特定のサービスプリンシパル(環境ごとに1つのSP)を認証するための証明書を含むマスター鍵保管庫があります。これらのサービスプリンシパルは、個人の鍵ボールトにアクセスできます。秘密を使って証明書を保管しました。しかし、鍵は自分自身で証明書を生成できるので、「鍵」は証明書を保管するのに適しているようです。あれは正しいですか?鍵ボールト鍵と秘密鍵
今のところ、VSTSサービスプリンシパルはARMテンプレートをデプロイし、正しい証明書をWebアプリケーションサービスの証明書ストアに格納します。この証明書を使用して、アプリケーションをSPとして認証し、SPパーソナルの鍵保管庫から秘密を取得できるようにします。
私はこのような(秘密として)証明書を追加することができた:
{
"type":"Microsoft.Web/certificates",
"name":"testCertificate",
"apiVersion":"2016-03-01",
"location":"[resourceGroup().location]",
"properties":{
"keyVaultId":"/subscriptions/xxxx/resourceGroups/rg/providers/Microsoft.KeyVault/vaults/xxxx",
"keyVaultSecretName":"testcert",
"serverFarmId":"[resourceId('Microsoft.Web/serverfarms', 'asp-test1')]"
}
ではなく、「秘密」の「キー」を経由して証明書を追加することが可能ですか?キーをARMテンプレートとどのようにマップできますか?