如何检索本地 Service Fabric 群集的证书指纹？答案

【问题标题】：How to retrieve certificate thumbprint of the local Service Fabric cluster?如何检索本地 Service Fabric 群集的证书指纹？
【发布时间】：2020-12-26 23:36:18
【问题描述】：

我们有一个由微服务组成的应用程序，还使用各种 Azure 资源，如 CosmosDB、Redis、EventHub。

所以我们编写了一个 Powershell 脚本，它从 Azure 资源组中检索各种机密：CosmosDB 连接字符串，对于 Redis 和 Eventhub 也是如此。此外，还从资源组中的 Key Vault 读取 SF 证书指纹。然后将秘密存储在 git 工作区之外的 Json 文件中。

然后在 Scripts\Deploy-FabricApplication.ps1 中我们读取 Json 文件并使用秘密替换占位符：

$jsonFile = "$rootDir\secrets.json"
$secretsHashtable = @{}
(Get-Content $jsonFile| ConvertFrom-Json).psobject.properties | Foreach { $secretsHashtable[$_.Name] = $_.Value }

$ApplicationPackagePath = Resolve-Path $ApplicationPackagePath

$publishProfile = Read-PublishProfile $PublishProfileFile

if ($PublishProfileFile.EndsWith("Local.1Node.xml"))
{
    $secretsHashtable['Cluster-Host-Name'] = 'localhost'
    # TODO store the local SF certificate thumbprint in $secretsHashtable['SSL-Certificate-Find-Value']
    $publishProfile.CopyPackageParameters.CompressPackage = $true
    $OutFile = "$LocalFolder\..\ApplicationParameters\Local.1Node.xml"
}
else
{
    $OutFile = "$LocalFolder\..\ApplicationParameters\Cloud.xml"
}

# Replace $( ... ) in Cloud.Template.xml by the values from the hashtable
$TemplateFile = "$LocalFolder\..\ApplicationParameters\Template.xml"
$TemplateStr  = Get-Content $TemplateFile -Raw
$ReplacedStr  = [regex]::Replace($TemplateStr, '\$\(([\w-]+)\)', {
    param($match)
    $key = $match.Groups[1].Value
    $value = $secretsHashtable[$key]
    if ($value -ne $null)
    {
        return $value
    }
    else
    {
        throw "$key not found in $jsonFile"
    }
})

Set-Content -Path $OutFile -Value $ReplacedStr

这适用于使用 Cloud.xml 进行远程发布和调试（来自 Visual Studio 2017）。

但是 Local.1Node.xml 失败，因为我们的应用程序通过 ServiceManifest.xml 中的条目检查证书指纹

<Endpoint Protocol="https" Name="ServiceEndpoint" 
    Type="Input" Port="9950" CertificateRef="MY_CERT" />

因此在本地发布 SF 应用程序失败：

我的问题是：如何检索本地 Service Fabric SDK 安装的证书指纹？

如果可以的话，我会把它放在上面的脚本中（请参阅“TODO”注释）

【问题讨论】：

我想帮忙，但我有点困惑。如果您使用的是 Azure SF，您应该在 KeyVault 中拥有您的证书，对吗？如果是这种情况，您的应用程序或用户应该有权访问 KeyVault 以在运行部署之前检索证书。本地 Service Fabric 不需要您拥有证书，因此您可以运行测试部署进行测试等。
嗨，Oleh，我认为本地 SF 使用了一些证书。由于它们没有嵌入到我的 Cloud.xml 中，因此我们的应用程序失败了。我还没有在源代码中找到它（指纹验证）发生的位置，前段时间我被一位同事展示过。远程执行没问题，证书在KV中，安装在远程SF，如你所写。
我认为我使用标准部署工具，但我必须编辑 Scripts\Deploy-FabricApplication.ps1（随 VS2017、Azure 工具一起提供），以嵌入 CosmosDB、Redis、Eventhub Cloud.xml 和 Local.1Node.xml 中的连接字符串
几天前我在本地机器上安装了新的 SF 副本，本地部署没有问题。这就是为什么我对此感到困惑。然后你连接到它要求证书的本地集群？通过网络或 SF 浏览器？
我认为在 sf 部署文件中设置应用程序参数不是一个好主意。您应该为此使用单独的文件，例如 Setting.xml

标签： azure certificate azure-service-fabric azure-powershell

【解决方案1】：

我已经能够解决我的问题：

Write-Host "Retrieving thumbprint for local SF certificate... " -NoNewline
$localCert = Get-ChildItem cert:\LocalMachine\My | Where { $_.Subject -eq 'CN=AzureServiceFabric-AnonymousClient'}
Write-Host "ok"

现在我可以在本地和远程（在 Azure 中部署的 SF）在 Visual Studio 中进行调试。

【讨论】：