<Windows Azure Platform 系列文章目录> 为什么要使用Azure Key Vault? 我们假设在微软云Azure上有1个场景,在Windows VM里面有1个.NET应用程序,这个.NET应用程序通过ADO.NET链接字符串,链接到后端的SQL VM. 如果Windows VM被黑客攻击了,那么黑客在查看ADO.NET的SQL链接字符串,就可以通过里面保存的用户名和密码,直接访问到后端的SQL VM. 这样SQL VM也被黑客攻击了. 如果我们针对SQL链接字符串进行加…

一,引言 在介绍 Azure Key Vault 之前,先简单介绍一下 HSM(硬件安全模块). -------------------- 我是分割线 -------------------- 1,什么是硬件安全模块(HSM)? 硬件安全模块 是一种物理计算社保,可以用来保护和管理我们的数字密钥,用于保护和管理数字密钥.同样的,与其他硬件产品一样,当我们需要的时候,都需要进行采购,安装,升级,维护,都会设计到费用问题和时间损耗问题.同时,它提供相关密码学操作的计算机硬件设备.硬件安全模块一般通过…

https://support.microsoft.com/en-us/help/4470999/db-backup-problems-to-sql-server-connector-for-azure-1-0-5-0 A breaking change has been introduced in Version 1.0.5.0 of 'SQL Server Connector for Microsoft Azure Key Vault' .  The 1.0.5.0 version upda…

<Windows Azure Platform 系列文章目录> 本章我们介绍如何在Azure Windows VM里面,使用.NET使用Azure Key Vault 我们需要对Key Vault进行身份验证,所以需要提供凭据.因此,在启动过程中,这是一个难以兼顾的典型问题. 托管服务标识 (MSI) 提供简化该过程的启动标识,可以解决此问题. 为 Azure 服务(例如 Azure 虚拟机.Azure 应用服务或 Azure Functions)启用 MSI 时,Azure 会创建一个服务主…

<Windows Azure Platform 系列文章目录> 请注意: 文本仅简单介绍如何在Azure Portal创建和创建Key Vault,如果需要结合Application做二次开发,请参考后续的文章 本章将介绍通过Azure Portal创建和查看Azure Key Vault. 1.登录https://portal.azure.cn 2.搜索Key Vault,然后创建 3.输入Key Vault有关信息 4.创建完毕后,点击Secrets,点击+Generate/Import…

关键字说明 什么是 Azure Active Directory?Azure Active Directory(Azure AD, AAD) 是 Microsoft 的基于云的标识和访问管理服务,可帮助员工登录和访问 Azure 中的资源: 外部资源,例如 Microsoft 365.Azure 门户(https://portal.azure.cn/)以及成千上万的其他 SaaS 应用程序. 内部资源,例如公司网络和 Intranet 上的应用,以及由自己的组织开发的任何云应用. 什么是Azur…

问题描述 使用Azure密钥保管库(Key Vault)来托管存储账号(Storage Account)密钥的示例中,从Github中下载的示例代码在中国区Azure运行时候会遇见各种认证和授权问题,以下列举出运行代码中遇见的各种异常: "AADSTS90002: Tenant 'xxxxxxxx-66d7-xxxx-8f9f-xxxxxxxxxxxx' not found. This may happen if there are no active subscriptions for the…

问题描述 Key Vault (密钥保管库) 能不能针对用户授权实现指定用户只能访问某个或某些特定的key? 如当前有两个用户(User1, User2),在Key Vault中有10个Key,User1只能访问前5个Key,User2只能访问后5个Key. 问题分析 Azure 密钥保管库是一种云服务,用于保护加密密钥和机密(例如证书.连接字符串和密码). 因为此数据是敏感数据和业务关键数据,所以需要保护对密钥保管库的访问,只允许得到授权的应用程序和用户进行访问. 密钥保管库的访问分为两种:管…

问题描述 在Azure Key Vault中,我们可以从Azure门户中下载证书PEM文件到本地. 可以通过OpenSSL把PFX文件转换到PEM文件.然后用TXT方式查看内容,操作步骤如下图: OpenSSL转换命令为: openssl pkcs12 -in "C:\Users\Downloads\mykeyvault01-cscert01-20220316.pfx" -nokeys -out "C:\tool\xd12.pem" 当然,Azure也提供了通过Po…

问题描述 创建一个Java Console程序,用于使用Azure Key Vault Secret.在VS Code中能正常Debug,但是通过mvn clean package打包为jar文件后,使用 java -jar target/demo-1.0-SNAPSHOT.jar 却出现 no main manifest attribute问题. VS Code中Debug的截图: java -jar target/demo-1.0-SNAPSHOT.jar 运行错误截图: PS C:\LBW…

问题描述 通过本地生成的自签名证书导入到Azure Key Vault Certificate报错. 错误信息 the specified PEM X.509 certificate content can not be read. Please check if certificate is in valid PEM format. Accepted formats: PEM content or Base64 encoded PEM content. 或是 Private key is no…

问题描述 在使用CURL通过REST API获取Azure Key Vaualt的Secrets值,提示Missing Token, 问如何来生成正确的Token呢? # curl 命令 curl -k --request GET -H "Content-type: application/json;charset=UTF-8" -s https://<your key vault name>.vault.azure.cn/secrets/<secrets name…

一,引言 Azure 密钥保管库用于存储敏感信息,例如链接字符串,密码,API 密钥等.我们无法直接从Azure 密钥库中访问机密!那么我们如何才能访问应用程序中的机密信息?比如,在我们的实际项目中,对于数据库链接字符串或者一些加密用的Key配置在 AppSettings.json 文件中,但是这个做的话,还是有很大的风险的,这些机密信息都有可能会暴露出去.就拿我自己来说,我之前分享博客内容里面涉及到的一些机密配置,都直接放在了配置文件中. 以此为戒啊,就算是私有的代码仓库也是不行的,所以今天决…

问题描述 正常情况下,如果需要为应用服务安装SSL证书,可以在证书准备好的情况,通过门户上传即可,详细步骤可以参考微软官方文档(在 Azure 应用服务中添加 TLS/SSL 证书:https://docs.azure.cn/zh-cn/app-service/configure-ssl-certificate), 但是由于Global Azure和中国区Azure的不同之处,在中国区微软云无法直接在门户中导入Key Vault中的证书. 以下是两个版本页面之间的不同之处: 中国区 Azure…

Azure Key Vault(密钥库)是用于安全地存储和访问Secret的云服务,Secret是需要严格控制访问权限的内容,例如API密钥,密码,证书或加密密钥.Key Vault Service支持两种类型的容器:保管库(Valut)和托管HSM池(Hardware Security Module Pools). Valut支持存储软件和HSM-backed的密钥,Secret和证书,托管HSM池仅支持HSM-backed的密钥. 用户从Key Valut中获取Secret,使用Secret…

<編者按>本篇为系列文章,带领读者轻松进入Windows Azure SDK .NET开发平台.本文为第二篇,将教导读者使用Azure AD进行身分验证.也推荐读者阅读无责任Windows Azure SDK .NET开发入门(一):开发前准备工作. 使用Azure AD 进行身份验证 之所以将Azure AD 作为开始,是应为基本上我们所有应用都需要进行安全管理.Azure Active Directory (Azure AD) 通过以下方式简化了对开发人员的身份验证:将标识提供为一项服务.…

一,引言 今天是国庆.中秋双节房价的第三天,今天抽时间分享一篇关于使用Azure 提供的一项NoSql 服务-----Azure Cosmos DB.就有人问了,我听说过 MongoDB.Redis 等Nosql 类型的非关系数据库,你讲到的 Azure Cosmos DB 和它两有什么区别没?  Azure Cosmos DB 是微软针对操作和分析工作负荷提供的多区域分布式多模型数据库服务. 它通过自动缩放吞吐量.计算和存储来提供多主数据库功能.过以下常用 API 利用个位数毫秒级的快速数据访…

2.2身份验证开发 在我们的案例中,我们是用户通过Web应用程序进行身份识别. 上面的图示说明了如下的一些概念 l Azure AD 是标识提供程序,负责对组织的目录中存在的用户和应用程序的标识进行验证,并最终在那些用户和应用程序成功通过身份验证时颁发安全令牌. l 希望将身份验证外包给 Azure AD 的应用程序必须在 Azure AD 中进行注册,Azure AD 将在目录中注册并唯一地标识该应用程序. l 在用户通过身份验证后,应用程序必须对用户的安全令牌进行验证以确保身份验证对于目标方…

(此文章同时发表在本人微信公众号"dotNET每日精华文章",欢迎右边二维码来关注.) 题记:之前介绍过微软正在逐步出版一个名为Azure Essential的入门系列教程,最近刚刚推出了一本向开发者介绍Web Apps的电子书. Microsoft Azure提供了大量的功能,而Azure Web Apps(之前称之为WebSite)是最常用也是最易用的一个功能,它能够让你快速地把Web应用程序上线.Azure Web Apps不但支持.NET,使用Java.Node.js.PHP和…

今天推荐的是一个系列文章,让读者阅读完成后可以对Azure Blob Storage的开发有一个全面的了解,可谓是从入门到精通. Azure在最初的版本里面就提供了非结构化数据的存储服务,也即Blob Storage.其是Azure中非常重要和基础的一项服务,支撑着很多其他服务的运行(比如虚拟机等).前不久Azure出现故障,就是Blob Storage导致的. Robin Shahan(女程序猿)发表了一个系列文章,全面的介绍Azure Blob Storage的开发.这个系列文章分为10个部…

一.Windows Azure开发前准备工作 首先我们需要了解什么是 Azure SDK for .NET?微软官方告诉我们:Azure SDK for .NET 是一套应用程序,其中包括 Visual Studio 工具.命令行工具.运行时二进制文件和客户端库,可帮助你开发.测试和部署在 Azure 中运行的应用程序.这套SDK我们可以从http://go.microsoft.com/fwlink/p/?linkid=323510&clcid=0x409下载,当然这个版本是Visual Stu…

在使用azure之前,我一直只能做本地app,或者使用第三方提供的api,尽管大多数情况下够用,但是仍不能随心所欲操纵数据,这种感觉不是特别好.于是在azure发布后,我就尝试使用azure来做为个人数据中心,可选的方式有很多,但今天我给大家介绍的是azure mobile service. 1.创建Mobile Service Azure中创建Mobile Service很简单,与创建其他项目类似,流程如下: i. ii. iii. ii 这里我使用的是Windows Azure国际版,经过简…

Windows Azure开发前准备工作 什么是 Azure SDK for .NET?微软官方告诉我们:Azure SDK for .NET 是一套应用程序,其中包括 Visual Studio 工具.命令行工具.运行时二进制文件和客户端库,可帮助你开发.测试和部署在 Azure 中运行的应用程序.这套SDK我们可以从这里下载,当然这个版本是Visual Studio2013,更老的版本不在我们的讨论范围中. Azure SDK for .NET默认的安装提供了如下功能 Visual Stud…

<Windows Azure Platform 系列文章目录> Update: 2016-01-11 笔者文档主要都是用Azure PowerShell 0.x版本来实现的,比如0.98版本 但是现在最新的Azure PowerShell升级到了1.0版本,很多语法和笔者的文章不同 想查询自己安装的Azure PowerShell版本,请在Azure PowerShell执行以下语法: Get-Module azure 上图红色部分,笔者安装的Azure PowerShell版本是0.98 另…

<Windows Azure Platform 系列文章目录> 请读者注意,Azure Application Gateway在ASM模式下,只能通过PowerShell创建 具体可以参考Wei Heng的Blog: http://www.cnblogs.com/hengwei/p/5052052.html 本章将介绍如何在ARM Portal: https://portal.azure.cn/,创建Application Gateway Azure服务里面,提供负载均衡的功能有以下三种: 1…

<Windows Azure Platform 系列文章目录> Microsoft Azure Redis Cache基于流行的开源Redis Cache. 1.功能 Redis 是一种高级的键值存储,其中,键可以包含数据结构,例如字符串.哈希.列表.集合和有序集合.Redis 支持针对这些数据类型的一组原子操作. Redis 还支持设置简单的主-从复制,具有非常快的非首先阻止同步.网络分割时自动重新连接等. 其他功能包括事务.发布/订阅.Lua 脚本.具有有限生存时间的键和配置设置,使 Re…

3.4 Edit修改用户信息 我们用FormCollection简化了表单提交,非常方便的进行用户信息修改. [HttpPost, Authorize] public async Task<ActionResult> Edit(User user, FormCollection values) { try { ActiveDirectoryClient client = AuthenticationHelper.GetActiveDirectoryClient(); IUser toUpdat…

3.3 Details用户详细信息 用户详细信息是通过objectId获取.代码如下 public async Task<ActionResult> Details(string objectId) { try { ActiveDirectoryClient client = AuthenticationHelper.GetActiveDirectoryClient(); var user = (User)await client.Users.GetByObjectId(objectId).E…

3.2 Create创建用户 [HttpPost, Authorize] public async Task<ActionResult> Create( [Bind(Include = "UserPrincipalName,AccountEnabled,PasswordProfile,MailNickname,DisplayName,GivenName,Surname,JobTitle,Department")] User user) { ActiveDirectoryCl…

3.1 Index用户列表 或许当前域下的用户列表 [Authorize] public async Task<ActionResult> Index() { var userList = new List<IUser>(); try { var client = AuthenticationHelper.GetActiveDirectoryClient(); var pagedCollection = await client.Users.ExecuteAsync(); whil…