密钥库密钥vs机密

Question

我们有一个主密钥库，其中应该包含向某些服务主体进行身份验证的证书(每个环境1个SP )。这些服务主体可以访问他们的个人密钥库。我们使用密钥来存储证书。然而，“密钥”似乎更适合存储证书，因为密钥可以自己生成证书。对吗？

现在，我们的VSTS服务主体部署一个ARM模板，并将正确的证书放入web应用程序服务的证书存储中。然后，使用此证书将应用程序验证为SP，并允许其从SP个人密钥库检索秘密。

我可以像这样添加证书(作为秘密)：

{
     "type":"Microsoft.Web/certificates",
     "name":"testCertificate",
     "apiVersion":"2016-03-01",
     "location":"[resourceGroup().location]",
     "properties":{
        "keyVaultId":"/subscriptions/xxxx/resourceGroups/rg/providers/Microsoft.KeyVault/vaults/xxxx",
        "keyVaultSecretName":"testcert",
        "serverFarmId":"[resourceId('Microsoft.Web/serverfarms', 'asp-test1')]"
}

是否可以通过“key”而不是“secret”添加证书？如何将密钥映射到ARM模板？

Answer 1

我认为现在不可能，看着ARM架构，我似乎找不到一种使用ARM模板创建密钥的方法，我也看不到一种在WebApp部署中引用密钥的方法。

此外，我在前面的答案中链接到您的文章清楚地指出，您需要使用secrets (请在文章底部查找此字符串)：

Create a self-signed certificate and authorize it to read Key Vault Secrets as described here

链接：https://blogs.msdn.microsoft.com/appserviceteam/2016/05/24/deploying-azure-web-app-certificate-through-key-vault/