从 Microsoft Azure Key Vault 添加用于 LDAP/S 的证书

从 Microsoft Azure Key Vault 添加用于 LDAP/S 的证书

我似乎能找到的唯一为 Azure Active Directory 域服务添加安全 LDAP (LDAP/S) 证书的方法是从我的本地计算机上传证书。当 Microsoft Azure Key Vaults 可用于创建和存储密钥对和证书时,这似乎是一种非常糟糕的密钥管理解决方案。我遗漏了什么吗?有没有办法直接使用 Key Vault 中的证书和密钥对,还是必须从 Key Vault 下载它们,然后将它们上传到 LDAP/S?最佳 PKI 实践规定我永远不会直接访问私钥。

答案1

来自微软支持人员的询问,我在这里发布了同样的问题:

你好,斯科特,

感谢您联系 Microsoft 支持。我叫 David Solano。我是支持专家,将与您一起处理此服务请求。您可以使用下面列出的联系信息联系我,参考 SR 编号 11*******000***。

根据您的问题描述,我了解您需要知道一种直接使用来自 Key Vault 的证书和密钥对来实现安全 LDAP(LDAP/S)的方法。

在这种情况下,我想向您解释一下,目前为 Azure Active Directory 域服务添加安全 LDAP 证书的唯一方法是从本地计算机上传证书,正如这篇有关如何为托管域配置安全 LDAP 的 Microsoft 文章中所解释的那样:https://docs.microsoft.com/en-us/azure/active-directory-domain-services/tutorial-configure-ldaps

此外,我们不能直接从 Key Vault 使用证书和密钥对来实现安全 LDAP。您需要按照上述说明下载私钥并将其上传到本地计算机。

另外,如果您需要了解如何使用 PFX 密码从 KeyVault 下载此私钥,您可以在 PowerShell 上运行此脚本:

Login-AzureRmAccount

$vaultName  = "<NameOfKeyVault>"$vaultName  = "<NameOfKeyVault>"

$keyVaultSecretName = "<NameOfTheSecretWhereCertificateIsStored>"

$secret = Get-AzureKeyVaultSecret -VaultName $VaultName -Name $keyVaultSecretName

$pfxCertObject = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2 -ArgumentList @([Convert]::FromBase64String($secret.SecretValueText),"",[System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable)

$pfxPassword = -join ((65..90) + (97..122) + (48..57) | Get-Random -Count 50 | % {[char]$_})

$currentDirectory = (Get-Location -PSProvider FileSystem).ProviderPath

[Environment]::CurrentDirectory = (Get-Location -PSProvider FileSystem).ProviderPath

[io.file]::WriteAllBytes(".\KeyVaultCertificate.pfx", $pfxCertObject.Export([System.Security.Cryptography.X509Certificates.X509ContentType]::Pkcs12, $pfxPassword))

Write-Host "Created an App Service Certificate copy at: $currentDirectory\KeyVaultCertificate.pfx"

Write-Warning "For security reasons, do not store the PFX password. Use it directly from the console as required."

Write-Host "PFX password: $pfxPassword"

如果您有任何问题或疑虑,请告诉我。

此致,

David Solano | 支持工程师 | Azure 支持

电子邮件:v-*****@microsoft.com | 经理:v-*****@microsoft.com

工作时间:上午 7:30 – 下午 4:30(MF)MDT | 当地时间

若要在我的工作时间以外联系 Azure 支持,请发送电子邮件[电子邮件保护]并附上您的支持请求编号。

呃,好吧。

相关内容