我必须在我的应用程序中实现键旋转。我知道如何做到这一点,但我不确定该解决方案是否一切正常。
好的,让我们开始吧。我在我的应用程序中有几个地方使用KeyVaultClient(Azure KeyVault客户端)进行解密。它的工作很好。在我的应用程序中有一些KeyVaultClient用于加密的地方。目前(仍在开发阶段)我正在使用硬编码的参数(vaultBaseUrl,keyName,keyVersion)。但是我想进一步将这个参数移到app.config文件中。
这里的问题开始了如何处理keyVersion变量(其余的我认为我可以轻松存储在app.config文件中,不是吗?)我有几点想法:
加密:
解密:
也许有一些工具/库可以帮我处理这一切? :P
目前,管理员手动插入新密钥。在接下来的阶段,我将为此实施计划任务。
答案 0 :(得分:1)
也许有一些工具/库可以帮我处理这一切?
正如您所提到的,您需要加密密钥版本与解密密钥版本一致。如果您可以分享您的方案,那就更好了。以Encrypt blob为例。如果blob已加密,则其中将包含带有keyId的元数据[“encryptiondata”]。在您的情况下,也许您还可以为对象添加具有keyId的属性。当您尝试解密时,您可以从对象获取keyId。
目前,管理员手动插入新密钥。在接下来的阶段,我将为此实施计划任务。
如果要创建密钥,可以在WebJob或Azure函数中使用此代码示例来执行此操作。
static string _clientId= "xxxxxxxxxxxxx";
static string _clientSecret = "xxxxxxxxxxxxxxxx";
static string _tenantId = "xxxxxxxxxxxxxxxx";
public static async Task<string> GetAccessToken(string azureTenantId, string azureAppId, string azureSecretKey)
{
var context = new AuthenticationContext("https://login.windows.net/" + _tenantId);
ClientCredential clientCredential = new ClientCredential(_clientId, _clientSecret);
var tokenResponse = await context.AcquireTokenAsync("https://vault.azure.net", clientCredential);
var accessToken = tokenResponse.AccessToken;
return accessToken;
}
var kv = new KeyVaultClient(GetAccessToken);
var result = kv.CreateKeyAsync(vault,keyName,keyType).Result;