Ключи ключей ключей и секретов

Question

У нас есть хранилище основных ключей, которое должно содержать сертификаты для аутентификации определенным принципам обслуживания (1 SP для каждой среды). Эти участники услуг имеют доступ к своему личному хранилищу ключей. Мы использовали секреты для хранения сертификатов. Однако похоже, что «ключи» лучше подходят для хранения сертификатов, потому что ключи могут генерировать сертификат самим. Это верно?

На данный момент наш главный специалист службы VSTS развертывает шаблон ARM и помещает правильный сертификат в хранилище сертификатов службы веб-приложений. Этот сертификат затем используется для аутентификации приложения в виде СП и позволяет ему извлекать секреты из хранилища ключей.

я был в состоянии добавить сертификат (секретно), как это:

{ 
    "type":"Microsoft.Web/certificates", 
    "name":"testCertificate", 
    "apiVersion":"2016-03-01", 
    "location":"[resourceGroup().location]", 
    "properties":{ 
     "keyVaultId":"/subscriptions/xxxx/resourceGroups/rg/providers/Microsoft.KeyVault/vaults/xxxx", 
     "keyVaultSecretName":"testcert", 
     "serverFarmId":"[resourceId('Microsoft.Web/serverfarms', 'asp-test1')]" 
} 

Можно ли добавить сертификат через «ключ» вместо «секрет»? Как я могу сопоставить ключ с шаблоном ARM?

Answer 1

Я не думаю, что это возможно сейчас, глядя на схему ARM. Кажется, я не могу найти способ создания ключа с шаблоном ARM, и я не вижу способа ссылки на ключ в развертывание WebApp.

Кроме того, в статье я связан с вами в моем предыдущем ответе четко сказано, что вам нужно использовать секреты (смотрите эту строку в нижней части статьи):

Create a self-signed certificate and authorize it to read Key Vault Secrets as described here 

Ссылка: https://blogs.msdn.microsoft.com/appserviceteam/2016/05/24/deploying-azure-web-app-certificate-through-key-vault/