創建Key Vault和Linux安裝SSL之前,大家需要先使用az group create來創建資源。比如創建名為“myResourceGroupSecureWeb”的資源組,需要先復制Azure CLI到對應文件夾中,然後再使用az keyvault create創建Key Vault,並在部署VM時啟用該Key Vault。
每壹個Key Vault都需要具備唯壹的名稱,而且全部都是小寫字母,然後將名稱替換為自己唯壹的Key Vault名稱,生成證書並存儲在Key Vault中。為了讓網站SSL安全使用使用,大家需要在Linux安裝SSL導入時由受信任的程序提供簽名才算是有效證書。
二、準備用於VM的證書
若要在VM創建過程中使用上述證書,大家需要使用az keyvault secret list-versions獲取證書的唯壹ID,然後再通過az vm format-secret轉換該證書。具體操作為創建cloud-init配置以保護NGINX,在首次啟動VM時對其進行自定義,再通過cloud-init來安裝程序包和寫入文件,或者配置用戶和安全性。
除了在Linux安裝證書初始啟動期間要運行cloud-init外,無需在進行其他的步驟和代理。創建VM、安裝程序包和啟動應用需耗時幾分鐘。創建後測試壹下Web應用是否安全,Linux的ssl證書安裝如果使用的是自簽名的安全證書,網頁會有安全警告,提示用戶存在不安全因素。
Linux的ssl證書安裝相對於其他系統來講,比較簡單。不過需要註意的是,Linux安裝證書對國內和國外的網絡環境有壹定的設置要求,如果沒有及時更改,會造成SSL證書配置失敗。