Обслуговування сховища сховище ключів Azure

Огляд

Конфіденційні для бізнесу дані зазвичай використовуються в захищеному вигляді. Це означає, що функціональність або програма, яка працює з цими даними, має підтримувати шифрування даних, роботу з сертифікатами тощо. Оскільки хмарна версія Microsoft Dynamics 365 для фінансів і операцій не підтримує локальне сховище сертифікатів, користувачам у цьому випадку потрібно скористатися сховищем ключів. Azure сховище ключів надає можливість імпортувати криптографічні ключі, сертифікати до Azure та керувати ними. Додаткові відомості про сховище ключів Azure. Що таке Azure сховище ключів.

Щоб визначити інтеграцію між Microsoft Dynamics 365 для фінансів і операцій і Azure сховище ключів, потрібні наведені нижче дані.

• URL-адреса сховища ключів (ім'я DNS),

• Ідентифікатор клієнта (ідентифікатор програми),

• Список сертифікатів з їхніми іменами,

• Секретний ключ (значення ключа).

Нижче наведено докладний опис кроків налаштування.

Створення сховища сховище ключів

1. Відкрийте портал Microsoft Azure за посиланням: https://ms.portal.azure.com/.

2. Натисніть кнопку "Створити ресурс" на панелі ліворуч, щоб створити новий ресурс. Виберіть групу "Безпека + ідентичність" і тип ресурсу "сховище ключів".

3. Відкриється сторінка "Створення сховища ключів". Тут слід визначити параметри сховища ключів сховища, а потім натиснути кнопку "Створити":

• Укажіть "Ім'я" сховища ключів. Цей параметр називається "Налаштування клієнта сховище ключів Azure" як <KeyVaultName>.

• Виберіть свою передплату.

• Виберіть групу ресурсів. Це як внутрішній каталог у сховищі ключів. Ви можете використовувати наявну групу ресурсів або створити нову.

• Виберіть своє розташування.

• Виберіть рівень цін.

• Натисніть кнопку "Створити".

• Закріпіть створене сховище ключів на приладній дошці.

Передавання сертифіката

Процедура передавання до сховища сховища ключів залежить від типу сертифіката.

Імпорт сертифікатів *.pfx

1. Сертифікати з розширенням *.pfx можна передати до сховище ключів Azure за допомогою сценарію PowerShell.

• Інсталюйте модуль AzureRM для PowerShell, дотримуючись цієї інструкції: https://learn.microsoft.com/ru-ru/powershell/azure/install-azurerm-ps?view=azurermps-5.4.0

• Виконайте сценарій в PowerShell, як у наведеному нижче прикладі:

Connect-AzAccount

$pfxFilePath = ' <Localpath> '

$pwd = ''

$secretName = " <ім'я> "

$keyVaultName = ' <keyvault> '

$collection = New-ObjectSystem.Security.Cryptography.X509Certificates.X509Certificate2Collection

$collection. Import($pfxFilePath, $pwd,[System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable)

$pkcs 12ContentType =[System.Security.Cryptography.X509Certificates.X509ContentType]::P kcs12

$clearBytes = $collection. Export($pkcs 12ContentType)

$fileContentEncoded = [System.Convert]::ToBase64String($clearBytes)

$secret = ConvertTo-SecureString -String $fileContentEncoded -AsPlainText –Force

$secretContentType = 'application/x-pkcs12'

Set-AzKeyVaultSecret -VaultName $keyVaultName -Name $secretName -SecretValue $Secret -ContentType $secretContentType

Де:

<Localpath> – локальний шлях до файлу з сертифікатом, наприклад C:\<smth>.pfx

<ім'я> – ім'я сертифіката, наприклад <smth>

<keyvault> – ім'я сховища сховища ключів

Якщо пароль обов'язковий, додайте його до тега $pwd

1. Установіть позначку для сертифіката, переданого до сховища ключів Azure.

• На порталі Microsoft Azure натисніть кнопку "Приладна дошка" та виберіть відповідне сховище ключів, щоб відкрити його.

• Клацніть плитку "Секрети".

• Знайдіть потрібний секрет за іменем сертифіката та відкрийте його.

• Відкрийте вкладку "Позначки".

• Установіть ім'я тега = "тип" і значення тега = "сертифікат".

Примітка. Ім'я тега та значення тега мають бути заповнені без лапок і в нижньому регістрі.

• Натисніть кнопку OK і збережіть оновлений секрет.

Імпорт інших сертифікатів

1. Натисніть кнопку "Приладна дошка" на лівій панелі, щоб переглянути сховище ключів, створене раніше.

2. Виберіть відповідне сховище ключів, щоб відкрити його. На вкладці "Огляд" відображаються основні параметри сховища ключів, включно з іменем DNS.

Примітка. Ім'я DNS є обов'язковим параметром для інтеграції зі сховищем ключів, тому його слід указати в програмі та вказати в розділі "Настроювання клієнта сховище ключів Azure" як <сховище ключів URL-адресу> параметр.

1. Клацніть плитку "Секрети".

2. Натисніть кнопку "Створити/імпортувати" на сторінці "Секрети",  щоб додати новий сертифікат до сховища ключів. У правій частині сторінки слід визначити параметри сертифіката:

• Виберіть значення "Вручну" в полі "Параметри передавання".

• Введіть ім'я сертифіката в полі "Ім'я".

Примітка. Таємне ім'я є обов'язковим параметром для інтеграції зі сховищем ключів, тому його слід указати в програмі. Його називають параметром <SecretName> "Налаштування клієнта сховище ключів Azure".

• Відкрийте сертифікат для редагування та скопіюйте весь його вміст, включно з тегами початку та закриття.

• Вставте скопійований вміст у поле "Значення".

• Увімкніть сертифікат.

• Натисніть кнопку "Створити".

1. Можна передати кілька версій сертифіката та керувати ними в сховищі ключів. Якщо потрібно передати нову версію для наявного сертифіката, виберіть відповідний сертифікат і натисніть кнопку "Нова версія".

Примітка. Поточна версія має визначатися в програмі інсталяції та називається "Налаштування клієнта сховище ключів Azure" як параметр<SecretVersion>.

Створення точки входу для програми

Створіть точку входу для програми, яка використовує сховище сховища ключів.

1. Відкрийте застарілий https://manage.windowsazure.com/ порталу.

2. Клацніть "Azure Active Directory" на панелі ліворуч і виберіть свій.

3. У відкритому каталозі Active Directory виберіть вкладку "Реєстрація програми".

4. Натисніть кнопку "Нова реєстрація програми" на нижній панелі, щоб створити новий запис програми.

5. Укажіть "Ім'я" програми та виберіть відповідний тип.

Примітка. На цій сторінці можна також визначити "URL-адресу для входу", яка має мати формат http://<AppName>, де <AppName> – це ім'я програми, указане на попередній сторінці. <> AppName має бути визначено в політиці доступу до сховища ключів.

1. Натисніть кнопку "Створити".

Настроювання програми

1. Відкрийте вкладку "Реєстрації програм".

2. Знайдіть відповідну програму. Поле "Ідентифікатор застосунку" має таке саме значення, що й параметр <сховище ключів client>.

3. Натисніть кнопку "Настройки", а потім відкрийте вкладку "Клавіші".

4. Створіть ключ. Він використовується для захищеного доступу до сховища ключів із програми.

• Заповніть поле "Опис".

• Ви можете створити ключ із періодом тривалості, який дорівнює одному або двом роками. Якщо натиснути кнопку "Зберегти" в нижній частині сторінки, відображається значення ключа .

Примітка. Значення ключа – це обов'язковий параметр для інтеграції зі сховищем ключів. Його слід скопіювати, а потім указати в програмі. Його називають "Налаштування клієнта сховище ключів Azure" як <сховище ключів секретний ключ> параметр.

1. Скопіюйте значення "Ідентифікатор клієнта" з конфігурації. Його слід указати в програмі та вказати в розділі "Налаштування клієнта сховище ключів Azure" як параметр <сховище ключів клієнта>.

Додавання програми до сховища ключів

Додайте програму до сховища ключів, створеного раніше.

1. Поверніться на портал Microsoft Azure (https://ms.portal.azure.com/)

2. Відкрийте сховище сховища ключів і клацніть плитку "Політики доступу".

3. Натисніть кнопку "Додати новий" і виберіть параметр "Вибрати принципал". Після цього потрібно знайти програму за її назвою. Коли програму буде знайдено, натисніть кнопку "Вибрати".

4. Заповніть поле "Настроїти з шаблону" та натисніть кнопку OK.

Примітка. На цій сторінці також можна настроїти дозволи для ключів, якщо потрібно.