从 Microsoft Azure Key Vault 添加用于 LDAP/S 的证书

Question

来自微软支持人员的询问，我在这里发布了同样的问题：

你好，斯科特，

感谢您联系 Microsoft 支持。我叫 David Solano。我是支持专家，将与您一起处理此服务请求。您可以使用下面列出的联系信息联系我，参考 SR 编号 11*******000***。

根据您的问题描述，我了解您需要知道一种直接使用来自 Key Vault 的证书和密钥对来实现安全 LDAP（LDAP/S）的方法。

在这种情况下，我想向您解释一下，目前为 Azure Active Directory 域服务添加安全 LDAP 证书的唯一方法是从本地计算机上传证书，正如这篇有关如何为托管域配置安全 LDAP 的 Microsoft 文章中所解释的那样：https://docs.microsoft.com/en-us/azure/active-directory-domain-services/tutorial-configure-ldaps。

此外，我们不能直接从 Key Vault 使用证书和密钥对来实现安全 LDAP。您需要按照上述说明下载私钥并将其上传到本地计算机。

另外，如果您需要了解如何使用 PFX 密码从 KeyVault 下载此私钥，您可以在 PowerShell 上运行此脚本：

Login-AzureRmAccount

$vaultName  = "<NameOfKeyVault>"$vaultName  = "<NameOfKeyVault>"

$keyVaultSecretName = "<NameOfTheSecretWhereCertificateIsStored>"

$secret = Get-AzureKeyVaultSecret -VaultName $VaultName -Name $keyVaultSecretName

$pfxCertObject = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2 -ArgumentList @([Convert]::FromBase64String($secret.SecretValueText),"",[System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable)

$pfxPassword = -join ((65..90) + (97..122) + (48..57) | Get-Random -Count 50 | % {[char]$_})

$currentDirectory = (Get-Location -PSProvider FileSystem).ProviderPath

[Environment]::CurrentDirectory = (Get-Location -PSProvider FileSystem).ProviderPath

[io.file]::WriteAllBytes(".\KeyVaultCertificate.pfx", $pfxCertObject.Export([System.Security.Cryptography.X509Certificates.X509ContentType]::Pkcs12, $pfxPassword))

Write-Host "Created an App Service Certificate copy at: $currentDirectory\KeyVaultCertificate.pfx"

Write-Warning "For security reasons, do not store the PFX password. Use it directly from the console as required."

Write-Host "PFX password: $pfxPassword"

如果您有任何问题或疑虑，请告诉我。

此致，

David Solano | 支持工程师 | Azure 支持

电子邮件：v-*****@microsoft.com | 经理：v-*****@microsoft.com

工作时间：上午 7:30 – 下午 4:30（MF）MDT | 当地时间

若要在我的工作时间以外联系 Azure 支持，请发送电子邮件[电子邮件保护]并附上您的支持请求编号。

呃，好吧。

Answer 1

来自微软支持人员的询问，我在这里发布了同样的问题：

你好，斯科特，

感谢您联系 Microsoft 支持。我叫 David Solano。我是支持专家，将与您一起处理此服务请求。您可以使用下面列出的联系信息联系我，参考 SR 编号 11*******000***。

根据您的问题描述，我了解您需要知道一种直接使用来自 Key Vault 的证书和密钥对来实现安全 LDAP（LDAP/S）的方法。

在这种情况下，我想向您解释一下，目前为 Azure Active Directory 域服务添加安全 LDAP 证书的唯一方法是从本地计算机上传证书，正如这篇有关如何为托管域配置安全 LDAP 的 Microsoft 文章中所解释的那样：https://docs.microsoft.com/en-us/azure/active-directory-domain-services/tutorial-configure-ldaps。

此外，我们不能直接从 Key Vault 使用证书和密钥对来实现安全 LDAP。您需要按照上述说明下载私钥并将其上传到本地计算机。

另外，如果您需要了解如何使用 PFX 密码从 KeyVault 下载此私钥，您可以在 PowerShell 上运行此脚本：

Login-AzureRmAccount

$vaultName  = "<NameOfKeyVault>"$vaultName  = "<NameOfKeyVault>"

$keyVaultSecretName = "<NameOfTheSecretWhereCertificateIsStored>"

$secret = Get-AzureKeyVaultSecret -VaultName $VaultName -Name $keyVaultSecretName

$pfxCertObject = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2 -ArgumentList @([Convert]::FromBase64String($secret.SecretValueText),"",[System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable)

$pfxPassword = -join ((65..90) + (97..122) + (48..57) | Get-Random -Count 50 | % {[char]$_})

$currentDirectory = (Get-Location -PSProvider FileSystem).ProviderPath

[Environment]::CurrentDirectory = (Get-Location -PSProvider FileSystem).ProviderPath

[io.file]::WriteAllBytes(".\KeyVaultCertificate.pfx", $pfxCertObject.Export([System.Security.Cryptography.X509Certificates.X509ContentType]::Pkcs12, $pfxPassword))

Write-Host "Created an App Service Certificate copy at: $currentDirectory\KeyVaultCertificate.pfx"

Write-Warning "For security reasons, do not store the PFX password. Use it directly from the console as required."

Write-Host "PFX password: $pfxPassword"

如果您有任何问题或疑虑，请告诉我。

此致，

David Solano | 支持工程师 | Azure 支持

电子邮件：v-*****@microsoft.com | 经理：v-*****@microsoft.com

工作时间：上午 7:30 – 下午 4:30（MF）MDT | 当地时间

若要在我的工作时间以外联系 Azure 支持，请发送电子邮件[电子邮件保护]并附上您的支持请求编号。

呃，好吧。

从 Microsoft Azure Key Vault 添加用于 LDAP/S 的证书

答案1

相关内容