Azure:通过证书从云工作者连接到密钥库
Azure: Connect to key vault from cloud worker via certificate
我有一个工作进程 运行ning 作为 Azure 中的经典云服务。此过程需要从 Azure 密钥保管库中检索值,我需要在我的源代码树之外对保管库身份验证保密。
托管身份似乎不适用于经典云工作者,因此我正在查看证书。通过创建证书然后在 Azure Active Directory 中上传我的应用程序注册,我已经通过证书获得身份验证以在本地工作:
证书创建:
New-SelfSignedCertificate -Subject "CN=MyFineCertificate" -CertStoreLocation "Cert:\CurrentUser\My" -KeyExportPolicy Exportable -KeySpec Signature
使用它连接到密钥库的代码(在本地工作):
private static KeyVaultClient GetClient()
{
var certificate = GetCertificate();
var assertion = new ClientAssertionCertificate(clientId, certificate);
var client = new KeyVaultClient(new KeyVaultClient.AuthenticationCallback((a, r, s) => GetAccessTokenUsingCert(a, r, s, assertion)));
return client;
}
private static X509Certificate2 GetCertificate()
{
var certStore = new X509Store(StoreName.My, StoreLocation.CurrentUser);
certStore.Open(OpenFlags.ReadOnly);
var results = certStore.Certificates.Find(/* criteria */);
return results[0];
}
private static async Task<string> GetAccessToken(string authority, string resource, string scope, ClientAssertionCertificate cert)
{
var authContext = new AuthenticationContext(authority, TokenCache.DefaultShared);
var result = await authContext.AcquireTokenAsync(resource, cert);
return result.AccessToken;
}
到目前为止一切顺利。但是,我希望我的 Azure 云工作者执行此操作,因此我需要在那里提供我的证书。我天真的假设是,我可以从门户中云工作人员的 "Certificates" 面板上传证书 (pfx)。
很遗憾,我的云工作者无法找到它。如果我 运行 在 Azure 上上传我的证书后,它不会显示:
foreach (StoreName name in Enum.GetValues(typeof(StoreName)))
{
foreach (StoreLocation location in Enum.GetValues(typeof(StoreLocation)))
{
var certStore = new X509Store(name, location);
certStore.Open(OpenFlags.ReadOnly);
foreach (var res in certStore.Certificates)
{
/* log certificate */
}
}
}
为什么没有显示?我是在正确的轨道上,还是我完全误解了它的工作原理?
您的问题分为两部分:
方法 - 由于托管服务标识不适用于云服务,如何work/authenticate 使用 Azure Key Vault?
你走在正确的轨道上。我已经在这个 SO Post -
实现 - 具体如何从云服务角色实例访问自签名证书。
我认为您可能没有指定证书及其在云服务定义和配置文件中的位置。你应该尝试添加这样的东西 -
CSCFG
<Certificates>
<Certificate name="MyFineCertificate" thumbprint="<my_thumbprint>" thumbprintAlgorithm="<my_thumbprint_algo e.g. sha1>" />
</Certificates>
CSDEF
<Certificates>
<Certificate name="MyFineCertificate" storeLocation="LocalMachine" storeName="My" />
</Certificates>
请注意,我提到的商店位置是 LocalMachine。现在,您应该能够通过指定正确的位置从代码中访问证书。
var certStore = new X509Store(StoreName.My, StoreLocation.LocalMachine);
我有一个工作进程 运行ning 作为 Azure 中的经典云服务。此过程需要从 Azure 密钥保管库中检索值,我需要在我的源代码树之外对保管库身份验证保密。
托管身份似乎不适用于经典云工作者,因此我正在查看证书。通过创建证书然后在 Azure Active Directory 中上传我的应用程序注册,我已经通过证书获得身份验证以在本地工作:
证书创建:
New-SelfSignedCertificate -Subject "CN=MyFineCertificate" -CertStoreLocation "Cert:\CurrentUser\My" -KeyExportPolicy Exportable -KeySpec Signature
使用它连接到密钥库的代码(在本地工作):
private static KeyVaultClient GetClient()
{
var certificate = GetCertificate();
var assertion = new ClientAssertionCertificate(clientId, certificate);
var client = new KeyVaultClient(new KeyVaultClient.AuthenticationCallback((a, r, s) => GetAccessTokenUsingCert(a, r, s, assertion)));
return client;
}
private static X509Certificate2 GetCertificate()
{
var certStore = new X509Store(StoreName.My, StoreLocation.CurrentUser);
certStore.Open(OpenFlags.ReadOnly);
var results = certStore.Certificates.Find(/* criteria */);
return results[0];
}
private static async Task<string> GetAccessToken(string authority, string resource, string scope, ClientAssertionCertificate cert)
{
var authContext = new AuthenticationContext(authority, TokenCache.DefaultShared);
var result = await authContext.AcquireTokenAsync(resource, cert);
return result.AccessToken;
}
到目前为止一切顺利。但是,我希望我的 Azure 云工作者执行此操作,因此我需要在那里提供我的证书。我天真的假设是,我可以从门户中云工作人员的 "Certificates" 面板上传证书 (pfx)。
很遗憾,我的云工作者无法找到它。如果我 运行 在 Azure 上上传我的证书后,它不会显示:
foreach (StoreName name in Enum.GetValues(typeof(StoreName)))
{
foreach (StoreLocation location in Enum.GetValues(typeof(StoreLocation)))
{
var certStore = new X509Store(name, location);
certStore.Open(OpenFlags.ReadOnly);
foreach (var res in certStore.Certificates)
{
/* log certificate */
}
}
}
为什么没有显示?我是在正确的轨道上,还是我完全误解了它的工作原理?
您的问题分为两部分:
方法 - 由于托管服务标识不适用于云服务,如何work/authenticate 使用 Azure Key Vault?
你走在正确的轨道上。我已经在这个 SO Post -
中描述了使用 Key Vault 处理类似问题的方法
实现 - 具体如何从云服务角色实例访问自签名证书。
我认为您可能没有指定证书及其在云服务定义和配置文件中的位置。你应该尝试添加这样的东西 -
CSCFG
<Certificates> <Certificate name="MyFineCertificate" thumbprint="<my_thumbprint>" thumbprintAlgorithm="<my_thumbprint_algo e.g. sha1>" /> </Certificates>CSDEF
<Certificates> <Certificate name="MyFineCertificate" storeLocation="LocalMachine" storeName="My" /> </Certificates>请注意,我提到的商店位置是 LocalMachine。现在,您应该能够通过指定正确的位置从代码中访问证书。
var certStore = new X509Store(StoreName.My, StoreLocation.LocalMachine);