问题标签 [azure-keyvault]

我是天蓝色云服务平台的新手。今天偶遇azure提供的Key-Vault存储服务。它具有存储应用程序级密钥和设置的能力。它具有增强的数据保护功能，安全可靠。

但是我不清楚的是要连接到 Key-Vault，我需要将 Key-Vault 的工件存储在我的应用程序配置中。

如果是这种情况，当有人偷看密钥值时，他将不会连接到我的 Key-Vault 并读取我的所有密钥。

如果我应该加密我的本地 Key-Vault 设置，那么我也可以加密我存储在 Vault 中的密钥，对吗？Key-Vault 的目的是什么？

概括

所需的 Microsoft.IdentityModel.Clients.ActiveDirectory.Platform.dll 未复制到我项目的 bin 目录

细节

我有以下

• 一个名为abc.settings的类项目，除了标准项目之外几乎没有其他参考资料。
• 一个名为abc.settings.extensions.keyvault的类项目，它是 abc.settings 的扩展库，具有 KeyVault nuget 和Microsoft.IndentityModels.Clients.ActiveDirectory nuget，它是 KeyVault 的依赖项（以及其他）
• 一个名为abc.login的项目，其中引用了 abc.settings 和 abc.extensions.keyvault

abc.login应用程序构建正常，没有错误，但是当我运行它时，我得到一个运行时聚合异常，归结为无法加载模块 Microsoft.IdentityModel.Clients。活动目录.平台.dll

当我查看 abc.settings.extensions.keyvault 的 bin 文件夹时，Microsoft.IdentityModel.Clients。ActiveDirectory.Platform .dll 与 Microsoft.IdentityModel.Clients 一起存在。ActiveDirectory .dll 符合预期。

当我查看 abc.login\bin\x64 时，我看到了 Microsoft.IdentityModel.Clients。ActiveDirectory.dll但没有 Microsoft.IdentityModel.Clients。活动目录.平台.dll

我尝试过的事情

• 确保这两个文件的本地复制都为真
• 确保这两个 dll 的特定版本设置相同（它是并且它们被设置为 true）
• 重新安装了nugets
• 在 abc.login 项目中安装了 ADAL nuget - 这会导致应用程序工作......但它应该已被复制，因为引用了 abc.extensions.keyvaul。
• 我检查了This SO但我不明白这是如何工作的（一个 dll 被复制，另一个没有）。那篇文章暗示这个引用的项目 dll 的引用永远不会起作用。

关于为什么或在哪里进行调查的任何建议？

谢谢你。

我有一个当前使用标准软件加密的现有 Azure Key Vault，我想将此保管库升级到具有 HSM 的高级层。我知道创建一个支持 HSM 的保管库是这样完成的：

但是是否可以升级已经存在的保险库？我不一定想将我所有的秘密复制到另一个保险库。我不想将现有机密从软件加密移植到 HSM，但我想向现有保管库添加新的 HSM 功能，这样我就不必运行两个保管库。这支持吗？

在假设它们没有在我的配置中的任何地方使用并且那些是我测试的一些剩余部分之后，我已经从我的资源管理器中删除了一些 Key Vault。现在我无法启动我的虚拟机并出现此错误消息。

无法启动虚拟机“xxxx”。错误：使用 URL 'xxxx' 引用的 Key Vault 机密不存在。

你能告诉我如何让我的虚拟机回到正轨，因为我没有时间再次构建它们吗？

非常感谢。

我正在尝试使用 Microsoft 以编程方式创建 Azure KeyVault 机密。Azure.KeyVault.KeyVaultClient。出于我的目的，我将我的身份验证令牌作为 Azure AD 应用程序使用证书进行身份验证。Azure AD 应用程序已在其清单中包含证书信息。

我的代码创建 Azure KeyVault，授予对 Azure AD 应用程序对象 ID 的机密和密钥的“全部”权限。我使用 Powershell 检索 KeyVault 并查看访问策略来验证这是否发生。

当我尝试使用 KeyVaultClient.SetSecretAsync() 在此 KeyVault 上创建机密时，我收到一条异常消息，提示“不允许操作 'set'”。状态码为“禁止”。

在 KeyVault 上设置的权限之外，我是否需要确保其他任何东西（如 Azure AD 应用程序）的任何其他权限？

我有以下代码用于从 Azure 密钥保管库获取机密：

我得到的错误是“访问被拒绝”，这（我认为）意味着 id、secret 和保管库的 url 都很好。但是，我不知道我可以采取哪些不同的方法来修复此错误，Azure 门户中是否存在阻止我阅读机密的设置？

我正在开发一个应用程序，我想在其中存储将由守护程序服务使用的服务帐户的用户名和密码。

这个想法是为应用程序管理员提供一个仪表板，他/她可以在其中输入服务帐户的凭据，然后可以将其存储在安全的地方。

我可以考虑将其存储在 Azure Vault 之类的安全地方，并在需要时从那里获取。但是，密钥和机密是 Azure Vault 中的不同实体。我不能将它们作为组合存储在某个地方。

有没有人这样做过？或者有没有更好的替代方法来在 Azure 中存储凭据？

我将证书上传到 Azure KeyVault，并使用注册到 Active Directory 中的应用程序获得了对它的“全部”访问权限。这一切都很好。现在我需要将获得的密钥加载到 X509Certificate 中，以便能够将其用作调用 3rdparty 旧版 SOAP Web 服务的客户端证书。据我所知，我只能使用 X509Certificate 来调用该 Web 服务。

我将它作为密钥还是秘密上传都没关系？我都试过了。

到目前为止一切顺利，结果我得到了一个 KeyBundle，似乎我可以将它转换为 Base64String，但无论我尝试什么，我都会遇到异常:(

我尝试的第一次尝试：

System.Security.Cryptography.CryptographicException {"找不到请求的对象。\r\n"}

啊啊啊

第二次尝试，将其加载到 RSACryptoServiceProvider 中，但如何处理呢？结果出现相同的异常，如果我想，我什至无法获得私钥

也没有私钥，公钥不同。当然，这也不起作用。

第三次尝试

我使用管理门户将其作为秘密证书内容类型上传。

System.Security.Cryptography.CryptographicException {"找不到请求的对象。\r\n"}

欢迎任何建议。

我需要 pfx 包括私钥，查看跟踪日志

ystem.Net 信息：0：[37880] SecureChannel#23107755 - 剩下 1 个客户端证书可供选择。System.Net 信息：0：[37880] SecureChannel#23107755 - 尝试在证书存储中查找匹配的证书。System.Net 信息：0：[37880] SecureChannel#23107755 - 查找证书的私钥：[主题]

我正在尝试在 Octopus Deploy 的自动化过程中部署 Azure Service Fabric 集群。部署新群集的过程的一部分涉及创建 Azure Key Vault 并使用特定于该群集的证书和其他机密填充它。

我有一个用于部署 Key Vault 的 ARM 模板和另一个用于部署集群的模板。我发现机密（通常）可以作为 ARM 模板的一部分部署到 Azure Key Vault，但没有找到任何有关如何在机密是证书时执行此操作的信息。理想情况下，我想创建集群特定的证书并将其部署到 Key Vault 作为该部署的一部分，以便在集群部署期间可以访问它们，但仅在配置 Key Vault 时能够部署证书就更好了足够的。

我试图在我们的 ARM 部署中添加 Azure 密钥保管库集成，以便我们可以将所有密码保存在 Azure Key-Vault 中。

我正在按照此尝试访问我在 Azure KeyVault (dSentienceAnalytics) 中创建的机密 (adminPassword)。这是我的模板

我尝试通过 Powershell 部署这个模板，但它要求我输入变量“adminPassword”的值，它应该从 Azure 密钥库中检索。

你看到我在这里错过了什么吗？