web-dev-qa-db-ja.com

LDAP / S用のMicrosoftAzure KeyVaultから証明書を追加します

Azure Active DirectoryドメインサービスのセキュアLDAP(LDAP/S)の証明書を追加するために私が見つけることができる唯一の方法は、ローカルコンピューターから証明書をアップロードすることです。これは、キーペアと証明書の作成と保存にMicrosoft Azure Key Vaultを使用できる場合、非常に貧弱なキー管理ソリューションのように思われます。私は何かが足りないのですか? Key Vaultから証明書とキーのペアを直接使用する方法はありますか、またはこれらをKey Vaultからダウンロードしてから、LDAP/Sにアップロードする必要がありますか? PKIのベストプラクティスでは、秘密鍵に直接アクセスすることは絶対にありません。

azureldappkiprivate-keyazure-active-directory-ds
1
Scott

私がここに投稿したのと同じ質問をしたマイクロソフトサポートから:

こんにちはスコット、

Microsoftサポートにお問い合わせいただきありがとうございます。私の名前はデビッドソラノです。私は、このサービスリクエストであなたと協力するサポートプロフェッショナルです。 SR番号11 ******* 000 ***を参照して、以下の連絡先情報を使用して私に連絡することができます。

問題の説明によると、安全なLDAP(LDAP/S)のためにKeyVaultから証明書とキーのペアを直接使用する方法を知っておく必要があることを理解しています。

この場合、現時点では、Azure Active DirectoryドメインサービスのセキュアLDAPの証明書を追加する唯一の方法は、構成方法に関するこのMicrosoftの記事で説明されているように、ローカルコンピューターから証明書をアップロードすることです。管理対象ドメインのセキュアLDAP: https://docs.Microsoft.com/en-us/Azure/active-directory-domain-services/tutorial-configure-ldaps

さらに、安全なLDAPのために、KeyVaultから直接証明書とキーのペアを使用することはできません。上記の手順に従って、秘密鍵をダウンロードしてローカルコンピューターにアップロードする必要があります。

また、この秘密鍵をPFXパスワードを使用してKeyVaultからダウンロードする方法を知る必要がある場合は、PowerShellで次のスクリプトを実行できます。

Login-AzureRmAccount

$vaultName  = "<NameOfKeyVault>"$vaultName  = "<NameOfKeyVault>"

$keyVaultSecretName = "<NameOfTheSecretWhereCertificateIsStored>"

$secret = Get-AzureKeyVaultSecret -VaultName $VaultName -Name $keyVaultSecretName

$pfxCertObject = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2 -ArgumentList @([Convert]::FromBase64String($secret.SecretValueText),"",[System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable)

$pfxPassword = -join ((65..90) + (97..122) + (48..57) | Get-Random -Count 50 | % {[char]$_})

$currentDirectory = (Get-Location -PSProvider FileSystem).ProviderPath

[Environment]::CurrentDirectory = (Get-Location -PSProvider FileSystem).ProviderPath

[io.file]::WriteAllBytes(".\KeyVaultCertificate.pfx", $pfxCertObject.Export([System.Security.Cryptography.X509Certificates.X509ContentType]::Pkcs12, $pfxPassword))

Write-Host "Created an App Service Certificate copy at: $currentDirectory\KeyVaultCertificate.pfx"

Write-Warning "For security reasons, do not store the PFX password. Use it directly from the console as required."

Write-Host "PFX password: $pfxPassword"

ご質問やご不明な点がございましたら、お気軽にお問い合わせください。

宜しくお願いします、

デビッドソラノ|サポートエンジニア| Azureサポート

Eメール:v-***** @ Microsoft.com |マネージャー:v-***** @ Microsoft.com

勤務時間:7:30 AM – 4:30 PM(M-F)MDT |現地時間

勤務時間外にAzureサポートに連絡するには、サポートリクエスト番号を[email protected]にメールで送信してください。

まぁ。

0
Scott