我们有一个主密钥保管库,其中应包含对某些服务主体进行身份验证的证书(每个环境1个SP)。这些服务主体可以访问其个人密钥保管库。我们使用秘密来存储证书。然而,它似乎是关键'更适合存储证书,因为密钥可以自己生成证书。这是对的吗?
目前,我们的VSTS服务主体部署了ARM模板,并将正确的证书放入Web应用服务的证书存储中。然后,此证书用于将应用程序作为SP进行身份验证,并允许其从SP个人密钥库中检索秘密。
我能够像这样添加证书(秘密):
{
"type":"Microsoft.Web/certificates",
"name":"testCertificate",
"apiVersion":"2016-03-01",
"location":"[resourceGroup().location]",
"properties":{
"keyVaultId":"/subscriptions/xxxx/resourceGroups/rg/providers/Microsoft.KeyVault/vaults/xxxx",
"keyVaultSecretName":"testcert",
"serverFarmId":"[resourceId('Microsoft.Web/serverfarms', 'asp-test1')]"
}
是否可以通过'键添加证书?而不是秘密'?如何使用ARM模板映射密钥?
答案 0 :(得分:1)
我认为现在不可能,看看ARM Schema我似乎找不到用ARM模板创建密钥的方法,而且我没有看到引用密钥的方法WebApp部署要么。
另外,我在之前的回答中链接到你的文章明确指出你需要使用秘密(在文章的底部查找这个字符串):
Create a self-signed certificate and authorize it to read Key Vault Secrets as described here