链接参考:https://docs.azure.cn/zh-cn/virtual-machines/linux/tutorial-secure-web-server
安装cli 2.0 的步骤这里略去。
首先创建一个新的资源组:
az group create --name dantstrg --location chinanorth
需要注意一点:上面创建的资源组的名称一定要使用小写字母,不要使用驼峰法命名,不然后续az vm format-secret转换证书的时候会遇到以下报错:
"Parameter 'resource_group_name' can not be none."
创建Key Vault:
az keyvault create --resource-group dantstrg --name dantstkv --enabled-for-deployment
生成证书:
az keyvault certificate create --vault-name dantstkv --name mycert --policy "$(az keyvault certificate get-default-policy)"
使用下面两条命令获取证书并转换证书:
secret=$(az keyvault secret list-versions --vault-name dantstkv --name mycert --query "[?attributes.enabled].id" --output tsv)
vm_secrets=$(az vm format-secret --secrets "$secret")
查看拿到的转换后的证书的信息:
echo $vm_secrets
接着使用转换后的证书创建一个新的虚拟机(创建好的证书也可以使用az keyvault certificate download下载到本地,或者在管理界面中下载.cer证书):
az vm create -g dantstrg -n dantstvm --admin-username daniel --image centos --secrets "$vm_secrets" --vnet-name DanNorthVNET --subnet "Subnet-1"
创建好之后直接在当前主机上ssh到创建好的虚拟机内,切换到/var/lib/waagent下面:
可与看到这个目录下有一对儿.crt和.prv文件。这两个文件就是我们前面生成的证书。
把这两个文件内容拷贝出来(或者把证书文件拷贝出来)。
我们看一下证书的内容:
我们在安装了nginx的机器上面创建两个证书文件test.cert和test.prv,放到/etc/nginx/ssl下面,把上面crt和prv文件的内容分别拷贝进去:
然后我们在/etc/nginx/ssl下面创建一个测试的index.html文件:
编辑/etc/nginx/nginx.conf文件:
重启nginx服务,访问虚拟机的IP显示刚刚创建的html页面并查看页面证书:
可以看到Issued by和Issued to 字段与我们前面生成的证书一致。
[Azure] 使用azure cli 2.0 利用Key Vault创建自签名证书导入nginx
最新推荐文章于 2024-07-11 02:13:53 发布