Usare Azure Key Vault per distribuire certificati TLS/SSL alla JVM
Questo articolo descrive come integrare Azure Key Vault nella JVM per distribuire certificati TLS/SSL.
Aggiungere il provider JCA al file java.security
Per registrare il provider JCA, la JVM deve conoscerlo. Per eseguire questa attività, seguire questa procedura:
Creare una copia del file java.security
all'interno dell'installazione di JVM e denominare il file my.java.security .All'interno del file cercare la riga
security.provider.<maximum-value>
. Sostituire il segnaposto<maximum-value>
con il valore massimo in questa posizione tra tutte le voci. Ad esempio:security.provider.13=SunPKCS11
.Incrementare il numero di questa voce di 1. Ad esempio,
security.provider.13
deve diventaresecurity.provider.14
.Aggiungere la riga seguente:
security.provider.14=com.azure.security.keyvault.jca.KeyVaultJcaProvider
Nota
Assicurarsi che ogni voce security.provider.<X>
abbia un valore numerico diverso per <X>
e mantenerle ordinate in modo incrementale a partire da 1.
Come eseguire l'applicazione
Per eseguire l'applicazione, seguire questa procedura e sostituire i segnaposto <...>
con i propri valori:
Aggiungere il file azure-security-keyvault-jca-X.Y.Z.jar al classpath. Ad esempio, se si vuole eseguire l'integrazione con Tomcat 9, è necessario aggiungere il percorso completo del file azure-security-keyvault-jca-X.Y.Z.jar al classpath Java usando tomcat9w.exe.
Aggiungere
-Djava.security.properties==my.java.security
alla riga di comando.Aggiungi
-Dazure.keyvault.uri=<your-keyvault-uri>
alla riga di comando per indicare quale Azure Key Vault usare. Ad esempio:-Dazure.keyvault.uri=https://some.vault.azure.net/
.Aggiungere gli argomenti indicati nell'elenco seguente, a seconda dello scenario:
Se si esegue l'autenticazione usando un'entità servizio, aggiungere gli argomenti seguenti:
-Dazure.keyvault.tenant-id=<your-tenant-id>
-Dazure.keyvault.client-id=<your-client-id>
-Dazure.keyvault.client-secret=<your-client-secret>
Se si esegue l'autenticazione usando un'identità gestita assegnata dal sistema, non sono necessari altri argomenti.
Se si esegue l'autenticazione usando un'identità gestita assegnata dall'utente, aggiungere l'argomento seguente:
-Dazure.keyvault.managed-identity=<object-id-of-your-user-managed-identity>
Per altre informazioni su questi scenari di autenticazione, vedere oggetti applicazione e entità servizio in Microsoft Entra ID e Funzionamento delle identità gestite per le risorse di Azure con le macchine virtuali di Azure.
Usare un'entità servizio
Per creare un ID client di Azure e un segreto client di Azure, usare il comando seguente, sostituendo i segnaposto <...>
con i propri valori. Assicurarsi di archiviare i valori restituiti, ad esempio appId
, password
e tenant
.
export CLIENT_NAME=<your-client-name>
az ad sp create-for-rbac --skip-assignment --name ${CLIENT_NAME}
export CLIENT_ID=$(az ad sp list --display-name ${CLIENT_NAME} | jq -r '.[0].appId')
az ad app credential reset --id ${CLIENT_ID}
Archiviare i valori restituiti in modo da poterli usare in un secondo momento.
Assicurarsi che il client specificato da CLIENT_ID
possa accedere all'archivio chiavi di destinazione. Per concedere l'accesso, usare il comando seguente, sostituendo il segnaposto <your-key-vault-name>
:
az keyvault set-policy \
--name <your-key-vault-name> \
--spn ${CLIENT_ID} \
--secret-permissions get list \
--certificate-permissions get list \
--key-permissions get list
Usare un'identità gestita
Per abilitare un'identità gestita assegnata dal sistema o creare un'identità gestita assegnata dall'utente, seguire le istruzioni in Configurare le identità gestite per le risorse di Azure in una macchina virtuale di Azure usando l'interfaccia della riga di comando di Azure
Dopo aver ottenuto l'ID oggetto dell'identità gestita, usare il comando seguente per creare il criterio di accesso del Key Vault per l'identità gestita:
az keyvault set-policy \
--name <your-key-vault-name> \
--object-id <object-id-of-your-managed-identity> \
--secret-permissions get list \
--certificate-permissions get list \
--key-permissions get list
Nota
L'ID oggetto dell'identità gestita viene anche chiamato principal ID quando si utilizza un'identità gestita assegnata dall'utente.
Esempi di TLS/SSL lato client/server
Per esempi di TLS/SSL lato client/server, vedere la sezione esempi di