Održavanje Azure Key Vault skladišta

Pregled

Poslovni osetljivi podaci se obično koriste na bezbedan način. To znači da funkcionalnost ili aplikacija koja radi sa ovim podacima mora da podržava šifrovanje podataka, rad sa certifikatima itd. Pošto verzija programa Microsoft Dynamics 365 za finansije i operacije u oblaku ne podržava lokalno skladište certifikata, klijenti u ovom slučaju treba da koriste ključno skladište trezora. Azure Key Vault pruža mogućnost uvoza kriptografskih ključeva, certifikata u Azure i upravljanja njima. Dodatne informacije o usluzi Azure Key Vault: Šta je to Azure Key Vault.

Sledeći podaci su potrebni za definisanje integracije između usluge Microsoft Dynamics 365 za finansije i operacije i usluge Azure Key Vault:

• URL adresa trezora ključa (DNS ime),

• ID klijenta (identifikator aplikacije),

• Lista certifikata sa njihovim imenima,

• Tajni ključ (ključna vrednost).

U nastavku možete da pronađete detaljan opis koraka za podešavanje:

Kreiranje skladišta Key Vault skladišta

1. Otvorite Microsoft Azure portal pomoću veze: https://ms.portal.azure.com/.

2. Kliknite na dugme "Kreiraj resurs" na levoj tabli da biste kreirali novi resurs. Odaberite grupu "Bezbednost + identitet" i tip resursa "Key Vault".

3. Stranica "Kreiranje trezora ključa" je otvorena. Ovde treba da definišete parametre skladišta skladišta ključa, a zatim da kliknete na dugme "Kreiraj":

• Navedite "Ime" trezora ključa. Ovaj parametar se naziva "Podešavanje usluge Azure Key Vault Client" kao<KeyVaultName>.

• Izaberite pretplatu.

• Odaberite grupu resursa. To je kao interni direktorijum unutar skladišta ključa. Možete da koristite postojeću grupu resursa ili da kreirate novu.

• Izaberite lokaciju.

• Izaberite sloj cena.

• Kliknite na dugme "Kreiraj".

• Zakačite kreirani trezor ključa na kontrolnu tablu.

Otpremanje certifikata

Procedura otpremanja u skladište ključa trezora zavisi od tipa certifikata.

Uvoz *.pfx certifikata

1. Certifikati sa oznakom tipa datoteke *.pfx mogu da se otpreme u Azure Key Vault pomoću PowerShell-skripte.

• Instalirajte modulE AzureRM za PowerShell prateći ovo uputstvo: https://learn.microsoft.com/ru-ru/powershell/azure/install-azurerm-ps?view=azurermps-5.4.0

• Pokrenite skriptu u programu PowerShell kao u dolenavedenom primeru:

Connect-AzAccount

$pfxFilePath = ' <Localpath> '

$pwd = ""

$secretName = ' <ime> '

$keyVaultName = ' <keyvault> '

$collection = New-ObjectSystem.Security.Cryptography.X509Certificates.X509Certificate2Collection

$collection. Import($pfxFilePath, $pwd,[System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable)

$pkcs 12ContentType =[System.Security.Cryptography.X509Certificates.X509ContentType]::P kcs12

$clearBytes = $collection. Export($pkcs 12ContentType)

$fileContentEncoded = [System.Convert]::ToBase64String($clearBytes)

$secret = ConvertTo-SecureString -String $fileContentEncoded -AsPlainText –Force

$secretContentType = "application/x-pkcs12"

Set-AzKeyVaultSecret -$keyVaultName -Name $secretName -SecretValue $Secret -ContentType $secretContentType

Gde:

<Localpath> – lokalna putanja do datoteke sa certicate, npr. C:\<smth>.pfx

<ime> – ime certifikata, npr. <smth>

<keyvault> – ime skladišta ključa trezora

Ako je potrebna lozinka, dodajte je u oznaku $pwd

1. Postavite oznaku za certifikat otpremljen u Azure Key trezor.

• Na Microsoft Azure portalu kliknite na dugme "Kontrolna tabla" i izaberite odgovarajući trezor ključa da biste ga otvorili.

• Kliknite na pločicu "Tajne".

• Pronađite odgovarajuću tajnu pored imena certifikata i otvorite je.

• Otvaranje kartice "Oznake".

• Postavite ime oznake = "tip" i vrednost oznake = "certifikat".

Napomena: Ime oznake i vrednost oznake moraju biti popunjeni bez navodnika i malih slova.

• Kliknite na dugme U redu i sačuvajte ažuriranu tajnu.

Uvoz drugih certifikata

1. Kliknite na dugme "Kontrolna tabla" na levoj tabli da biste videli trezor ključa koji je kreiran ranije.

2. Izaberite odgovarajući trezor ključa da biste ga otvorili. Kartica "Pregled" prikazuje osnovne parametre skladišta ključa, uključujući "DNS ime".

Napomena: DNS ime je obavezni parametar za integraciju sa ključnim trezorom, stoga ga treba navesti u aplikaciji i navesti "Podešavanje Azure Key Vault klijenta" kao <Key Vault URL>parametar.

1. Kliknite na pločicu "Tajne".

2. Kliknite na dugme "Generiši/uvezi" na stranici "Tajne"  da biste dodali novi certifikat u skladište ključa trezora. Na desnoj strani stranice treba da definišete parametre certifikata:

• Izaberite vrednost "Ručno" u polju "Opcije otpremanja".

• Unesite ime certifikata u polje "Ime".

Napomena: Tajno ime je obavezni parametar za integraciju sa ključnim trezorom, stoga ga treba navesti u aplikaciji. On se naziva "Podešavanje Azure Key Vault klijenta" kao <SecretName>parametru.

• Otvorite certifikat za uređivanje i kopirajte sav njegov sadržaj, uključujući oznake početka i zatvaranja.

• Nalepite kopirani sadržaj u polje "Vrednost".

• Omogućite certifikat.

• Pritisnite dugme "Kreiraj".

1. Moguće je otpremiti nekoliko verzija certifikata i upravljati njima u skladištu ključa. Ako treba da otpremite novu verziju za postojeći certifikat, izaberite odgovarajući certifikat i kliknite na dugme "Nova verzija".

Napomena: Trenutna verzija bi trebalo da se definiše u podešavanju aplikacije i naziva se "Podešavanje usluge Azure Key Vault Client" kao <SecretVersion>parametru.

Kreiranje ulazne tačke za aplikaciju

Kreirajte ulaznu tačku za aplikaciju koja koristi skladište ključa trezora.

1. Otvorite zastareli portal https://manage.windowsazure.com/.

2. Kliknite na stavku "Azure Active Directory" sa leve table i izaberite svoju.

3. U otvorenom aktivnom direktorijumu odaberite karticu "Registracija aplikacija".

4. Kliknite na dugme "Nova registracija aplikacije" na donjoj tabli da biste kreirali novu stavku aplikacije.

5. Navedite "Ime" aplikacije i izaberite odgovarajući tip.

Napomena: Na ovoj stranici možete da definišete i URL adresu za prijavljivanje koja bi trebalo da ima format http://<AppName>, gde <AppName> predstavlja ime aplikacije navedeno na prethodnoj stranici. <AppName> moraju biti definisane u smernicama za pristup za skladište ključa trezora.

1. Kliknite na dugme "Kreiraj".

Konfigurisanje aplikacije

1. Otvorite karticu "Registracije aplikacija".

2. Pronađite odgovarajuću aplikaciju. Polje "ID aplikacije" ima istu vrednost kao parametar "<Key Vault klijenta>.

3. Kliknite na dugme "Postavke", a zatim otvorite karticu "Tasteri".

4. Generišite ključ. Koristi se za bezbedan pristup skladištu ključa iz aplikacije.

• Popunite polje "Opis".

• Možete da kreirate ključ sa periodom trajanja jednakom jednoj ili dve godine. Kada kliknete na dugme "Sačuvaj" u donjem delu stranice, ključna vrednost postaje vidljiva.

Napomena: Ključna vrednost je obavezni parametar za integraciju sa ključnim trezorom. Trebalo bi da se kopira, a zatim navede u aplikaciji. "Podešavanje Azure Key Vault klijenta" naziva se <Key Vault tajnog ključa>parametar.

1. Kopirajte vrednost "ID klijenta" iz konfiguracije. Trebalo bi da bude naveden u aplikaciji i da se u okviru "Podešavanje usluge Azure Key Vault Client" naziva <Key Vault Client> parametar.

Dodavanje aplikacije u skladište ključa trezora

Dodajte aplikaciju u skladište ključa koje je ranije kreirano u trezoru.

1. Vratite se na Microsoft Azure portal (https://ms.portal.azure.com/),

2. Otvorite skladište ključa trezora i kliknite na pločicu "Access smernice".

3. Kliknite na dugme "Dodaj novo" i odaberite opciju "Izaberi principal". Zatim bi trebalo da pronađete aplikaciju po imenu. Kada se pronađe aplikacija, kliknite na dugme "Izaberi".

4. Popunite polje "Konfiguriši iz predloška" i kliknite na dugme U redu.

Napomena: Na ovoj stranici možete i da podesite dozvole ključa ako je to neophodno.