PowerShellを使用したAzureの管理

Azureの管理で必要となる電子証明書

セキュリティの中核となる電子証明書についてお話しします。Windows Azureでは2種類の証明書が使われています。今回の鍵となるマネジメント用の電子証明書（管理証明書）と、もう一つサービス用の証明書（サービス証明書）です。

サービス証明書とは、SSL通信時に使用したり、リモートデスクトップ接続などホステッドサービスがクライアントとの通信を行ったりするために使用される証明書です。ホステッドサービスごとに登録して使用されます。Webアプリケーションを提供する上でよく使われるので、皆さんもイメージしやすいかと思います。この証明書はPersonal Information Exchange （.pfx）形式の証明書が使用されます。

管理証明書は、SDKで提供されているツール類を使用してマネジメントする場合やVMロールのアップロードなどで使用します。サブスクリプションレベルで登録して使用されます。この証明書はX.509（.cer）形式の証明書が使用されます。また鍵長は2048ビットにしてください。

今回はPowerShellでのマネジメントですので管理証明書を使用します。誤って異なる証明書を登録することが無いように気をつけてください。

では、実際に登録していきます。makecertコマンドを使用してファイルを作成してください。makecertコマンドはWindows SDKなどに含まれていますので、もし存在しない場合はインストールしてください。証明書ファイルの作成の詳細は本稿では対象としませんが、例えば以下のようなコマンドラインで作成します。この場合は自己署名証明書の証明書ストアを「個人」に指定して作成しています。詳細なオプションはこちらを参照してください。

  makecert -r -pe -a sha1 -n "CN=Windows Azure Authentication Certificate" -ss My -len 2048 -sp "Microsoft Enhanced RSA and AES Cryptographic Provider" -sy 24 testcert.cer

testcert.cerファイルが出来上がるはずです。では、このファイルをAzureのポータルに登録します。まず、ポータルを開いて、[ Hosted Services,Storage Accounts & CDN ]→[ Management Certificates ]を表示してください。

次に[ Add Certificates ]をクリックして証明書をアップロードしてください。成功した場合に以下のように管理証明書管理画面にアップロードされた証明書が表示されます。

これで、証明書のアップロードは完了です。

次回の紹介

さて、実際にインストールできましたか？次回はこのCmdLetsを使用して実際にWindows Azureを操作していきます。運用を考慮して、開発側がデプロイするパッケージを提供してからという具体的なシナリオに基づいて記述していきますので、実際の操作に携わらない管理職の方でもイメージしやすいと思います。ぜひ楽しみにしてください。