Kurz: Konfigurace automatické obměně certifikátů v Key Vault
Digitální certifikáty můžete snadno zřizovat, spravovat a nasazovat pomocí Azure Key Vault. Certifikáty můžou být veřejné a privátní certifikáty SSL (Secure Sockets Layer) nebo TLS (Transport Layer Security) podepsané certifikační autoritou (CA) nebo certifikátem podepsaným svým držitelem. Key Vault mohou také požadovat a obnovovat certifikáty prostřednictvím partnerství s certifikačními autoritami, což představuje robustní řešení pro správu životního cyklu certifikátů. V tomto kurzu aktualizujete dobu platnosti certifikátu, frekvenci automatické obměty a atributy certifikační autority.
V tomto kurzu získáte informace o následujících postupech:
- Správa certifikátu pomocí Azure Portal.
- Přidejte účet poskytovatele certifikační autority.
- Aktualizujte dobu platnosti certifikátu.
- Aktualizujte frekvenci automatické rotace certifikátu.
- Aktualizujte atributy certifikátu pomocí Azure PowerShell.
Než začnete, přečtěte si Key Vault základních konceptů.
Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.
Přihlášení k Azure
Přihlaste se k webu Azure Portal.
Vytvoření trezoru
Trezor klíčů vytvoříte jedním z těchto tří způsobů:
- Vytvoření trezoru klíčů pomocí Azure Portal
- Vytvoření trezoru klíčů pomocí Azure CLI
- Vytvoření trezoru klíčů pomocí Azure PowerShell
Vytvoření certifikátu v Key Vault
Vytvořte certifikát nebo importujte certifikát do trezoru klíčů (viz Postup vytvoření certifikátu v Key Vault. V tomto případě budete pracovat s certifikátem s názvem ExampleCertificate.
Aktualizace atributů životního cyklu certifikátu
V Azure Key Vault můžete aktualizovat atributy životního cyklu certifikátu při jeho vytvoření i po jeho vytvoření.
Certifikát vytvořený v Key Vault může být:
- Certifikát podepsaný svým držitelem
- Certifikát vytvořený s certifikační autoritou, která je partnerem Key Vault.
- Certifikát s certifikační autoritou, která není partnerem Key Vault.
Následující certifikační autority jsou v současné době partnerskými poskytovateli se Key Vault:
- DigiCert: Key Vault nabízí certifikáty OV nebo EV TLS/SSL.
- GlobalSign: Key Vault nabízí certifikáty OV nebo EV TLS/SSL.
Key Vault automaticky obměňuje certifikáty prostřednictvím navázaných partnerství s certifikačními autoritami. Vzhledem k tomu, že Key Vault prostřednictvím partnerství automaticky požaduje a obnovuje certifikáty, funkce automatické obměna se nevztahuje na certifikáty vytvořené s certifikačními autoritami, které nejsou partnery Key Vault.
Poznámka
Správce účtu pro poskytovatele certifikační autority vytvoří přihlašovací údaje, které Key Vault používá k vytváření, obnovování a používání certifikátů TLS/SSL.
Aktualizace atributů životního cyklu certifikátu v době vytvoření
Na stránkách vlastností Key Vault vyberte Certifikáty.
Vyberte Vygenerovat/importovat.
Na obrazovce Vytvořit certifikát aktualizujte následující hodnoty:
Doba platnosti: Zadejte hodnotu (v měsících). Vytváření krátkodobých certifikátů je doporučený postup zabezpečení. Ve výchozím nastavení je hodnota platnosti nově vytvořeného certifikátu 12 měsíců.
Typ akce životnosti: Vyberte akci automatického obnovení a upozorňování certifikátu a pak aktualizujte procento životnosti nebo Počet dní před vypršením platnosti. Ve výchozím nastavení je automatické prodlužování platnosti certifikátu nastavené na 80 % jeho životnosti. V rozevírací nabídce vyberte jednu z následujících možností.
Automatické prodlužování v daném čase Email všechny kontakty v daném čase Výběrem této možnosti zapnete automatickou rotaci. Výběrem této možnosti se automaticky neotáčíte , ale jenom upozorníte kontakty. Informace o nastavení Email kontaktu najdete tady.
Vyberte Vytvořit.
Aktualizace atributů životního cyklu uloženého certifikátu
Vyberte trezor klíčů.
Na stránkách vlastností Key Vault vyberte Certifikáty.
Vyberte certifikát, který chcete aktualizovat. V tomto případě budete pracovat s certifikátem s názvem ExampleCertificate.
V horním řádku nabídek vyberte Zásady vystavování .
Na obrazovce Zásady vystavování aktualizujte následující hodnoty:
- Období platnosti: Aktualizujte hodnotu (v měsících).
- Typ akce Životnost: Vyberte akci automatického obnovení a upozorňování certifikátu a pak aktualizujte procento životnosti nebo počet dnů před vypršením platnosti.
Vyberte Uložit.
Důležité
Změna typu akce životnosti certifikátu okamžitě zaznamená změny existujících certifikátů.
Aktualizace atributů certifikátu pomocí PowerShellu
Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName
-Name $certificateName
-RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]
Tip
Pokud chcete upravit zásady obnovení pro seznam certifikátů, zadejte , File.csv který obsahuje VaultName,CertName jako v následujícím příkladu:
vault1,Cert1
vault2,Cert2
$file = Import-CSV C:\Users\myfolder\ReadCSVUsingPowershell\File.csv
foreach($line in $file)
{
Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName -Name $certificateName -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]
}
Další informace o parametrech najdete v tématu az keyvault certificate.
Vyčištění prostředků
Další kurzy Key Vault vycházejí z tohoto kurzu. Pokud plánujete pracovat s těmito kurzy, můžete tyto existující prostředky ponechat na místě. Pokud je už nepotřebujete, odstraňte skupinu prostředků, čímž odstraníte trezor klíčů a související prostředky.
Odstranění skupiny prostředků pomocí portálu:
- Do vyhledávacího pole v horní části portálu zadejte název skupiny prostředků. Jakmile se skupina prostředků použitá v tomto rychlém startu zobrazí ve výsledcích hledání, vyberte ji.
- Vyberte Odstranit skupinu prostředků.
- Do pole ZADEJTE NÁZEV SKUPINY PROSTŘEDKŮ zadejte název skupiny prostředků a pak vyberte Odstranit.
Další kroky
V tomto kurzu jste aktualizovali atributy životního cyklu certifikátu. Další informace o Key Vault a jejich integraci s vašimi aplikacemi najdete v následujících článcích:
- Přečtěte si další informace o správě vytváření certifikátů v Azure Key Vault.
- Projděte si přehled Key Vault.