5

我需要在使用 ARM 模板创建的 Service Fabric 群集中安装证书。我能够使用以下帮助程序 powershell 命令安装带有私钥的证书:

> Invoke-AddCertToKeyVault

https://github.com/ChackDan/Service-Fabric/tree/master/Scripts/ServiceFabricRPHelpers

此证书在 Azure Key Vault 中后,我可以修改我的 ARM 模板以在集群中的节点上自动安装证书:

"osProfile": {
    "secrets": [
        {
            "sourceVault": {
                "id": "[parameters('vaultId')]"
            },
            "vaultCertificates": [
                {
                    "certificateStore": "My",
                    "certificateUrl": "https://mykeyvault.vault.azure.net:443/secrets/fabrikam/9d1adf93371732434"
                }
            ]          
        }
    ]
}

问题是 Invoke-AddCertToKeyVault 期望我提供一个 pfx 文件,假设我有私钥。

该脚本正在创建以下 JSON blob:

$jsonBlob = @{
    data = $base64
    dataType = 'pfx'
    password = $Password
} | ConvertTo-Json

我修改了脚本以删除密码并将 dataType 更改为“cer”,但是当我在 Azure 中部署模板时,它说 dataType 不再有效。

如何将证书部署到不包含私钥的 Service Fabric 集群?

4

1 回答 1

3

1) SF 并不关心您使用的是 .cer 还是 .pfx。SF 需要的只是证书在 VM 的本地证书存储中可用。

2)您遇到的问题是 CRP 代理,它将证书从密钥库安装到 VM 中的本地证书存储,今天仅支持 .pfx。

所以现在你有两个选择

1)创建一个没有私钥的pfx文件并使用它

以下是如何通过 C#(或 powershell)将证书加载到 X509Certificate2 对象中然后使用 X509ContentType = Pfx 的导出方法 https://msdn.microsoft.com/en-us/library/24ww6yzk(v=vs.110 ).aspx

2) 使用自定义 VM 扩展部署 .cer。由于 .cer 只是一个公钥证书,因此不应该有隐私要求。您可以将证书上传到 blob,然后让自定义脚本扩展下载它并将其安装在机器上。

于 2016-06-09T22:06:41.010 回答