Jak aktivovat bezpečnou vzdálenou správu Windows s WinRM a Azure Key Vault
Klasické nasazení Windows VM v Azure funguje tak, že aktivujete RDP, připojíte se do VM a uděláte co potřebujete (třeba zapnete WinRM, začleníte server do domény apod.). Půlroční releasy Windows 2016 už ale nepřichází s kompletním GUI, takže se přes RDP stejně napojíte rovnou na PowerShell a odtamtud pokračujete dál. Jak tenhle krok přeskočit a rovnou zprovoznit správu přes WinRM a Admin Center hned v rámci deploymentu?
Vytvoříme trezor (Key Vault) a vygenerujeme certifikát
Vzdálený přístup přes WinRM potřebuje certifikát a Key Vault je způsob jak certifikát bezpečně uložit a dostat do VM. Máme v zásadě tři možnosti. Ideální enterprise přístup bude mít Microsoft Certification Authority a v té vygenerovat certifikát a uložit do trezoru v Azure. Druhá možnost je nechat Key Vault automaticky koupit certifikát u veřejné autority (ale to má finanční dopady). Já pro zkoušku zvolím třetí (méně bezpečnou metodu) a to bude self-signed certifikát.
Nejprve tedy založím Resource Group a Key Vault. Protože později budeme importovat kořenový certifikát, můžeme to rovnou udělat v elevovaném PowerShell (Run As Administrator).