Kurz: Konfigurace automatické obměně certifikátů v Key Vault

Digitální certifikáty můžete snadno zřizovat, spravovat a nasazovat pomocí Azure Key Vault. Certifikáty můžou být veřejné a privátní certifikáty SSL (Secure Sockets Layer) nebo TLS (Transport Layer Security) podepsané certifikační autoritou (CA) nebo certifikátem podepsaným svým držitelem. Key Vault mohou také požadovat a obnovovat certifikáty prostřednictvím partnerství s certifikačními autoritami, což představuje robustní řešení pro správu životního cyklu certifikátů. V tomto kurzu aktualizujete dobu platnosti certifikátu, frekvenci automatické obměty a atributy certifikační autority.

V tomto kurzu získáte informace o následujících postupech:

  • Správa certifikátu pomocí Azure Portal.
  • Přidejte účet poskytovatele certifikační autority.
  • Aktualizujte dobu platnosti certifikátu.
  • Aktualizujte frekvenci automatické rotace certifikátu.
  • Aktualizujte atributy certifikátu pomocí Azure PowerShell.

Než začnete, přečtěte si Key Vault základních konceptů.

Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

Přihlášení k Azure

Přihlaste se k webu Azure Portal.

Vytvoření trezoru

Trezor klíčů vytvoříte jedním z těchto tří způsobů:

Vytvoření certifikátu v Key Vault

Vytvořte certifikát nebo importujte certifikát do trezoru klíčů (viz Postup vytvoření certifikátu v Key Vault. V tomto případě budete pracovat s certifikátem s názvem ExampleCertificate.

Aktualizace atributů životního cyklu certifikátu

V Azure Key Vault můžete aktualizovat atributy životního cyklu certifikátu při jeho vytvoření i po jeho vytvoření.

Certifikát vytvořený v Key Vault může být:

  • Certifikát podepsaný svým držitelem
  • Certifikát vytvořený s certifikační autoritou, která je partnerem Key Vault.
  • Certifikát s certifikační autoritou, která není partnerem Key Vault.

Následující certifikační autority jsou v současné době partnerskými poskytovateli se Key Vault:

  • DigiCert: Key Vault nabízí certifikáty OV nebo EV TLS/SSL.
  • GlobalSign: Key Vault nabízí certifikáty OV nebo EV TLS/SSL.

Key Vault automaticky obměňuje certifikáty prostřednictvím navázaných partnerství s certifikačními autoritami. Vzhledem k tomu, že Key Vault prostřednictvím partnerství automaticky požaduje a obnovuje certifikáty, funkce automatické obměna se nevztahuje na certifikáty vytvořené s certifikačními autoritami, které nejsou partnery Key Vault.

Poznámka

Správce účtu pro poskytovatele certifikační autority vytvoří přihlašovací údaje, které Key Vault používá k vytváření, obnovování a používání certifikátů TLS/SSL. Certifikační autorita

Aktualizace atributů životního cyklu certifikátu v době vytvoření

  1. Na stránkách vlastností Key Vault vyberte Certifikáty.

  2. Vyberte Vygenerovat/importovat.

  3. Na obrazovce Vytvořit certifikát aktualizujte následující hodnoty:

    • Doba platnosti: Zadejte hodnotu (v měsících). Vytváření krátkodobých certifikátů je doporučený postup zabezpečení. Ve výchozím nastavení je hodnota platnosti nově vytvořeného certifikátu 12 měsíců.

    • Typ akce životnosti: Vyberte akci automatického obnovení a upozorňování certifikátu a pak aktualizujte procento životnosti nebo Počet dní před vypršením platnosti. Ve výchozím nastavení je automatické prodlužování platnosti certifikátu nastavené na 80 % jeho životnosti. V rozevírací nabídce vyberte jednu z následujících možností.

      Automatické prodlužování v daném čase Email všechny kontakty v daném čase
      Výběrem této možnosti zapnete automatickou rotaci. Výběrem této možnosti se automaticky neotáčíte , ale jenom upozorníte kontakty.

      Informace o nastavení Email kontaktu najdete tady.

  4. Vyberte Vytvořit.

Životní cyklus certifikátu

Aktualizace atributů životního cyklu uloženého certifikátu

  1. Vyberte trezor klíčů.

  2. Na stránkách vlastností Key Vault vyberte Certifikáty.

  3. Vyberte certifikát, který chcete aktualizovat. V tomto případě budete pracovat s certifikátem s názvem ExampleCertificate.

  4. V horním řádku nabídek vyberte Zásady vystavování .

    Snímek obrazovky se zvýrazněnou tlačítkem Zásady vystavování

  5. Na obrazovce Zásady vystavování aktualizujte následující hodnoty:

    • Období platnosti: Aktualizujte hodnotu (v měsících).
    • Typ akce Životnost: Vyberte akci automatického obnovení a upozorňování certifikátu a pak aktualizujte procento životnosti nebo počet dnů před vypršením platnosti.

    Vlastnosti certifikátu

  6. Vyberte Uložit.

Důležité

Změna typu akce životnosti certifikátu okamžitě zaznamená změny existujících certifikátů.

Aktualizace atributů certifikátu pomocí PowerShellu



Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName 
                                   -Name $certificateName 
                                   -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]

Tip

Pokud chcete upravit zásady obnovení pro seznam certifikátů, zadejte , File.csv který obsahuje VaultName,CertName jako v následujícím příkladu:
vault1,Cert1
vault2,Cert2

$file = Import-CSV C:\Users\myfolder\ReadCSVUsingPowershell\File.csv ​
foreach($line in $file)​
{​
Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName -Name $certificateName -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]
}

Další informace o parametrech najdete v tématu az keyvault certificate.

Vyčištění prostředků

Další kurzy Key Vault vycházejí z tohoto kurzu. Pokud plánujete pracovat s těmito kurzy, můžete tyto existující prostředky ponechat na místě. Pokud je už nepotřebujete, odstraňte skupinu prostředků, čímž odstraníte trezor klíčů a související prostředky.

Odstranění skupiny prostředků pomocí portálu:

  1. Do vyhledávacího pole v horní části portálu zadejte název skupiny prostředků. Jakmile se skupina prostředků použitá v tomto rychlém startu zobrazí ve výsledcích hledání, vyberte ji.
  2. Vyberte Odstranit skupinu prostředků.
  3. Do pole ZADEJTE NÁZEV SKUPINY PROSTŘEDKŮ zadejte název skupiny prostředků a pak vyberte Odstranit.

Další kroky

V tomto kurzu jste aktualizovali atributy životního cyklu certifikátu. Další informace o Key Vault a jejich integraci s vašimi aplikacemi najdete v následujících článcích: