قم بتجديد شهادات Azure Key Vault

باستخدام Azure Key Vault، يمكنك بسهولة توفير الشهادات الرقمية وإدارتها ونشرها لشبكتك وتمكين الاتصالات الآمنة لتطبيقاتك. لمزيد من المعلومات حول الشهادات، راجع حول شهادات Azure Key Vault.

باستخدام الشهادات قصيرة العمر أو عن طريق زيادة تكرار تدوير الشهادة، يمكنك المساعدة في منع وصول المستخدمين غير المصرح لهم إلى تطبيقاتك.

تتناول هذه المقالة كيفية تجديد شهادات Azure Key Vault.

احصل على إخطار حول انتهاء صلاحية الشهادة

لتلقي إخطارات حول أحداث مدة الشهادة، ستحتاج إلى إضافة جهة اتصال خاصة بالشهادة. تحتوي جهات اتصال الشهادة على معلومات جهة اتصال لإرسال إعلامات يتم تشغيلها بواسطة أحداث مدى صلاحية الشهادة. يتم مشاركة معلومات جهات الاتصال عبر جميع الشهادات الموجودة في المخزن الرئيسي. يتم إرسال إشعار إلى جميع جهات الاتصال المحددة لأي حدث لأي شهادة في خزنة المفاتيح.

خطوات تعيين إعلامات الشهادة

أولاً، قم بإضافة جهة اتصال شهادة إلى خزينة المفاتيح الخاصة بك. يمكنك إضافة باستخدام مدخل Microsoft Azure أو PowerShell cmdlet Add-AzKeyVaultCertificateContact.

ثانيًا، قم بالتكوين عندما تريد أن يتم إعلامك بانتهاء صلاحية الشهادة. لتكوين سمات دورة حياة الشهادة، راجع تكوين التشغيل التلقائي للشهادة في Key Vault.

إذا تم تعيين نهج الشهادة إلى التجديد التلقائي، إرسال إشعار على الأحداث التالية:

• قبل تجديد الشهادة
• بعد تجديد الشهادة، يوضح ما إذا تم تجديد الشهادة بنجاح، أو إذا كان هناك خطأ، يتطلب التجديد اليدوي للشهادة.

عند تعيين نهج شهادة ليتم تجديده يدويا (البريد الإلكتروني فقط)، يتم إرسال إشعار عندما حان الوقت لتجديد الشهادة.

في Key Vault، توجد ثلاث فئات من الشهادات:

• الشهادات التي تم إنشاؤها باستخدام مرجع مصدق متكامل (CA)، مثل DigiCert أو GlobalSign.
• الشهادات التي تم إنشاؤها باستخدام مرجع مصدق غير مصدق.
• الشهادات الموقعة ذاتيا.

تجديد شهادة CA متكاملة

يتعامل Azure Key Vault مع الصيانة الشاملة للشهادات التي تم إصدارها من قِبل المراجع المصدقة الموثوق بها منMicrosoft DigiCert وGlobalSign. تعرف على كيفية دمج مرجع مصدق موثوق به مع Key Vault. عند تجديد شهادة، يتم إنشاء إصدار سري جديد باستخدام معرف Key Vault جديد.

تجديد شهادة CA غير متكاملة

باستخدام Azure Key Vault، يمكنك استيراد الشهادات من أي مرجع مصدق CA، وهي ميزة تتيح لك التكامل مع العديد من موارد Azure وتسهيل النشر. إذا كنت قلقًا بشأن فقدان تتبع تواريخ انتهاء صلاحية شهادتك، أو الأسوأ من ذلك، أنك اكتشفت أن الشهادة قد انتهت صلاحيتها بالفعل، يمكن أن تساعدك خزينة المفاتيح في إبقائك على اطلاع دائم. بالنسبة إلى شهادات المرجع المصدق (CA) غير المتكاملة، يتيح لك مخزن المفاتيح إعداد إشعارات البريد الإلكتروني التي توشك على الانتهاء. يمكن أيضًا تعيين هذه الإخطارات لعدة مستخدمين.

هام

الشهادة هي كائن ذو إصدار. إذا كان الإصدار الحالي على وشك الانتهاء، فأنت بحاجة إلى إنشاء إصدار جديد. من الناحية المفاهيمية، كل إصدار جديد هو شهادة جديدة تتكون من مفتاح وblob يربط هذا المفتاح بالهوية. عند استخدام مرجع مصدق CA غير شريك، ينشئ مخزن المفاتيح زوجًا من المفاتيح/القيمة ويعيد طلب توقيع الشهادة (CSR).

لتجديد شهادة CA غير مصدقة:

مدخل Microsoft Azure

1. سجّل الدخول إلى مدخل Azure، ثم افتح الشهادة التي تريد تجديدها.
2. في جزء الشهادة، حدد New Version.
3. في صفحة Create a certificate ، تأكد من تحديد خيار Generate ضمن Method of Certificate Creation.
4. تحقق من الموضوع وتفاصيل أخرى حول الشهادة ثم حدد إنشاء.
5. من المفترض أن تظهر الرسالة الآن إن إنشاء اسم << الشهادة >>معلق حالياً. انقر هنا لمتابعة عملية الشهادة الخاصة بها لمراقبة التقدم
6. حدد على الرسالة ويجب عرض جزء جديد. يجب أن يُظهر الجزء الحالة كـ "قيد التقدم". في هذه المرحلة، قام Key Vault بإنشاء CSR يمكنك تنزيله باستخدام خيار تنزيل CSR .
7. حدد تنزيل CSR لتنزيل ملف CSR إلى محرك الأقراص المحلي.
8. أرسل CSR إلى CA الذي تختاره للتوقيع على الطلب.
9. قم بإعادة الطلب الموقع، ثم حدد Merge Signed Request على نفس جزء عملية الشهادة.
10. ستظهر الحالة بعد الدمج Completed، وعلى جزء الشهادة الرئيس، يمكنك الضغط على Refresh لرؤية الإصدار الجديد من الشهادة.

Azure CLI

استخدم الأمر Azure CLI az keyvault certificate create ، مع توفير اسم الشهادة التي ترغب في تجديدها:

az keyvault certificate create --vault-name "<your-unique-keyvault-name>" -n "<name-of-certificate-to-renew>" -p "$(az keyvault certificate get-default-policy)"

بعد تجديد الشهادة، يمكنك عرض جميع إصدارات الشهادة باستخدام الأمر Azure CLI az keyvault certificate list-versions :

az keyvault certificate list-versions --vault-name "<your-unique-keyvault-name>" -n "<name-of-renewed-certificate>"

Azure PowerShell

استخدم Azure PowerShell New-AzKeyVaultCertificatePolicy cmdlet، مع توفير اسم الشهادة التي ترغب في تجديدها:

$Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "Self" -ValidityInMonths 6 -ReuseKeyOnRenewal

Add-AzKeyVaultCertificate -VaultName "<your-unique-keyvault-name>" -Name "<name-of-certificate-to-renew>" -CertificatePolicy $Policy

بعد تجديد الشهادة، يمكنك عرض جميع إصدارات الشهادة باستخدام Azure PowerShell Get-AzKeyVaultCertificate cmdlet:

Get-AzKeyVaultCertificate "<your-unique-keyvault-name>" -Name "<name-of-renewed-certificate>" -IncludeVersions

إشعار

من المهم دمج CSR الموقع مع نفس طلب CSR الذي قمت بإنشائه. خلاف ذلك، لن يتطابق المفتاح.

لمزيد من المعلومات حول إنشاء CSR جديد، راجع إنشاء ودمج CSR في Key Vault.

تجديد شهادة موقعة ذاتيًا

يعالج Azure Key Vault أيضًا التجديد التلقائي للشهادات الموقعة ذاتيًا. لمعرفة المزيد حول تغيير نهج الإصدار وتحديث سمات دورة حياة الشهادة، راجع تكوين التشغيل التلقائي للشهادة في Key Vault.

الخطوات التالية

• الأسئلة المتداولة حول تجديد شهادة Azure Key Vault
• دمج Key Vault مع مرجع شهادة DigiCert
• البرنامج التعليمي: تكوين التشغيل التلقائي للشهادة في Key Vault