從 Microsoft Azure Key Vault 為 LDAP/S 添加證書
我似乎可以找到為 Azure Active Directory 域服務添加安全 LDAP (LDAP/S) 證書的唯一方法是從我的本地電腦上傳證書。當 Microsoft Azure Key Vaults 可用於創建和儲存密鑰對和證書時,這似乎是一個非常糟糕的密鑰管理解決方案。我錯過了什麼嗎?有沒有辦法直接使用 Key Vault 中的證書和密鑰對,或者我必須從 Key Vault 下載它們,然後為 LDAP/S 上傳它們?最佳 PKI 實踐規定我從不直接訪問私鑰。
來自 Microsoft 支持,他們提出了我在此處發布的相同問題:
你好斯科特,
感謝您聯繫 Microsoft 支持。我的名字是大衛索拉諾。我是支持專家,將與您一起處理此服務請求。您可以使用下面列出的聯繫資訊與我聯繫,參考 SR 編號 11****000。
根據您的問題描述,我了解您需要知道一種直接使用 Key Vault 中的證書和密鑰對來實現安全 LDAP (LDAP/S) 的方法。
在這種情況下,我想向您解釋一下,目前為 Azure Active Directory 域服務添加安全 LDAP 證書的唯一方法是從本地電腦上傳證書,正如 Microsoft 這篇關於如何配置的文章中所解釋的那樣託管域的安全 LDAP:https ://docs.microsoft.com/en-us/azure/active-directory-domain-services/tutorial-configure-ldaps 。
此外,我們不能使用直接來自 Key Vault 的證書和密鑰對來實現安全 LDAP。需要按照上面提供的說明下載私鑰並將其上傳到您的本地電腦。
此外,如果您需要知道如何使用 PFX 密碼從 KeyVault 下載此私鑰,您可以在 PowerShell 上執行此腳本:
Login-AzureRmAccount $vaultName = "<NameOfKeyVault>"$vaultName = "<NameOfKeyVault>" $keyVaultSecretName = "<NameOfTheSecretWhereCertificateIsStored>" $secret = Get-AzureKeyVaultSecret -VaultName $VaultName -Name $keyVaultSecretName $pfxCertObject = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2 -ArgumentList @([Convert]::FromBase64String($secret.SecretValueText),"",[System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable) $pfxPassword = -join ((65..90) + (97..122) + (48..57) | Get-Random -Count 50 | % {[char]$_}) $currentDirectory = (Get-Location -PSProvider FileSystem).ProviderPath [Environment]::CurrentDirectory = (Get-Location -PSProvider FileSystem).ProviderPath [io.file]::WriteAllBytes(".\KeyVaultCertificate.pfx", $pfxCertObject.Export([System.Security.Cryptography.X509Certificates.X509ContentType]::Pkcs12, $pfxPassword)) Write-Host "Created an App Service Certificate copy at: $currentDirectory\KeyVaultCertificate.pfx" Write-Warning "For security reasons, do not store the PFX password. Use it directly from the console as required." Write-Host "PFX password: $pfxPassword"如果您有任何問題或疑慮,請告訴我。
最好的祝福,
大衛索拉諾 | 支持工程師 | Azure 支持
電子郵件:v-@microsoft.com | 經理:v-@microsoft.com
工作時間:上午 7:30 – 下午 4:30 (MF) MDT| 當地時間
要在我的工作時間之外聯繫 Azure 支持,請發送電子郵件至 azurebu@microsoft.com,並提供您的支持請求編號。
呃,好吧。