首页 > 其他分享 >【Azure Cloud Service】使用RESTAPI更新Cloud Service(Extended Support) 中所配置的证书Hq

【Azure Cloud Service】使用RESTAPI更新Cloud Service(Extended Support) 中所配置的证书Hq

时间:2024-10-13 14:00:05浏览次数:10  
标签:Extended cn Service 证书 key vault Cloud

问题描述

当根据Cloud Service (Extended Support) 文档更新证书 ( https://docs.azure.cn/zh-cn/cloud-services-extended-support/certificates-and-key-vault )时,如果遇见旧的证书(如中间证书,根证书)信息保存在Key Vault Secret中,而更新的时候,只能从Key Vault证书中匹配到服务器证书(叶子证书)时。 而中间证书,根证书会出现如下错误:

出现错误信息为:

在所选密钥保管库中找不到 .cscfg 中定义的一个或多个证书。请确保已将所有证书上传到所选密钥保管库,然后单击下面的刷新以重新验证。如果云服务正在添加基于密钥保管库机密的证书,则必须通过门户以外的方法添加基于机密的证书。Go
to the selected key vault
Learn more about using
secret based certificates outside of the portal

而在提示的文档中,可以找到这句话

“但如果计划将证书用作机密,则无法验证这些证书的指纹,并且通过门户进行的任何涉及添加机密的更新操作都会失败。”

“ 建议客户使用 PowerShell 或 RestAPI 继续进行涉及机密的更新。”

本文将介绍如何使用REST API来更新证书!

操作步骤

第一步:上传证书到Azure Key Vault

根据证书文档步骤(https://docs.azure.cn/zh-cn/cloud-services-extended-support/certificates-and-key-vault#upload-a-certificate-to-key-vault:wgetCloud机场) ,把PFX证书上传到Key Vault中,然后复制出证书的指纹信息和机密标识:

  • Trumbprint, 证书指纹,具有唯一性,用于判断证书是否一样
  • Secret Identifier,证书在Key Vault中的保存地址,保存的格式为base64加密后的JSON格式,如果是证书文件并且用于Cloud Service Extended Support,它的格式必须是如下的JSON格式:
{ "data": "Your base64 certificate", "dataType": "PFX", "password": "optional, 如有密码则填入密码" }   如:

第二步:获取Cloud Service的信息,调用接口为GET API

参考文档:https://learn.microsoft.com/en-us/rest/api/compute/cloud-services/get?view=rest-compute-2024-07-01&tabs=HTTP

注意,在中国区需要修改Host Endpoint为:management.chinacloudapi.cn

GET https:// management.chinacloudapi.cn /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Compute/cloudServices/{cloudServiceName}?api-version=2022-04-04

需要携带Authorization Token,否则会获得如下错误:

{
  "error": {
    "code": "AuthenticationFailed",
    "message": "Authentication failed. The 'Authorization' header is missing."
  }
}

获取Token的方式可以通过浏览器访问Cloud Service(Extended Support)门户,然后通过开发者工具(F12)查看网络请求,从访问Cloud Service的请求头中获取Authorization内容。或者通过az cli获取token

az cloud set --name AzureChinaCloud

az login

az account get-access-token --scope "https://management.core.chinacloudapi.cn/.default" --query accessToken

当成功获取到Cloud Service的信息后,调整 JSON内容:删除Properties中,除了configuration 和 osProfile 外的全部内容。

整理之后JSON格式如下:

{
  "name": "cloud service extended support name",
  "id": "cloud service (extended) support resource id",
  "type": "Microsoft.Compute/cloudServices",
  "location": "chinanorth3",
  "properties": {
    "configuration": "{ServiceConfiguration}",
    "osProfile": {
      "secrets": [
        {
          "sourceVault": {
            "id": "key vault resource id"
          },
          "vaultCertificates": [
            {
              "certificateUrl": "key vault Secret Identifier"
            },
            {
              "certificateUrl": "key vault Secret Identifier"
            },
            {
              "certificateUrl": "key vault Secret Identifier"
            }
          ]
        }
      ]
    }
  }
}

需要修改的地方有两处:

1)configuration内容中Certificates指纹,用第一步中的指纹值替换文件中需要修改的内容

2)osProfile.secrets中certificateUrl值,用第一步中的机密标识URL来替换旧的certificateUrl

准备好以上的内容后,既可以进行第三步,发送PUT请求把新证书更新到Cloud Service(Extended Support)

第三步:更新Cloud Service的信息,调用接口为PUT API

参考文档:https://learn.microsoft.com/en-us/rest/api/compute/cloud-services/create-or-update?view=rest-compute-2024-07-01&tabs=HTTP

使用第二步中同样的URL,把请求类型修改为PUT,然后把第二步修改的JSON放入Request Body。点击发送,查看请求的状态。

同时,可以回到Cloud Service (Extended Support) Azure门户页面,查看证书是否成功修改。

同时,更深入的验证是通过RDP到云服务的节点中,查看证书信息!

RDP --> 输入“cert” -->  选择“Manage Computer Certificates” -->  查看 Pernonal Certificates

【END】

标签:Extended,cn,Service,证书,key,vault,Cloud
From: https://www.cnblogs.com/westworldss/p/18462216

相关文章

  • SpringCloud入门(六)Nacos注册中心(下)
    一、Nacos环境隔离Nacos提供了namespace来实现环境隔离功能。  nacos中可以有多个namespace。namespace下可以有group、service等。不同namespace之间相互隔离,例如不同namespace的服务互相不可见。使用NacosNamespace环境隔离步骤:1.在Nacos控制台可以创建namesp......
  • 【Azure Cloud Service】使用RESTAPI更新Cloud Service(Extended Support) 中所配置的
    问题描述当根据CloudService(ExtendedSupport)文档更新证书(https://docs.azure.cn/zh-cn/cloud-services-extended-support/certificates-and-key-vault)时,如果遇见旧的证书(如中间证书,根证书)信息保存在KeyVaultSecret中,而更新的时候,只能从KeyVault证书中匹配到服务......
  • SpringCloud网关聚合knife4j方案
    微服务开发中想将Spring-Cloud-Gateway网关聚合knife4j,形成一个统一入口方便查阅的开发辅助接口文档,并且将Swagger抽取成一个公共模块,那么我们可以参考以下的做法约定:JavaVersion:11.0.24SpringBoot:2.7.18knife4j:4.4.0Swagger公共模块抽取依赖<dependencies><!--Sp......
  • SpringCloud Alibaba-01 入门简介
    1.SpringCloudAlibaba是由阿里巴巴结合自身丰富的微服务实践而推出的微服务开发的一站式解决方案。它是SpringCloud生态中的第二代实现,提供了包括服务注册与发现、分布式配置管理、服务限流降级、消息驱动能力、阿里云对象存储、分布式任务调度等在内的多种功能。1.1......
  • Ubuntu 安装 Nextcloud 客户端
    文章目录方法一:通过添加PPA源安装方法二:通过snap安装方法三:系统自带OnlineAccounts无需安装之前介绍过如何自建Nextcloud私有云盘服务:通过DockerCompose安装配置Nextcloud服务这里介绍下Ubuntu中客户端的安装,其中参考了Nextcloud官方文档.这里不......
  • 【02】手把手教你0基础部署SpringCloud微服务商城教学-Mybatis篇(下)
    上期回顾:【01】手把手教你0基础部署SpringCloud微服务商城教学-Mybatis篇(上)Part1.续接上文Mybatis-plus的批处理功能接下来我们学习一下IService的批量查询,我们用以往的for循环做一个对比这是for循环部分的代码privateUserbuilderUser(inti){Useruser=new......
  • Spring Cloud Netflix Ribbon 负载均衡详解和案例示范
    1.引言在传统的集中式架构中,负载均衡器一般是放置在服务器端的,例如Nginx等。随着微服务架构的兴起,服务实例的数量和部署地点变得更加动态和分布式,这使得在客户端进行负载均衡成为了一种可行且更灵活的方案。NetflixRibbon提供了一种客户端侧负载均衡策略,使服务消费者在......
  • Spring Cloud Netflix Zuul 网关详解及案例示范
    1.引言在微服务架构中,API网关作为服务间通信的入口,扮演着重要的角色。NetflixZuul是一个提供动态路由、监控、安全等功能的API网关服务器,它可以为微服务系统提供统一的入口,简化服务间的交互。在业务系统中,Zuul可以有效地管理和路由多个微服务的请求,并通过自定义过滤......
  • com.alibaba.cloud:spring-cloud-starter-alibaba-nacos-discovery:jar:unknown was n
    com.alibaba.cloud:spring-cloud-starter-alibaba-nacos-discovery:jar:unknownwasnotfoundinhttp://maven.aliyun.com/nexus/content/repositories/central/duringapreviousattempt.Thisfailurewascachedinthelocalrepositoryandresolutionisnotreatte......
  • 首个 AI 编程认证课程上线!阿里云 AI Clouder 认证:基于通义灵码实现高效 AI 编码
    最近两年,随着大语言模型和生成式AI技术的爆火,软件开发领域首当其冲成为了最热门的大模型应用场景之一,通义灵码等AI辅助编程工具纷纷问世。这些工具通过自然语言处理和机器学习技术,能够理解开发者的意图,并且提供行级/函数级代码、单元测试和代码注释的智能生成等功能,极大地提......