问题描述

自动化账号生成的时候怎么生成连接与证书？

什么是自动化？

Azure 自动化提供基于云的自动化和配置服务，用于支持 Azure 环境和非 Azure 环境之间的一致管理。 Azure 自动化包括流程自动化、配置管理、更新管理、共享功能和异类功能。 在部署、操作和解除工作负荷与资源期间，自动化可以提供全面的控制。

如何创建自动化（门户版）？

1. 为你的 Azure 自动化帐户选择一个名称。 自动化帐户名称在每个区域和资源组中是唯一的。
   
   
2. 单击 Azure 门户左上角的“创建资源”按钮。
   
3. 搜索“自动化” ，然后选择“自动化” 。
   
4. 输入帐户信息，包括所选的帐户名称。 对于“创建 Azure 运行方式帐户”，请选择“是”，以便自动启用可简化向 Azure 进行的身份验证的项目。 填写信息后，单击“创建”以启动自动化帐户部署。
   
   
5. 部署完成后，单击“所有服务”。
   
6. 选择“自动化帐户”，然后选择你创建的自动化帐户。
   

参考文档：https://docs.azure.cn/zh-cn/automation/automation-quickstart-create-account#create-automation-account

问题解答

生产连接

调用接口Automation的API生成连接（Connection）时，需要注意的是要使用中国区的Endpoint： https://management.chinacloudapi.cn/

Request URL:

PUT https://management.chinacloudapi.cn/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Automation/automationAccounts/{automationAccountName}/connections/{connectionName}?api-version=2015-10-31

Request Body:

{
  "name": "mysConnection",
  "properties": {
    "description": "my description goes here",
    "connectionType": {
      "name": "Azure"
    },
    "fieldDefinitionValues": {
      "AutomationCertificateName": "mysCertificateName",
      "SubscriptionID": "subid"
    }
  }
}

PS: 如果是通过AAD注册应用来登录，则需要把FiledDefinitionValues中的内容修改为Appliciton ID, Tenant ID， Certificate Thumbprint 及 Subscription ID. 例如：

{
  "name": "mysConnection",
  "properties": {
    "description": "my description goes here",
    "fieldDefinitionValues": {
      "ApplicationId": "xxxxxxxx-70d2-xxxx-be69-xxxxxxxxxxxx",
            "TenantId": "xxxxxxxx-0ec9-xxxx-a414-xxxxxxxxxxxx",
            "CertificateThumbprint": "E5E146XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX",
            "SubscriptionId": "xxxxxxxx-0d14-xxxx-b120-xxxxxxxxxxxx"
    },
    "connectionType": {
      "name": "AzureServicePrincipal"
    }
  }
}

自动化创建的API说明文档：https://docs.microsoft.com/en-us/rest/api/automation/connection/create-or-update#create-or-update-connection

生成证书

可以使用PowerShell来创建自签名证书，用于测试目的。打开 PowerShell 并使用以下参数运行 New-SelfSignedCertificate，以在计算机上的用户证书存储中创建自签名证书：

$cert=New-SelfSignedCertificate -Subject "CN=DaemonConsoleCert" -CertStoreLocation "Cert:\CurrentUser\My"  -KeyExportPolicy Exportable -KeySpec Signature

使用可从 Windows 控制面板访问的管理用户证书 MMC 管理单元将此证书导出到文件。

1. 从“开始”菜单中选择“运行”，然后输入“certmgr.msc” 。
   此时会显示当前用户的证书管理器工具。
   
2. 若要查看证书，请在左窗格中的“证书 - 当前用户”下，展开“个人”目录。
   
3. 右键单击创建的证书，选择“所有任务”->“导出”。
   
4. 按证书导出向导的要求操作。 导出到一个 .CER 文件（不要导出私钥）。
   

上传证书

1. 选择“Azure Active Directory” 。
   
2. 从 Azure AD 中的“应用注册”，选择应用程序。
   
3. 选择“证书和机密”。
   
4. 选择“上传证书”并选择证书（现有证书或导出的自签名证书）。
   
5. 选择“添加” 。
   

PS: 如要在自动化账户使用REST API上传证书，参考文档：https://docs.microsoft.com/en-us/rest/api/automation/certificate/createorupdate#examples

参考资料

创建 Azure 自动化帐户：https://docs.azure.cn/zh-cn/automation/automation-quickstart-create-account#create-automation-account

上传证书：https://docs.microsoft.com/zh-cn/azure/active-directory/develop/howto-create-service-principal-portal#option-1-upload-a-certificate

Create or update connection: https://docs.microsoft.com/en-us/rest/api/automation/connection/create-or-update

[完]

当在复杂的环境中面临问题，格物之道需：浊而静之徐清，安以动之徐生。 云中，恰是如此!