu, vyberte príslušný certifikát a kliknite na tlačidlo Nová verzia.

Poznámka: Aktuálna verzia by mala byť definovaná v nastavení aplikácie a v časti Nastavenie klienta Azure Key Vault sa označuje ako parameter<SecretVersion>.

Vytvorenie vstupného bodu pre vašu aplikáciu

Vytvorte vstupný bod pre aplikáciu, ktorá používa ukladací priestor trezora kľúčov.

1. Otvorte staršiu https://manage.windowsazure.com/ portálu.

2. Na ľavom paneli kliknite na položku Azure Active Directory a vyberte možnosť Vaša.

3. V otvorenom adresári Active Directory vyberte kartu Registrácia aplikácie.

4. Kliknutím na tlačidlo Nová registrácia aplikácie na dolnom paneli vytvorte novú položku aplikácie.

5. Zadajte "Názov" aplikácie a vyberte vhodný typ.

Poznámka: Na tejto stránke môžete definovať aj URL adresu prihlásenia, ktorá by mala mať formát http://< AppName>, kde <AppName> je názov aplikácie zadaný na predchádzajúcej stránke. <AppName> musia byť definované v politikách prístupu pre ukladací priestor služby Key Vault.

1. Kliknite na tlačidlo Vytvoriť.

Konfigurácia aplikácie

1. Otvorte kartu Registračné formuláre aplikácie.

2. Vyhľadajte vhodnú aplikáciu. Pole ID aplikácie má rovnakú hodnotu ako parameter <Key Vault Client>.

3. Kliknite na tlačidlo Nastavenie a potom otvorte kartu Kľúče.

4. Vygenerujte kľúč. Používa sa na zabezpečený prístup k ukladaciemu priestoru v trezore kľúčov z aplikácie.

• Vyplňte pole Popis.

• Môžete vytvoriť kľúč s obdobím trvania, ktoré sa rovná jednému alebo dvom rokom. Po kliknutí na tlačidlo Uložiť v dolnej časti stránky sa zobrazí hodnota kľúča .

Poznámka: Hodnota kľúča je povinný parameter na integráciu s trezorom kľúčov. Mal by sa skopírovať a potom zadať v aplikácii. Označuje sa v časti Nastavenie klienta Azure Key Vault ako <Key Vault tajný kľúč> parametra.

1. Skopírujte hodnotu "CLIENT ID" z konfigurácie. Mal by byť zadaný v aplikácii a mal by byť uvedený v časti Nastavenie klienta Azure Key Vault ako parameter <Key Vault Client>.

Pridanie aplikácie do úložiska trezora kľúčov

Pridajte aplikáciu do úložiska služby Key Vault, ktoré bolo vytvorené predtým.

1. Prejdite späť na portál Microsoft Azure (https://ms.portal.azure.com/),

2. Otvorte ukladací priestor v trezore kľúčov a kliknite na dlaždicu "Politiky prístupu".

3. Kliknite na tlačidlo Pridať nové a vyberte možnosť Vybrať objekt. Potom by ste mali nájsť aplikáciu podľa jej názvu. Po nájdení aplikácie kliknite na tlačidlo Vybrať.

4. Vyplňte pole Konfigurovať zo šablóny a kliknite na tlačidlo OK.

Poznámka: Na tejto stránke môžete v prípade potreby nastaviť aj kľúčové povolenia.