Sdílet prostřednictvím

Obnovení certifikátů služby Azure Key Vault

  • Článek

Se službou Azure Key Vault můžete snadno zřizovat, spravovat a nasazovat digitální certifikáty pro vaši síť a povolovat zabezpečenou komunikaci pro vaše aplikace. Další informace o certifikátech najdete v tématu o certifikátech služby Azure Key Vault.

Použitím krátkodobých certifikátů nebo zvýšením četnosti obměně certifikátů můžete zabránit neoprávněným uživatelům v přístupu k aplikacím.

Tento článek popisuje, jak obnovit certifikáty služby Azure Key Vault.

Oznámení o vypršení platnosti certifikátu

Pokud chcete dostávat oznámení o událostech životnosti certifikátu, budete muset přidat kontakt certifikátu. Kontakty certifikátu obsahují kontaktní informace pro odesílání oznámení aktivovaných událostmi životnosti certifikátu. Informace o kontaktech sdílí všechny certifikáty v trezoru klíčů. Oznámení se odešle všem zadaným kontaktům pro událost pro jakýkoli certifikát v trezoru klíčů.

Postup nastavení oznámení certifikátu

Nejdřív přidejte do trezoru klíčů kontakt certifikátu. Můžete přidat pomocí webu Azure Portal nebo rutiny PowerShellu Add-AzKeyVaultCertificateContact.

Za druhé nakonfigurujte, kdy chcete dostávat oznámení o vypršení platnosti certifikátu. Pokud chcete nakonfigurovat atributy životního cyklu certifikátu, přečtěte si téma Konfigurace automatického zápisu certifikátu ve službě Key Vault.

Pokud je zásada certifikátu nastavená na automatické prodlužování platnosti, odešle se oznámení o následujících událostech:

  • Před prodloužením platnosti certifikátu
  • Po prodlužování platnosti certifikátu uveďte, jestli se certifikát úspěšně obnovil nebo jestli došlo k chybě, což vyžaduje ruční prodlužování platnosti certifikátu.

Pokud je zásada certifikátu nastavená na ruční obnovení (jenom e-mail), odešle se oznámení, když je čas certifikát obnovit.

Ve službě Key Vault existují tři kategorie certifikátů:

  • Certifikáty vytvořené pomocí integrované certifikační autority (CA), jako je DigiCert nebo GlobalSign.
  • Certifikáty vytvořené s neintegrovanou certifikační autoritou.
  • Certifikáty podepsané svým držitelem

Obnovení integrovaného certifikátu certifikační autority

Azure Key Vault zpracovává kompletní údržbu certifikátů vydaných důvěryhodnými certifikačními autoritami Microsoftu DigiCert a GlobalSign. Zjistěte, jak zapojit důvěryhodnou certifikační autoritu do služby Key Vault. Při obnovení certifikátu se vytvoří nová verze tajného kódu s novým identifikátorem služby Key Vault.

Obnovení neintegrovaného certifikátu certifikační autority

Pomocí služby Azure Key Vault můžete importovat certifikáty z libovolné certifikační autority. Výhodou je integrace s několika prostředky Azure a snadné nasazení. Pokud máte obavy o ztrátu přehledu o datech vypršení platnosti certifikátu nebo horším, zjistili jste, že už vypršela platnost certifikátu, může vám trezor klíčů pomoct udržovat vás v aktualizovaném stavu. Pro neintegrované certifikáty certifikační autority umožňuje trezor klíčů nastavit e-mailová oznámení o blížícím se vypršení platnosti. Taková oznámení je možné nastavit i pro více uživatelů.

Důležité

Certifikát je objekt s verzí. Pokud platnost aktuální verze vyprší, musíte vytvořit novou verzi. Koncepčně je každá nová verze novým certifikátem, který se skládá z klíče a objektu blob, který tento klíč spojuje s identitou. Když použijete nepartnerovanou certifikační autoritu, trezor klíčů vygeneruje dvojici klíč/hodnota a vrátí žádost o podepsání certifikátu (CSR).

Obnovení neintegrovaného certifikátu certifikační autority:

  1. Přihlaste se k webu Azure Portal a otevřete certifikát, který chcete obnovit.
  2. V podokně certifikátu vyberte položku Nová verze.
  3. Na stránce Vytvořit certifikát se ujistěte, že je v části Metoda vytvoření certifikátu vybraná možnost Generovat.
  4. Ověřte předmět a další podrobnosti o certifikátu a pak vyberte Vytvořit.
  5. Teď by se měla zobrazit zpráva Vytvoření názvu >> certifikátu << je aktuálně čekající. Kliknutím sem přejdete ke své operaci certifikátu a budete sledovat průběh.
  6. Vyberte zprávu a mělo by se zobrazit nové podokno. V podokně by se měl zobrazit stav „Probíhá“. V tuto chvíli služba Key Vault vygenerovala CSR, kterou si můžete stáhnout pomocí možnosti Stáhnout CSR.
  7. Výběrem možnosti Stáhnout CSR stáhněte soubor CSR na místní disk.
  8. Odešlete CSR vámi vybrané certifikační autoritě a podepište žádost.
  9. Přeneste zpět podepsanou žádost a ve stejném podokně operace certifikátu vyberte Sloučit podepsanou žádost.
  10. Po sloučení se zobrazí sta Dokončeno a v hlavním podokně certifikátu můžete kliknutím na položku Aktualizovat zobrazit novou verzi certifikátu.

Poznámka:

Je důležité sloučit podepsanou csr se stejnou žádostí o csr, kterou jste vytvořili. Jinak se klíč neshoduje.

Další informace o vytvoření nové CSR naleznete v tématu Vytvoření a sloučení CSR ve službě Key Vault.

Prodloužení platnosti certifikátu podepsaného svým držitelem

Azure Key Vault také zpracovává autorenewal certifikátů podepsaných svým držitelem. Další informace o změně zásad vystavování a aktualizaci atributů životního cyklu certifikátu najdete v tématu Konfigurace automatického zápisu certifikátu ve službě Key Vault.

Další kroky