Prodloužení platnosti certifikátů Azure Key Vault
Se službou Azure Key Vault můžete snadno zřizovat, spravovat a nasazovat digitální certifikáty pro vaši síť a povolovat zabezpečenou komunikaci pro vaše aplikace. Další informace o certifikátech najdete v tématu Informace o certifikátech Azure Key Vault.
Použitím krátkodobých certifikátů nebo zvýšením četnosti obměně certifikátů můžete zabránit neoprávněným uživatelům v přístupu k aplikacím.
Tento článek popisuje, jak obnovit certifikáty Azure Key Vault.
Oznámení o vypršení platnosti certifikátu
Pokud chcete dostávat oznámení o událostech životnosti certifikátů, musíte přidat kontakt certifikátu. Kontakty certifikátů obsahují kontaktní informace pro odesílání oznámení aktivovaných událostmi životnosti certifikátu. Informace o kontaktech sdílí všechny certifikáty v trezoru klíčů. Všem zadaným kontaktům se odešle oznámení o události pro libovolný certifikát v trezoru klíčů.
Postup nastavení oznámení certifikátů
Nejprve přidejte kontakt certifikátu do trezoru klíčů. Můžete přidat pomocí Azure Portal nebo rutiny PowerShellu Add-AzKeyVaultCertificateContact.
Za druhé nakonfigurujte, kdy chcete dostávat oznámení o vypršení platnosti certifikátu. Informace o konfiguraci atributů životního cyklu certifikátu najdete v tématu Konfigurace automatického zápisu certifikátu v Key Vault.
Pokud je zásada certifikátu nastavená na automatické prodlužování platnosti, odešle se oznámení o následujících událostech:
- Před prodloužením platnosti certifikátu
- Po obnovení certifikátu s informací o tom, jestli se certifikát úspěšně prodloužil nebo jestli došlo k chybě, což vyžaduje ruční obnovení certifikátu.
Pokud je zásada certifikátu nastavená tak, aby se prodlužoval ručně (jenom e-mailem), odešle se oznámení, když je čas obnovit certifikát.
V Key Vault existují tři kategorie certifikátů:
- Certifikáty vytvořené pomocí integrované certifikační autority (CA), jako je DigiCert nebo GlobalSign.
- Certifikáty vytvořené pomocí neintegrované certifikační autority.
- Certifikáty podepsané svým držitelem.
Prodloužení platnosti integrovaného certifikátu certifikační autority
Azure Key Vault zajišťuje kompletní údržbu certifikátů vydaných důvěryhodnými certifikačními autoritami Microsoftu DigiCert a GlobalSign. Zjistěte, jak integrovat důvěryhodnou certifikační autoritu s Key Vault. Při obnovení certifikátu se vytvoří nová verze tajného klíče s novým identifikátorem Key Vault.
Prodloužení platnosti neintegrovaného certifikátu certifikační autority
Pomocí Azure Key Vault můžete importovat certifikáty z libovolné certifikační autority, která vám umožní integrovat se s několika prostředky Azure a usnadnit nasazení. Pokud se obáváte, že ztratíte přehled o datech vypršení platnosti certifikátu, nebo v horším případě jste zjistili, že platnost certifikátu už vypršela, může vám trezor klíčů pomoct udržovat vás v aktualizovaném stavu. Pro neintegrované certifikáty certifikační autority umožňuje trezor klíčů nastavit e-mailová oznámení téměř o vypršení platnosti. Tato oznámení se dají nastavit i pro více uživatelů.
Důležité
Certifikát je objekt s verzí. Pokud aktuální verze vyprší, musíte vytvořit novou verzi. Koncepčně je každá nová verze novým certifikátem, který se skládá z klíče a objektu blob, který tento klíč spojuje s identitou. Když použijete nepartnerovanou certifikační autoritu, trezor klíčů vygeneruje dvojici klíč/hodnota a vrátí žádost o podepsání certifikátu (CSR).
Obnovení neintegrovaného certifikátu certifikační autority:
- Přihlaste se k Azure Portal a otevřete certifikát, který chcete prodloužit.
- V podokně certifikátu vyberte Nová verze.
- Na stránce Vytvořit certifikát se ujistěte, že je v části Metoda vytvoření certifikátu vybraná možnost Generovat.
- Ověřte předmět a další podrobnosti o certifikátu a pak vyberte Vytvořit.
- Teď by se měla zobrazit zpráva Vytvoření názvu >> certifikátu certifikátu << je aktuálně čeká na vyřízení. Kliknutím sem přejdete na operaci certifikátu a budete monitorovat průběh.
- Vyberte zprávu a mělo by se zobrazit nové podokno. V podokně by se měl zobrazit stav Probíhá. V tomto okamžiku Key Vault vygeneroval csr, který si můžete stáhnout pomocí možnosti Stáhnout CSR.
- Vyberte Stáhnout CSR a stáhněte soubor CSR na místní disk.
- Odešlete csr zvolené certifikační autoritě, aby žádost podepsala.
- Vraťte podepsaný požadavek a ve stejném podokně operace certifikátu vyberte Sloučit podepsaný požadavek .
- Stav po sloučení se zobrazí Dokončeno a v hlavním podokně certifikátu můžete kliknutím na Aktualizovat zobrazit novou verzi certifikátu.
Poznámka
Je důležité sloučit podepsanou žádost CSR se stejnou žádostí o csr, kterou jste vytvořili. Jinak se klíč neshoduje.
Další informace o vytvoření nové csr najdete v tématu Vytvoření a sloučení csr v Key Vault.
Prodloužení platnosti certifikátu podepsaného svým držitelem
Azure Key Vault také zpracovává automatické odevzdání certifikátů podepsaných svým držitelem. Další informace o změně zásad vystavování a aktualizaci atributů životního cyklu certifikátu najdete v tématu Konfigurace automatického zápisu certifikátu v Key Vault.