Utilisez le certificat dans Azure Key Vault pour signer IdentityServer4

Question

J'ai téléchargé un certificat pfx en tant que secret sur mon portail Azure et je souhaite maintenant l'utiliser pour signer les informations d'identification dans IdentityServer4.

J'ai référence à la voûte de la mise en service de l'api en utilisant:

builder.AddAzureKeyVault(
     $"https://{config["Vault"]}.vault.azure.net/", 
     config["ClientId"], 
     config["ClientSecret"]); 

Mais pas trop sûr comment obtenir le certificat sur pour passer à:

services.AddIdentityServer() 
      .AddSigningCredential(...) 

Est-il peut-être pour pouvoir référencer le certificat directement à partir du coffre-fort, ou dois-je déployer le certificat sur l'application Web sur laquelle l'API fonctionne?

Merci

Answer 1

Vous êtes déjà construire l'objet IConfiguration, de sorte que vous pouvez faire référence à la clé .pfx comme vous le feriez référence tout autre objet de la configuration. Si la clé est dans la keyvault vous pouvez référencer quelque chose comme:

// Name of your pfx in the keyvault. 
var key = _configuration["pfx"]; 
var pfxBytes = Convert.FromBase64String(key); 

// Create the certificate. 
var cert = new X509Certificate2(pfxBytes); 
services.AddIdentityServer() 
    .AddSigningCredential(cert); 

Je recommanderais d'utiliser le keyvault pour cela, mais vous pouvez décider de télécharger le PFX au magasin de certificats de l'application Web. Vous pouvez le faire dans Azure en accédant à votre application Web -> Certificats SSL -> Télécharger le certificat et entrer le mot de passe. Accédez aux paramètres de l'application et ajoutez le paramètre de l'application WEBSITE_LOAD_CERTIFICATES : <thumbprint>. La dernière chose que vous feriez est de récupérer le certificat du magasin et l'ajouter à nouveau comme AddSigningCredential(cert);.