Tutorial: Configuración de la rotación automática de certificados en Key Vault
El uso de Azure Key Vault permite realizar el aprovisionamiento, administración e implementación de certificados digitales de forma sencilla. Los certificados pueden ser certificados de Capa de sockets seguros (SSL) o de Seguridad de la capa de transporte (TLS) públicos y privados firmados por una entidad de certificación (CA) o autofirmados. Key Vault también puede solicitar y renovar certificados mediante asociaciones con entidades de certificación, lo que proporciona una solución sólida para la administración del ciclo de vida de los certificados. En este tutorial, actualizará los atributos de período de validez, frecuencia de rotación automática y entidad de certificación de un certificado.
En este tutorial se muestra cómo realizar las siguientes acciones:
- Administrar un certificado mediante el Azure Portal.
- Agregar una cuenta de proveedor de entidad de certificación.
- Actualizar el período de validez del certificado.
- Actualizar la frecuencia de rotación automática del certificado.
- Actualizar los atributos del certificado mediante Azure PowerShell.
Antes de empezar, lea los conceptos básicos de Key Vault.
Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.
Inicio de sesión en Azure
Inicie sesión en Azure Portal.
Creación de un almacén
Cree un almacén de claves mediante uno de estos tres métodos:
- Creación de un almacén de claves mediante Azure Portal
- Creación de un almacén de claves mediante la CLI de Azure
- Creación de un almacén de claves mediante Azure PowerShell
Creación de un certificado en Key Vault
Cree un certificado o impórtelo en el almacén de claves (consulte los pasos para crear un certificado en Key Vault). En este caso, trabajaremos en un certificado llamado ExampleCertificate.
Actualización de atributos del ciclo de vida del certificado
En Azure Key Vault, puede actualizar los atributos del ciclo de vida de un certificado tanto en el momento de la creación del certificado como después.
Un certificado creado en Key Vault puede ser:
- Un certificado autofirmado.
- Un certificado creado con una entidad de certificación asociada con Key Vault.
- Un certificado creado con una entidad de certificación que no esté asociada a Key Vault.
Las siguientes entidades de certificación son los proveedores asociados actualmente con Key Vault:
- DigiCert: Key Vault ofrece certificados SSL/TLS de OV o EV.
- GlobalSign: Key Vault ofrece certificados SSL/TLS de OV o EV.
Key Vault rota automáticamente los certificados mediante asociaciones establecidas con las entidades de certificación. Dado que Key Vault solicita y renueva automáticamente los certificados mediante esta asociación, la funcionalidad de rotación automática no es aplicable a los certificados creados con entidades de certificación que no están asociadas con Key Vault.
Nota:
Un administrador de cuentas de un proveedor de entidades de certificación crea las credenciales que Key Vault utiliza para crear, renovar y usar certificados TLS/SSL.
Actualización de los atributos del ciclo de vida del certificado en el momento de la creación
En las páginas de propiedades de Key Vault, seleccione Certificados.
Seleccione Generar o importar.
En la pantalla Crear un certificado, actualice los siguientes valores:
Periodo de validez: escriba el valor (en meses). Una práctica de seguridad recomendada es la creación de certificados de corta duración. De forma predeterminada, el valor de validez de un certificado recién creado es de 12 meses.
Tipo de acción de duración: Seleccione la acción de renovación automática y alertas del certificado y, a continuación, actualice Porcentaje de duración o Número de días antes de que expire. De forma predeterminada, la renovación automática de un certificado se establece en el 80 por ciento de su duración. En el menú desplegable, seleccione una de las opciones siguientes.
Automatically renew at a given time (Renovar automáticamente en un momento dado) Email all contacts at a given time (Enviar por correo electrónico todos los contactos en un momento dado) Al seleccionar esta opción, se activa la rotación automática. Al seleccionar esta opción, no se realizará la rotación automática, solo se alertará a los contactos. Dispone de información sobre cómo configurar el contacto de correo electrónico en esta página.
Seleccione Crear.
Actualizar los atributos del ciclo de vida de un certificado almacenado
Seleccione el almacén de claves.
En las páginas de propiedades de Key Vault, seleccione Certificados.
Seleccione el certificado que desea actualizar. En este caso, trabajaremos en un certificado llamado ExampleCertificate.
Seleccione Directiva de emisión en la barra de menús superior.
En la pantalla Directiva de emisión, actualice los valores siguientes:
- Periodo de validez: actualice el valor (en meses).
- Tipo de acción de duración: Seleccione la acción de renovación automática y alertas del certificado y, a continuación, actualice el Porcentaje de duración o Número de días antes de que expire.
Seleccione Guardar.
Importante
Al cambiar el tipo de acción de duración de un certificado, se registrarán inmediatamente las modificaciones de los certificados existentes.
Actualización de los atributos de certificado mediante PowerShell
Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName
-Name $certificateName
-RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]
Sugerencia
Para modificar la directiva de renovación de una lista de certificados, escriba File.csv que contiene VaultName,CertName como en el ejemplo siguiente:
vault1,Cert1
vault2,Cert2
$file = Import-CSV C:\Users\myfolder\ReadCSVUsingPowershell\File.csv
foreach($line in $file)
{
Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName -Name $certificateName -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]
}
Para más información sobre los parámetros, consulte az keyvault certificate.
Limpieza de recursos
Otros tutoriales de Key Vault se basan en este tutorial. Si tiene previsto trabajar con estos tutoriales, debería mantener estos recursos existentes en su lugar. Cuando ya no lo necesite, elimine el grupo de recursos; de este modo se eliminarán también el almacén de claves y los recursos relacionados.
Para eliminar el grupo de recursos mediante el portal:
- Escriba el nombre del grupo de recursos en el cuadro de búsqueda de la parte superior del portal. Cuando vea el grupo de recursos que se utiliza en este inicio rápido en los resultados de búsqueda, selecciónelo.
- Seleccione Eliminar grupo de recursos.
- En el cuadro ESCRIBA EL NOMBRE DEL GRUPO DE RECURSOS: escriba el nombre del grupo de recursos y seleccione Eliminar.
Pasos siguientes
En este tutorial, ha actualizado los atributos del ciclo de vida de un certificado. Para más información sobre Key Vault y cómo integrarlo con las aplicaciones, continúe con los artículos siguientes:
- Más información sobre la administración de la creación de certificados en Azure Key Vault.
- Revise Introducción a Key Vault.
Comentaris
Properament: al llarg del 2024 eliminarem gradualment GitHub Issues com a mecanisme de retroalimentació del contingut i el substituirem per un nou sistema de retroalimentació. Per obtenir més informació, consulteu: https://aka.ms/ContentUserFeedback.
Envieu i consulteu els comentaris de