Sdílet prostřednictvím

Kurz: Konfigurace automatického zápisu certifikátu ve službě Key Vault

Digitální certifikáty můžete snadno zřizovat, spravovat a nasazovat pomocí služby Azure Key Vault. Certifikáty můžou být veřejné a privátní ssl (Secure Sockets Layer) nebo certifikáty TLS (Transport Layer Security) podepsané certifikační autoritou nebo certifikátem podepsaným svým držitelem. Key Vault může také požadovat a obnovovat certifikáty prostřednictvím partnerství s certifikačními autoritami a poskytuje robustní řešení pro správu životního cyklu certifikátů.

Komplexní znalosti konceptů automatického zápisu a výhod napříč různými typy prostředků ve službě Azure Key Vault najdete v tématu Vysvětlení automatického zápisu ve službě Azure Key Vault.

V tomto kurzu aktualizujete dobu platnosti certifikátu, frekvenci automatického zprovoznění a atributy certifikační autority.

  • Správa certifikátu pomocí webu Azure Portal
  • Přidejte účet poskytovatele certifikační autority.
  • Aktualizujte dobu platnosti certifikátu.
  • Aktualizujte frekvenci automatické rotace certifikátu.
  • Aktualizujte atributy certifikátu pomocí Azure PowerShellu.

Než začnete, přečtěte si základní koncepty Key Vault.

Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

Přihlášení k Azure

Přihlaste se do Azure Portalu.

Vytvořit trezor

Vytvořte trezor klíčů pomocí jedné z těchto tří metod:

Vytvoření certifikátu ve službě Key Vault

Vytvořte certifikát nebo importujte certifikát do trezoru klíčů (viz Postup vytvoření certifikátu ve službě Key Vault. V tomto případě pracujete na certifikátu s názvem ExampleCertificate.

Aktualizace atributů životního cyklu certifikátu

Ve službě Azure Key Vault můžete aktualizovat atributy životního cyklu certifikátu v době vytvoření nebo po vytvoření certifikátu.

Certifikát vytvořený ve službě Key Vault může být:

  • Certifikát podepsaný svým držitelem.
  • Certifikát vytvořený s certifikační autoritou, která je partnerovaná se službou Key Vault.
  • Certifikát s certifikační autoritou, která není přidružená ke službě Key Vault.

Ve službě Key Vault jsou aktuálně partneři následujících certifikačních autorit:

  • DigiCert: Key Vault nabízí certifikáty OV nebo EV TLS/SSL.
  • GlobalSign: Key Vault nabízí certifikáty OV nebo EV TLS/SSL.

Key Vault automaticky obnovuje certifikáty na základě partnerství s certifikačními autoritami. Vzhledem k tomu, že Služba Key Vault automaticky požaduje a obnovuje certifikáty prostřednictvím partnerství, funkce automatického vytváření se nevztahuje na certifikáty vytvořené s certifikačními autoritami, které nejsou partnerské se službou Key Vault.

Poznámka:

Správce účtu pro poskytovatele certifikační autority vytvoří přihlašovací údaje, které key Vault používá k vytvoření, obnovení a používání certifikátů TLS/SSL. Certifikační autorita

Aktualizace atributů životního cyklu certifikátu při vytváření

  1. Na stránkách vlastností služby Key Vault vyberte Certifikáty.

  2. Vyberte Generovat/importovat.

  3. Na obrazovce Vytvořit certifikát aktualizujte následující hodnoty:

    • Období platnosti: Zadejte hodnotu (v měsících). Vytváření krátkodobých certifikátů je doporučeným postupem zabezpečení. Ve výchozím nastavení je hodnota platnosti nově vytvořeného certifikátu 12 měsíců.

    • Typ akce životnosti: Vyberte akci automatického obnovení a upozornění certifikátu a pak aktualizujte procento životnosti nebo Počet dní před vypršením platnosti. Ve výchozím nastavení je autorenewal certifikátu nastaven na 80 procent jeho životnosti. V rozevírací nabídce vyberte jednu z následujících možností.

      Automatické prodlužování v daném čase Odeslání e-mailu všem kontaktům v daném čase
      Výběrem této možnosti zapnete automatickourotaci. Výběrem této možnosti se automaticky neototuje , ale zobrazí se upozornění jenom na kontakty.

      Tady najdete informace o nastavení e-mailového kontaktu.

  4. Vyberte Vytvořit.

Životní cyklus certifikátu

Aktualizace atributů životního cyklu uloženého certifikátu

  1. Vyberte trezor klíčů.

  2. Na stránkách vlastností služby Key Vault vyberte Certifikáty.

  3. Vyberte certifikát, který chcete aktualizovat. V tomto případě pracujete na certifikátu s názvem ExampleCertificate.

  4. V horním řádku nabídek vyberte Zásady vystavování .

    Snímek obrazovky zvýrazňující tlačítko politiky vydávání

  5. Na obrazovce Zásady vystavování aktualizujte následující hodnoty:

    • Období platnosti: Aktualizujte hodnotu (v měsících).
    • Typ akce životnosti: Vyberte akci automatického obnovení a upozorňování a aktualizujte procento životnosti nebo počet dnů před vypršením platnosti.

    Vlastnosti certifikátu

  6. Vyberte Uložit.

Důležité

Změna typu akce životnosti pro certifikát okamžitě zaznamenává úpravy existujících certifikátů.

Aktualizace atributů certifikátu pomocí PowerShellu



Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName 
                                   -Name $certificateName 
                                   -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]

Návod

Chcete-li změnit zásadu obnovení seznamu certifikátů, zadejte File.csv jako VaultName,CertName v následujícím příkladu:
vault1,Cert1
vault2,Cert2

$file = Import-CSV C:\Users\myfolder\ReadCSVUsingPowershell\File.csv ​
foreach($line in $file)​
{​
Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName -Name $certificateName -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]
}

Další informace o parametrech viz az keyvault certificate.

Upravte zdroje

Další kurzy služby Key Vault vycházejí z tohoto kurzu. Pokud plánujete pracovat s těmito výukovými materiály, možná budete chtít ponechat tyto stávající materiály na místě. Pokud je už nepotřebujete, odstraňte skupinu prostředků, což odstraní úložiště klíčů a související prostředky.

Chcete-li odstranit skupinu prostředků pomocí portálu:

  1. Do vyhledávacího pole v horní části portálu zadejte název vaší skupiny prostředků. Když se ve výsledcích hledání zobrazí skupina prostředků použitá v tomto rychlém startu, vyberte ji.
  2. Vyberte odstranit skupinu zdrojů.
  3. Do pole ZADEJTE NÁZEV SKUPINY PROSTŘEDKŮ: zadejte název skupiny prostředků a pak vyberte Odstranit.

Další kroky

V tomto kurzu jste aktualizovali atributy životního cyklu certifikátu. Další informace o službě Key Vault a její integraci s vašimi aplikacemi najdete v následujících článcích: