2
如何在与ARM结合使用期望状态配置。通过ARM部署所需状态配置中的凭证
范围: - 我们有一个通过ARM模板部署的Azure虚拟机。 - VM在ARM模板中有一个扩展资源,用于所需的状态配置 - 我们需要将敏感参数(以安全的方式!)传递到期望的状态配置中(我们希望创建一个额外的本地windows帐户DSC) - 配置文件用于知道用于加密的公用密钥,并让VM知道它必须用于解密的证书(通过指纹) - 使用ARM时,需要定义配置数据文件在一个单独的属性 - 我注意到DSC服务自动为虚拟机添加文档加密证书。
问题: 如果我想开箱即用,我需要先创建configurationDataFile,并将它存储在某个地方(比如blob或其他东西)。 但是,只有在部署了ARM模板之后,才知道VM上的“开箱即用”证书。
我想知道是否有一种方法可以在DSC中使用开箱即用的DSC证书在DSC中获得加密/解密,而无需使用不同的增量DSC模板。 因此,如何在部署时知道开箱即用的证书指纹? (在arm模板中?) 我是否真的需要为每个部署转换配置数据文件(并找到VM的正确指纹),或者有没有一种方法可以通过ARM告诉DSC使用盒子为此创建了证书?
您将需要支持'KeyEncipherment','DataEncipherment'和'Document Encryption'的证书您将需要在创建配置的任何位置安装此证书私钥。有关加密mof文件的更多信息,请参阅此处:https://docs.microsoft.com/en-us/powershell/dsc/securemof –