Azure

從 Microsoft Azure Key Vault 為 LDAP/S 添加證書

  • December 4, 2019

我似乎可以找到為 Azure Active Directory 域服務添加安全 LDAP (LDAP/S) 證書的唯一方法是從我的本地電腦上傳證書。當 Microsoft Azure Key Vaults 可用於創建和儲存密鑰對和證書時,這似乎是一個非常糟糕的密鑰管理解決方案。我錯過了什麼嗎?有沒有辦法直接使用 Key Vault 中的證書和密鑰對,或者我必須從 Key Vault 下載它們,然後為 LDAP/S 上傳它們?最佳 PKI 實踐規定我從不直接訪問私鑰。

來自 Microsoft 支持,他們提出了我在此處發布的相同問題:

你好斯科特,

感謝您聯繫 Microsoft 支持。我的名字是大衛索拉諾。我是支持專家,將與您一起處理此服務請求。您可以使用下面列出的聯繫資訊與我聯繫,參考 SR 編號 11****000

根據您的問題描述,我了解您需要知道一種直接使用 Key Vault 中的證書和密鑰對來實現安全 LDAP (LDAP/S) 的方法。

在這種情況下,我想向您解釋一下,目前為 Azure Active Directory 域服務添加安全 LDAP 證書的唯一方法是從本地電腦上傳證書,正如 Microsoft 這篇關於如何配置的文章中所解釋的那樣託管域的安全 LDAP:https ://docs.microsoft.com/en-us/azure/active-directory-domain-services/tutorial-configure-ldaps 。

此外,我們不能使用直接來自 Key Vault 的證書和密鑰對來實現安全 LDAP。需要按照上面提供的說明下載私鑰並將其上傳到您的本地電腦。

此外,如果您需要知道如何使用 PFX 密碼從 KeyVault 下載此私鑰,您可以在 PowerShell 上執行此腳本:

Login-AzureRmAccount

$vaultName  = "<NameOfKeyVault>"$vaultName  = "<NameOfKeyVault>"

$keyVaultSecretName = "<NameOfTheSecretWhereCertificateIsStored>"

$secret = Get-AzureKeyVaultSecret -VaultName $VaultName -Name $keyVaultSecretName

$pfxCertObject = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2 -ArgumentList @([Convert]::FromBase64String($secret.SecretValueText),"",[System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable)

$pfxPassword = -join ((65..90) + (97..122) + (48..57) | Get-Random -Count 50 | % {[char]$_})

$currentDirectory = (Get-Location -PSProvider FileSystem).ProviderPath

[Environment]::CurrentDirectory = (Get-Location -PSProvider FileSystem).ProviderPath

[io.file]::WriteAllBytes(".\KeyVaultCertificate.pfx", $pfxCertObject.Export([System.Security.Cryptography.X509Certificates.X509ContentType]::Pkcs12, $pfxPassword))

Write-Host "Created an App Service Certificate copy at: $currentDirectory\KeyVaultCertificate.pfx"

Write-Warning "For security reasons, do not store the PFX password. Use it directly from the console as required."

Write-Host "PFX password: $pfxPassword"

如果您有任何問題或疑慮,請告訴我。

最好的祝福,

大衛索拉諾 | 支持工程師 | Azure 支持

電子郵件:v-@microsoft.com | 經理:v-@microsoft.com

工作時間:上午 7:30 – 下午 4:30 (MF) MDT| 當地時間

要在我的工作時間之外聯繫 Azure 支持,請發送電子郵件至 azurebu@microsoft.com,並提供您的支持請求編號。

呃,好吧。

引用自:https://serverfault.com/questions/994050