问保护通过ARM部署的所需状态配置中的凭据

EN

如何使用所需的状态配置与ARM结合。

范围：-我们有一个Azure虚拟机，通过ARM模板部署。- VM在ARM模板中有一个扩展资源，用于所需的状态配置--我们需要传递敏感参数(以安全的方式！)进入所需的状态配置(我们希望使用DSC创建一个额外的本地windows帐户)-配置文件用于知道用于加密的公钥，并让VM知道它必须使用哪个证书来解密(通过拇指打印)--当使用ARM时，您需要在一个单独的属性中定义配置数据文件--我注意到DSC服务自动地向VM添加了一个文档加密证书。

问题:如果我想把这件事解决掉，我需要预先创建configurationDataFile，并将它存储在某个地方(比如blob之类的东西)。然而，VM上的“开箱即用”证书只有在ARM模板被部署之后才知道。

我想知道是否有一种方法可以使DSC中的加密/解密工作，使用VM上的开箱即用的DSC证书，而不使用不同的增量DSC模板。那么，我如何在部署时知道开箱即用的证书拇指指纹呢？(在手臂模板中？)实际上，我需要为每个部署转换ConfigurationData文件(并找到VM的正确拇指指纹)，还是有一种开箱即用的方式通过ARM告诉DSC使用已创建的开箱即用证书？