设置 Azure 密钥保管库客户端

通过存储高级证书的功能，您可以定义财务和运营应用中使用的证书存储类型。

该功能提供了两个用于存储证书的选项：本地存储和 Microsoft Azure 密钥保管库存储。 您可以通过在系统参数页面（系统管理>设置>系统参数）的常规选项卡上的新使用高级证书存储选项来定义所使用的的选项。

• 本地存储 - 此存储选项可用于本地部署和任何类型的本地开发环境。 若要使用它，请将使用高级证书存储选项设置为否。 建议在用于开发和验证目的的开发环境中使用此存储选项，在这些环境中需要验证证书并使用它。
• Azure 密钥保管库存储 - 云部署需要此存储选项，但它也可用于本地部署的环境和任何类型的本地开发环境。 若要使用它，请将使用高级证书存储选项设置为是。 此存储选项是 Azure 云中生产环境的唯一选项。

需要进行一些设置才能使用存储在密钥保管库中的证书。 有关所需设置的信息，请参阅以下 Microsoft 知识库 (KB) 文章：4040294 - 维护 Azure 密钥保管库存储。 设置密钥保管库存储后，您应该链接到财务和运营应用中的证书。

在密钥保管库中安装证书后，必须在应用程序中设置它。

1. 转到系统管理>设置>密钥保管库参数。
2. 选择新建以创建新实例。
3. 输入名称和描述，然后在常规快速选项卡上，设置与密钥保管库存储集成所需的字段：

• 密钥保管库 URL - 输入默认密钥保管库 URL（如果密码引用尚未定义它）。

• 密钥保管库客户端 - 输入与用于进行身份验证的密钥保管库存储关联的 Microsoft Entra 应用程序的交互式客户端 ID。

• 密钥保管库密钥 - 输入与密钥保管库存储中用于进行身份验证的 Microsoft Entra 应用程序关联的密钥。

  注意

  如果使用多个密钥保管库存储，您应该在密钥保管库参数页面上为每个实例设置单独的实例。

4. 在证书快速选项卡上，选择添加以添加您的证书。 对于每个证书，设置以下字段：

• 名称
• 描述
• 密钥保管库证书密码 - 输入对证书的密码引用。

密钥保管库证书密码的格式必须类似于以下示例：

vault://<KeyVaultName*>/<SecretName>/<SecretVersion*>

使用星号 (*) 标记的属性是可选的。 但是，<SecretName> 属性是必需的。 在大多数情况下，您可以按以下格式定义密钥保管库密钥：

vault:///<SecretName>

如果密码版本未在密钥保管库密钥中定义，系统将检索具有最新到期日期的活动证书。

• 在密钥保管库证书密码中指定密码版本。
• 将现有证书的新版本上传到密钥保管库存储后，更新密钥保管库证书密码字段中的 <SecretVersion> 属性。

使用验证功能验证您是否已正确定义对证书的引用，以及证书是否有效。