问题标签 [azure-keyvault]

Azure Key Vault 为何或如何安全？我需要在服务器上存储密钥 URI 和客户端 ID 和客户端机密，因此如果有人授予对托管应用程序的服务器的访问权限，他将能够访问存储在 Key Vault 中的密钥和机密。这意味着将它们存储在服务器上同样安全，对吧？

我正在尝试从 Release Management 部署一个 ARM 模板，其中包含一个“Microsoft.Web/certificates”资源，该资源引用存储在密钥保管库中的证书。当密钥保管库与我要部署到的资源组位于同一订阅中时，这可以正常工作。但是，当密钥保管库存在于不同的订阅中时，我收到以下错误。

资源 Microsoft.Web/certificates '证书名称' 失败并显示消息

证书资源在我的模板中定义如下。

我正在使用 VSTS 中的 Azure 资源组部署任务来部署资源组。该任务配置为使用具有服务主体的终结点，该服务主体在 Azure 中设置了以下权限：

• 包含密钥保管库的资源组上的密钥保管库参与者角色。
• 获取密钥保管库的秘密权限

Microsoft.Azure.WebSites 主体被授予获取密钥保管库机密的权限。

密钥保管库还启用了“启用对 Azure 资源管理器的访问以进行模板部署”选项。证书是使用 powershell 上传到密钥保管库的，而不是通过门户。

我在这里错过了什么吗？

谢谢

我需要以编程方式获得 Azure Key Vault 的许可，而我最接近它的是Set-AzureRmKeyVaultAccessPolicyPowerShell 命令。

.NET SDK 中是否有等效项，或者可能在 REST API 中？

我正在查看 Azure CRP linux VM 或 VMSS 池上的轮换证书。部署它们的最简单方法（由 CRP 从 keyvault 安装）将所有证书放在一个名为 {thumbprint}.prv 的密钥和 {thumbprint}.crt 的单个文件夹（/var/lib/waagent）中。当我想添加新证书时，我可以启动一个命令，将新证书添加到同一文件夹中。

我目前正在寻找一份监视文件夹的工作，并查看主题名称是否具有新证书，以及它何时执行取决于主题名称的循环过程，将它们指向新证书。我知道我可以将 openssl 与以下命令一起使用：
sudo openssl x509 -inform PEM -in /var/lib/waagent/{thumbprint}.pem -subject -enddate -noout
获取主题名称和到期日期。然后，我必须跟踪返回的每个主题名称，哪个证书在未来到期日期最远。

我的问题是，对于一个非常常见的用例来说，这感觉像是很多工作，想要找到对于给定主题名称持续时间最长的证书。这在大多数 linux 服务器上是如何处理的？有没有更好的方法来找出这一点，然后让我每 t 秒运行一个 bash 脚本，它说我们现在有一个用于主题名称 xyz 的新证书，所以重启进程 abc 只配置它们以使用新的证书 jkl？

我正在尝试创建新的密钥/秘密并使用 C# API 将它们添加到 Azure Key Vault。我真的找不到任何有用的文档或说明如何做到这一点，我一直在尝试类似

这似乎没有做任何事情，但这就是我所拥有的。

对于钥匙，我看到我可以做到

但同样，我不知道如何处理这个密钥包。

我想在我的 .NET 应用程序中使用 Always Encrypted SQL 2016 DB 和 Azure Key Vault 来存储加密密钥。到目前为止，我一直在关注这篇文章： https ://blogs.msdn.microsoft.com/sqlsecurity/2015/11/10/using-the-azure-key-vault-key-store-provider-for-always-encrypted /

但是当我到达文章中提供的这行代码时，我收到了一个异常：

例外是：

我检查了我的参考资料，一切似乎都已到位。GetToken 认证回调方法也有。

任何人都可以帮忙吗？谢谢。

我目前将我的 crt 和密钥文件存储在本地。这是我的龙卷风服务器的代码：

有没有办法可以缓存密钥文件？还是将其存储在某个密钥库中？如果可以使用 keyvault 完成，我需要运行哪些命令来存储它并稍后在 python 上访问它？我不确定与此相关的最佳安全实践是什么？

我使用以下 powershell 命令创建了 Azure Key Vault：

此处的说明告诉我如何将 Web 应用程序链接到 KeyVault。这利用了（两者？......要么？？）Azure AD B2C / B2B

• 如何使我的 KeyVault 与特定目录相关联？

KeyVault 似乎与单个 AAD 实例紧密耦合

当我想支持 Azure AD (B2C) 和 B2B / 工作用户时，我应该遵循哪些指导？

我目前正在探索这个解决方案来帮助管理独立的登录流程。

我在美国有一个密钥保管库，并且我希望该数据的副本存在于英国（以防止由于 WAN 延迟等而导致中断）

如何向 Azure Key Vault 添加所需的可伸缩性和容错能力？

我应该在分布式系统中使用 Microsoft Research 产品密钥管理来完成此操作吗？

抽象的

我们为分布式网络开发了一个加密密钥管理系统。我们的系统处理密钥管理的各个方面，包括密钥生命周期、密钥分发、访问控制和加密算法敏捷性。我们的软件客户端访问存储在分布式存储库中的密钥和其他元数据。我们的系统对用户隐藏了所有关键管理任务；用户指定密钥管理策略，我们的系统会执行此策略。每当最终用户访问密钥以保护或检索数据时，客户端都会执行密钥管理任务；没有计划的进程或网络侦听器。存储库不需要执行超出其正常操作过程的任何其他任务：存储、服务和复制数据。虽然我们的系统可以使用通用存储库，我们的存储库实现基于 Microsoft Active Directory。即使底层存储库不能确保一致性/原子操作，我们的系统也能防止数据丢失。

*标记为 Active Directory，因为此解决方案利用 AD，也许可以移植到 Windows Azure AD