LCMの証明書をブートストラップして、署名検証設定の参照方法を教えてください。

Question

WMF 5.1には、MOFドキュメントとDSCリソースモジュール（reference）の署名を可能にする新しい機能が含まれています。しかし、これは現実的に実装するのが非常に難しいと思われます。または、私はそれをもっと複雑にしています...

私のシナリオはAzureのVMです。私はAzure AutomationをPull DSC Serverに利用したいと思います。しかし、私はこれも前提に適用されて参照してください。問題は、証明書がMOF構成および/またはモジュールに署名するために使用されるということであることは証明書がマシン上で信頼できるか、存在されていないため、それ以外の構成は失敗しますフェッチし、設定を適用する前に、マシンに置か取得する必要があります。

（それが作品に署名する方法の私の理解だからちょうど公開鍵）私は、証明書をブートストラップするアズールKeyVaultを使用してみましたし、CertificateUrlパラメータは、公開鍵/秘密鍵のペアとの完全な証明書をインストールすることを期待するので、それはAdd-AzureRmVMSecretを使用して失敗しました。理想的な世界では、これが解決策になりますが、そうではありません...

他のアイデアは、このコンテキストでも、blobストレージにcertをアップロードし、CustomScriptExtensionを使用して証明書をプルダウンしてインストールしますLocalMachineストアに入れますが、理想的には、スクリプトにも署名する必要があり、それによって同じ場所に戻ってくるので、それは不快に感じます。

私は別の考えは最初だけで、証明書をダウンロードしてインストール設定をプッシュするだろうが、それはどちらかの偉大な音ではありません。仮定

は最後のオプションは、そのくらいから離れて移動しようと、正直に、潜在的に最初の証明書をプッシュするADのGPOまたは類似した何かに頼ること...だろうが/可能...

アム場合私はこれを外している？これは解決可能な問題でなければならないようです。少なくとも1つの「良い」方法を探しているだけです。

おかげ

Answer 1

デビッド・ジョーンズがオンプレミス環境でこの問題に対処する経験のかなりを持っていますが、あなたが述べたように、同じ概念がAzureのために適用する必要があります。 Hereは彼のブログへのリンクです。 Thisは彼が作成したPKIToolsモジュールを持つ彼のGitHubサイトへのリンクです。他のすべてが失敗した場合はTwitterで彼に手を差し伸べることができます。

Answer 2

それが公共の証明書で事前に起動した画像を取り込むためには非常に簡単ですが。秘密鍵を設定することはできません。

DSCは、パスワードを解読するための秘密鍵を必要とします。最も一般的な戦術の人はについてのブログ

はスクリプトにPFXの輸入を無人を使用することです。 PFXのパスワードをプレーンテキストのままにしなければならないという問題があります。おそらくそれはあなたの環境で大丈夫です。

もう1つのオプションは、より複雑な設定が必要です。シンプルなDSCまたはGPOを使用して、一意の証明書を自動登録します。最初のブートスクリプトまたはDSCカスタムリソースを介して、システムをポラリスのようなAPIに傾け、PKIToolsまたは他のスクリプトを使用してマシンが持つ公開証明書を取得するDSCスクリプトを起動させます。その後、そのAPIに新しいDSC設定をプッシュ（またはプル設定）してもらうようにしてください。