Sdílet prostřednictvím


Informace o certifikátech ve službě Azure Key Vault

Podpora certifikátů služby Azure Key Vault zajišťuje správu certifikátů X.509 a následující chování:

  • Umožňuje vlastníkovi certifikátu vytvořit certifikát prostřednictvím procesu vytvoření trezoru klíčů nebo importu existujícího certifikátu. Importované certifikáty zahrnují certifikáty podepsané svým držitelem i certifikáty, které jsou generovány z certifikační autority (CA).

  • Umožňuje vlastníkovi certifikátu služby Key Vault implementovat zabezpečené úložiště a správu certifikátů X.509 bez interakce s materiálem privátního klíče.

  • Umožňuje vlastníkovi certifikátu vytvořit zásadu, která nasměruje službu Key Vault ke správě životního cyklu certifikátu.

  • Umožňuje vlastníkovi certifikátu poskytnout kontaktní informace pro oznámení o událostech životního cyklu vypršení platnosti a prodloužení platnosti.

  • Podporuje automatické prodlužování u vybraných vystavitelů: Poskytovatelé certifikátů Key Vault X.509 a certifikační autority.

    Poznámka:

    Poskytovatelé a autority, kteří nejsou partnery, jsou také povoleni, ale nepodporují automatické prodlužování platnosti.

Podrobnosti o vytvoření certifikátu najdete v tématu Metody vytvoření certifikátu.

Složení certifikátu

Když se vytvoří certifikát služby Key Vault, vytvoří se také adresovatelný klíč a tajný klíč se stejným názvem. Klíč služby Key Vault umožňuje operace s klíči a tajný klíč služby Key Vault umožňuje načtení hodnoty certifikátu jako tajného klíče. Certifikát služby Key Vault obsahuje také veřejná metadata certifikátu X.509.

Identifikátor a verze certifikátů jsou podobné identifikátorům a tajným klíčům. V odpovědi na certifikát služby Key Vault je k dispozici konkrétní verze adresovatelného klíče a tajného kódu vytvořeného pomocí verze certifikátu služby Key Vault.

Diagram znázorňující roli certifikátů v trezoru klíčů

Exportovatelný nebo neexportovatelný klíč

Když se vytvoří certifikát služby Key Vault, dá se načíst z adresovatelného tajného kódu s privátním klíčem ve formátu PFX nebo PEM. Zásada, která se používá k vytvoření certifikátu, musí značit, že klíč je exportovatelný. Pokud zásada indikuje, že klíč není exportovatelný, privátní klíč není součástí hodnoty, když se načte jako tajný klíč.

Adresovatelný klíč je relevantnější s neexportovatelnými certifikáty služby Key Vault. Operace adresovatelného klíče služby Key Vault se mapují z keyusage pole zásad certifikátu služby Key Vault, které se používají k vytvoření certifikátu služby Key Vault.

Úplný seznam podporovaných typů klíčů najdete v tématu O klíčích: Typy klíčů a metody ochrany. Exportovatelné klíče jsou povoleny pouze s RSA a EC. Klíče HSM se neexportují.

Atributy a značky certifikátu

Kromě metadat certifikátu, adresovatelného klíče a adresovatelného tajného klíče obsahuje certifikát služby Key Vault atributy a značky.

Atributy

Atributy certifikátu se zrcadlí na atributy adresovatelného klíče a tajného klíče, které se vytvoří při vytvoření certifikátu služby Key Vault.

Certifikát služby Key Vault má následující atribut:

  • enabled: Tento logický atribut je volitelný. Výchozí hodnota je true. Dá se určit, jestli se data certifikátu dají načíst jako tajný nebo funkční jako klíč.

    Tento atribut se také používá s nbf a exp kdy dojde k operaci mezi nbf a exp, ale pouze pokud enabled je nastavena na true. Operace mimo nbf okno jsou exp automaticky zakázány.

Odpověď obsahuje tyto další atributy jen pro čtení:

  • created: IntDate označuje, kdy byla vytvořena tato verze certifikátu.
  • updated: IntDate označuje, kdy byla tato verze certifikátu aktualizována.
  • exp: IntDate obsahuje hodnotu data vypršení platnosti certifikátu X.509.
  • nbf: IntDate obsahuje hodnotu "není před" datem certifikátu X.509.

Poznámka:

Pokud platnost certifikátu služby Key Vault vyprší, můžete ho stále načíst, ale certifikát se může stát nefunkčním ve scénářích, jako je ochrana TLS, kdy se ověřuje vypršení platnosti certifikátu.

Značky

Značky pro certifikáty jsou slovník párů klíč/hodnota určený klientem, podobně jako značky v klíčích a tajných klíčích.

Poznámka:

Volající může číst značky, pokud má seznam nebo získá oprávnění k danému typu objektu (klíče, tajné kódy nebo certifikáty).

Zásady certifikátů

Zásady certifikátů obsahují informace o tom, jak vytvořit a spravovat životní cyklus certifikátu služby Key Vault. Při importu certifikátu s privátním klíčem do trezoru klíčů vytvoří služba Key Vault výchozí zásadu načtením certifikátu X.509.

Když se certifikát služby Key Vault vytvoří úplně od začátku, je potřeba zadanou zásadu. Zásada určuje, jak vytvořit tuto verzi certifikátu služby Key Vault nebo další verzi certifikátu služby Key Vault. Po vytvoření zásady není nutné s následnými operacemi vytváření pro budoucí verze. Pro všechny verze certifikátu služby Key Vault existuje pouze jedna instance zásady.

Zásady certifikátu na vysoké úrovni obsahují následující informace:

  • Vlastnosti certifikátu X.509, které zahrnují název subjektu, alternativní názvy subjektu a další vlastnosti, které slouží k vytvoření žádosti o certifikát X.509.

  • Vlastnosti klíče, mezi které patří typ klíče, délka klíče, exportovatelné a ReuseKeyOnRenewal pole. Tato pole dávají službě Key Vault pokyn, jak vygenerovat klíč.

    Podporované typy klíčů jsou RSA, RSA-HSM, EC, EC-HSM a oct.

  • Vlastnosti tajných kódů, jako je typ obsahu adresovatelného tajného klíče pro vygenerování hodnoty tajného kódu, pro načtení certifikátu jako tajného klíče.

  • Akce životnosti pro certifikát služby Key Vault Každá akce životnosti obsahuje:

    • Trigger: Určuje se jako dny před vypršením platnosti nebo procentem rozsahu životnosti.
    • Akce: emailContacts nebo autoRenew.
  • Typ ověření certifikátů: organizace ověřená (OV-SSL) a rozšířené ověřování (EV-SSL) pro vystavitele DigiCert a GlobalSign.

  • Parametry vystavitele certifikátu, který se má použít pro vystavování certifikátů X.509

  • Atributy přidružené k zásadě.

Další informace naleznete v tématu Set-AzKeyVaultCertificatePolicy.

Mapování využití X.509 na klíčové operace

Následující tabulka představuje mapování zásad použití klíče X.509 na efektivní operace klíče vytvořeného při vytváření certifikátu služby Key Vault.

Příznaky použití klíče X.509 Operace s klíči služby Key Vault Výchozí chování
DataEncipherment encrypt, decrypt Nelze použít
DecipherOnly decrypt Nelze použít
DigitalSignature sign, verify Výchozí nastavení služby Key Vault bez specifikace použití při vytváření certifikátu
EncipherOnly encrypt Nelze použít
KeyCertSign sign, verify Nelze použít
KeyEncipherment wrapKey, unwrapKey Výchozí nastavení služby Key Vault bez specifikace použití při vytváření certifikátu
NonRepudiation sign, verify Nelze použít
crlsign sign, verify Nelze použít

Vystavitel certifikátu

Objekt certifikátu služby Key Vault obsahuje konfiguraci, která se používá ke komunikaci s vybraným poskytovatelem vystavitele certifikátů, aby bylo možné objednat certifikáty X.509.

Key Vault spolupracuje s následujícími poskytovateli vystavitelů certifikátů pro certifikáty TLS/SSL.

Název poskytovatele Umístění
DigiCert Podporováno ve všech umístěních služby Key Vault ve veřejném cloudu a ve službě Azure Government
GlobalSign Podporováno ve všech umístěních služby Key Vault ve veřejném cloudu a ve službě Azure Government

Před vytvořením vystavitele certifikátu v trezoru klíčů musí správce provést následující kroky:

  1. Onboarding organizace s alespoň jedním poskytovatelem certifikační autority

  2. Vytvořte přihlašovací údaje žadatele pro službu Key Vault k registraci (a obnovení) certifikátů TLS/SSL. Tento krok poskytuje konfiguraci pro vytvoření objektu vystavitele zprostředkovatele v trezoru klíčů.

Další informace o vytváření objektů vystavitelů z portálu certifikátů najdete v blogu týmu služby Key Vault.

Key Vault umožňuje vytvářet více objektů vystavitelů s různými konfiguracemi zprostředkovatele vystavitelů. Po vytvoření objektu vystavitele je možné na jeho název odkazovat v jedné nebo více zásadách certifikátu. Odkazování na objekt vystavitele dává službě Key Vault pokyn, aby při vytváření a prodlužování platnosti certifikátu X.509 od poskytovatele certifikační autority použil konfiguraci, jak je uvedeno v objektu vystavitele.

Objekty vystavitele se vytvářejí v trezoru. Dají se použít jenom s certifikáty služby Key Vault ve stejném trezoru.

Poznámka:

Veřejně důvěryhodné certifikáty se posílají do certifikačních autorit a protokolů transparentnosti certifikátů (CT) mimo hranice Azure během registrace. Vztahují se na ně zásady GDPR těchto entit.

Kontakty certifikátu

Kontakty certifikátu obsahují kontaktní informace pro odesílání oznámení aktivovaných událostmi životnosti certifikátu. Všechny certifikáty v trezoru klíčů sdílejí kontaktní údaje.

Oznámení se odešle všem zadaným kontaktům pro událost pro jakýkoli certifikát v trezoru klíčů. Informace o tom, jak nastavit kontakt s certifikátem, najdete v tématu Prodloužení platnosti certifikátů služby Azure Key Vault.

Řízení přístupu k certifikátům

Key Vault spravuje řízení přístupu pro certifikáty. Trezor klíčů, který obsahuje tyto certifikáty, poskytuje řízení přístupu. Zásady řízení přístupu pro certifikáty se liší od zásad řízení přístupu pro klíče a tajné kódy ve stejném trezoru klíčů.

Uživatelé mohou vytvořit jeden nebo více trezorů pro uchovávání certifikátů, aby zachovali segmentaci a správu certifikátů vhodnou pro scénář. Další informace naleznete v tématu Řízení přístupu k certifikátu.

Případy použití certifikátu

Zabezpečená komunikace a ověřování

Certifikáty TLS můžou pomoct šifrovat komunikaci přes internet a navázat identitu webů. Díky tomuto šifrování je vstupní bod a režim komunikace bezpečnější. Navíc zřetězený certifikát podepsaný veřejnou certifikační autoritou může pomoct ověřit, že entity, které uchovávají certifikáty, jsou legitimní.

Tady je například několik případů použití certifikátů k zabezpečení komunikace a povolení ověřování:

  • Intranetové/internetové weby: Chraňte přístup k intranetovém webu a zajistěte šifrovaný přenos dat přes internet prostřednictvím certifikátů TLS.
  • IoT a síťová zařízení: Chraňte a zabezpečte svá zařízení pomocí certifikátů pro ověřování a komunikaci.
  • Cloud/multicloud: Zabezpečte cloudové aplikace místně, mezi cloudy nebo v tenantovi vašeho poskytovatele cloudu.

Další kroky