[英]Azure Key Vault Certificate Difference Between Certificate Identifier, Secret Identifier, Key Identifier
我使用過存儲在 Azure Key Vault 中的秘密,但這是第一次使用證書而不是秘密進行身份驗證。
我有一個證書存儲在 Azure Key Vault 中。 我想使用此證書對 Azure AD 應用程序進行身份驗證。
我了解,對於存儲在 Azure Key Vault 中的機密,我們可以通過應用程序設置使用 @Microsoft.KeyVault(SecretUri='secretIdentifier') 在 Azure Function 中引用它們。
我注意到證書有三種類型的標識符:密鑰、秘密和證書標識符。 它們之間有什么區別以及它們各自的用途是什么?
另外,我們可以使用 @Microsoft.KeyVault(SecretUri='Certificate's Secret Identifier') 通過秘密標識符訪問證書並使用 if 進行身份驗證嗎? 如果可以的話,這種方法有什么注意事項嗎?
最后,為什么使用證書進行身份驗證被認為是比使用秘密更好的方法?
到目前為止,我還沒有找到對於以前沒有使用過證書的人來說容易理解的解釋。 任何建議/解釋將不勝感激。
有關密鑰、機密和證書之間的區別,請參閱對象類型下的 Azure Key Vault 文檔:
將 Secrets 視為密碼和連接字符串。 密鑰是可以使用各種算法生成的加密密鑰。 證書是具有可選策略(例如自動輪換)的密鑰(或密鑰對)。
使用證書而不是秘密進行身份驗證具有優勢。 優點是證書具有私鑰和公鑰部分。 API 調用的接收者可以僅驗證您使用證書的公共部分的身份,同時您可以安全地保護密鑰保管庫中的私有部分。 秘密在主叫方和被叫方之間共享並通過線路傳輸,因此泄露的機會更多。
https://learn.microsoft.com/en-us/azure/key-vault/certificates/about-certificates提到
創建 Key Vault 證書時,還會創建同名的可尋址密鑰和機密。 Key Vault 密鑰允許密鑰操作,而 Key Vault 機密允許檢索證書值作為機密。 Key Vault 證書還包含公共 x509 證書元數據。
和
創建 Key Vault 證書后,可以使用 PFX 或 PEM 格式的私鑰從可尋址機密中檢索它。
因此,“證書的秘密標識符”為工具提供了獲取證書“實際字節”及其私鑰的方法。 例如,證書的秘密標識符可以提供給應用程序網關的 HTTPS 偵聽器,以便將該證書用作 HTTPS 證書。
使用Azure Function和Azure Key Vault生成客戶端證書
[英]Generate Client Certificate with Azure Function and Azure Key Vault
如何在 Azure Key Vault 中序列化和反序列化 PFX 證書?
[英]How to serialize and deserialize a PFX certificate in Azure Key Vault?
如何使用.NET Core 2中存儲在Azure Key Vault中的PFX證書中的私鑰?
[英]How do I use the private key from a PFX certificate stored in Azure Key Vault in .NET Core 2?
通過.NET庫將Azure密鑰保險庫證書添加到Azure批處理帳戶
[英]Adding Azure key vault certificate to Azure Batch account via .NET libs
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
