密钥保管库密钥与秘密
问题描述:
我们有一个主密钥保险库,其中应包含证书以向特定服务主体(每个环境1 SP)进行身份验证。这些服务主体可以访问其个人密钥保管库。我们使用秘密来存储证书。但是,似乎'密钥'更适合存储证书,因为密钥可以自己生成证书。那是对的吗?密钥保管库密钥与秘密
现在,我们的VSTS服务主体部署ARM模板,并将正确的证书放入Web应用程序服务的证书存储中。然后使用此证书将应用程序认证为SP,并允许其从SP个人密钥保管库中检索秘密。
我能够添加证书(如密码)是这样的:
{
"type":"Microsoft.Web/certificates",
"name":"testCertificate",
"apiVersion":"2016-03-01",
"location":"[resourceGroup().location]",
"properties":{
"keyVaultId":"/subscriptions/xxxx/resourceGroups/rg/providers/Microsoft.KeyVault/vaults/xxxx",
"keyVaultSecretName":"testcert",
"serverFarmId":"[resourceId('Microsoft.Web/serverfarms', 'asp-test1')]"
}
是否有可能通过一个“关键”,而不是“秘密”添加证书?如何将密钥与ARM模板进行映射?
答
我不认为它现在可能,看着ARM架构,我似乎无法找到一种方法来创建与ARM模板的密钥,并且我没有看到一种方法来引用密钥WebApp部署。
另外,我挂你在我以前的答案的文章明确指出,你需要使用的秘密(寻找这一字符串在文章底部):
Create a self-signed certificate and authorize it to read Key Vault Secrets as described here