Prodloužení platnosti certifikátů Azure Key Vault

  • Článek

Se službou Azure Key Vault můžete snadno zřizovat, spravovat a nasazovat digitální certifikáty pro vaši síť a povolovat zabezpečenou komunikaci pro vaše aplikace. Další informace o certifikátech najdete v tématu Informace o certifikátech Azure Key Vault.

Použitím krátkodobých certifikátů nebo zvýšením četnosti obměně certifikátů můžete zabránit neoprávněným uživatelům v přístupu k aplikacím.

Tento článek popisuje, jak obnovit certifikáty Azure Key Vault.

Oznámení o vypršení platnosti certifikátu

Pokud chcete dostávat oznámení o událostech životnosti certifikátů, musíte přidat kontakt certifikátu. Kontakty certifikátů obsahují kontaktní informace pro odesílání oznámení aktivovaných událostmi životnosti certifikátu. Informace o kontaktech sdílí všechny certifikáty v trezoru klíčů. Všem zadaným kontaktům se odešle oznámení o události pro libovolný certifikát v trezoru klíčů.

Postup nastavení oznámení certifikátů

Nejprve přidejte kontakt certifikátu do trezoru klíčů. Můžete přidat pomocí Azure Portal nebo rutiny PowerShellu Add-AzKeyVaultCertificateContact.

Za druhé nakonfigurujte, kdy chcete dostávat oznámení o vypršení platnosti certifikátu. Informace o konfiguraci atributů životního cyklu certifikátu najdete v tématu Konfigurace automatického zápisu certifikátu v Key Vault.

Pokud je zásada certifikátu nastavená na automatické prodlužování platnosti, odešle se oznámení o následujících událostech:

  • Před prodloužením platnosti certifikátu
  • Po obnovení certifikátu s informací o tom, jestli se certifikát úspěšně prodloužil nebo jestli došlo k chybě, což vyžaduje ruční obnovení certifikátu.

Pokud je zásada certifikátu nastavená tak, aby se prodlužoval ručně (jenom e-mailem), odešle se oznámení, když je čas obnovit certifikát.

V Key Vault existují tři kategorie certifikátů:

  • Certifikáty vytvořené pomocí integrované certifikační autority (CA), jako je DigiCert nebo GlobalSign.
  • Certifikáty vytvořené pomocí neintegrované certifikační autority.
  • Certifikáty podepsané svým držitelem.

Prodloužení platnosti integrovaného certifikátu certifikační autority

Azure Key Vault zajišťuje kompletní údržbu certifikátů vydaných důvěryhodnými certifikačními autoritami Microsoftu DigiCert a GlobalSign. Zjistěte, jak integrovat důvěryhodnou certifikační autoritu s Key Vault. Při obnovení certifikátu se vytvoří nová verze tajného klíče s novým identifikátorem Key Vault.

Prodloužení platnosti neintegrovaného certifikátu certifikační autority

Pomocí Azure Key Vault můžete importovat certifikáty z libovolné certifikační autority, která vám umožní integrovat se s několika prostředky Azure a usnadnit nasazení. Pokud se obáváte, že ztratíte přehled o datech vypršení platnosti certifikátu, nebo v horším případě jste zjistili, že platnost certifikátu už vypršela, může vám trezor klíčů pomoct udržovat vás v aktualizovaném stavu. Pro neintegrované certifikáty certifikační autority umožňuje trezor klíčů nastavit e-mailová oznámení téměř o vypršení platnosti. Tato oznámení se dají nastavit i pro více uživatelů.

Důležité

Certifikát je objekt s verzí. Pokud aktuální verze vyprší, musíte vytvořit novou verzi. Koncepčně je každá nová verze novým certifikátem, který se skládá z klíče a objektu blob, který tento klíč spojuje s identitou. Když použijete nepartnerovanou certifikační autoritu, trezor klíčů vygeneruje dvojici klíč/hodnota a vrátí žádost o podepsání certifikátu (CSR).

Obnovení neintegrovaného certifikátu certifikační autority:

  1. Přihlaste se k Azure Portal a otevřete certifikát, který chcete prodloužit.
  2. V podokně certifikátu vyberte Nová verze.
  3. Na stránce Vytvořit certifikát se ujistěte, že je v části Metoda vytvoření certifikátu vybraná možnost Generovat.
  4. Ověřte předmět a další podrobnosti o certifikátu a pak vyberte Vytvořit.
  5. Teď by se měla zobrazit zpráva Vytvoření názvu >> certifikátu certifikátu << je aktuálně čeká na vyřízení. Kliknutím sem přejdete na operaci certifikátu a budete monitorovat průběh.
  6. Vyberte zprávu a mělo by se zobrazit nové podokno. V podokně by se měl zobrazit stav Probíhá. V tomto okamžiku Key Vault vygeneroval csr, který si můžete stáhnout pomocí možnosti Stáhnout CSR.
  7. Vyberte Stáhnout CSR a stáhněte soubor CSR na místní disk.
  8. Odešlete csr zvolené certifikační autoritě, aby žádost podepsala.
  9. Vraťte podepsaný požadavek a ve stejném podokně operace certifikátu vyberte Sloučit podepsaný požadavek .
  10. Stav po sloučení se zobrazí Dokončeno a v hlavním podokně certifikátu můžete kliknutím na Aktualizovat zobrazit novou verzi certifikátu.

Poznámka

Je důležité sloučit podepsanou žádost CSR se stejnou žádostí o csr, kterou jste vytvořili. Jinak se klíč neshoduje.

Další informace o vytvoření nové csr najdete v tématu Vytvoření a sloučení csr v Key Vault.

Prodloužení platnosti certifikátu podepsaného svým držitelem

Azure Key Vault také zpracovává automatické odevzdání certifikátů podepsaných svým držitelem. Další informace o změně zásad vystavování a aktualizaci atributů životního cyklu certifikátu najdete v tématu Konfigurace automatického zápisu certifikátu v Key Vault.

Další kroky