Zertifikatlebenszyklusverwaltung in Azure

Azure Automation

Azure Event Grid

Azure Key Vault

Organisationen, die eine interne oder nicht integrierte Zertifizierungsstelle (CA) verwenden, verlassen sich häufig auf manuelle Prozesse zum Erneuern von TLS-Zertifikaten (Transport Layer Security) und SSL-Zertifikaten (Secure Sockets Layer). Die manuelle Verlängerung kann zu abgelaufenen Zertifikaten führen, die zu Dienstausfällen führen, z. B. wenn ein Webserverzertifikat unbemerkt abläuft und kundenorientierte Anwendungen stört.

Azure Key Vault unterstützt die automatische Zertifikatverlängerung für integrierte CAs wie DigiCert oder GlobalSign, aber nicht integrierte CAs erfordern einen manuellen Ansatz. Dieser Artikel enthält eine Architektur, die die Zertifikatverlängerung für nicht integrierte CAs mithilfe von Key Vault, Azure Event Grid, Azure Automation und der Key Vault-Erweiterung automatisiert. Die Lösung reduziert den menschlichen Fehler, minimiert Dienstunterbrechungen und erzwingt das Prinzip der geringsten Berechtigungen für alle Identitäten im Erneuerungsprozess.

Aufbau

Dieser Abschnitt enthält eine Übersicht über die zugrunde liegende Architektur, die diese Lösung unterstützt.

Das Diagramm enthält zwei Hauptabschnitte. Ein Abschnitt wird als Azure-Zielzonen-Abonnement bezeichnet, und der andere Abschnitt wird als auf lokalem Gelände bezeichnet. Im Abschnitt "Abonnement der Landingzone" enthält ein großes Feld mit der Bezeichnung CERTLC kleinere Felder für Azure Virtual Network und ein Automatisierungskonto. Im Feld Virtual Network werden zwei Computersymbole als DC und ENT-CA bezeichnet. Eine gepunktete Linie, die den Hybrid Runbook Worker darstellt, verbindet das ENT-CA-Symbol mit dem Runbook-Worker und dem CERTLC-Runbook im Feld "Automatisierungskonto". Das Feld Virtual Network enthält auch Computersymbole, die zwei Server darstellen, eines mit der erweiterung Key Vault und eines mit einem benutzerdefinierten Skript. Eine durchgezogene Linie verbindet das feld Virtual Network mit dem lokalen Abschnitt des Diagramms. Im Bereich "Automatisierungskonto" ist auch das Dashboard-Ingestions-Runbook enthalten. Eine gestrichelte Linie verbindet dieses Runbook mit dem Log Analytics-Arbeitsbereich im CERTLC-Kasten. Das Feld CERTLC enthält auch Symbole, die ein Speicherkonto, ein Ereignisraster, einen Schlüsseltresor und eine Arbeitsmappe darstellen. Der Abschnitt "Azure Landing Zone"-Abonnement enthält Symbole, die einen Wiederherstellungsdiensttresor, Rollenzuweisungen, Richtlinienzuweisungen, Azure Network Watcher und Microsoft Defender für Cloud darstellen. Im lokalen Abschnitt enthält ein Feld mit der Bezeichnung Active Directory zwei kleinere Felder für Azure Arc-fähige Server. Ein Server verwendet die Key Vault-Erweiterung, und der andere Server verwendet ein benutzerdefiniertes Skript.

Laden Sie eine Visio-Datei dieser Architektur herunter.

Die Azure-Umgebung umfasst die folgende Plattform als Service(PaaS)-Ressourcen:

• Ein Schlüsseltresor, der nur Zertifikate speichert, die von derselben nicht integrierten Zertifizierungsstelle ausgestellt wurden

• Ein Systemthema des Event Grid

• Eine Speicherkontowarteschlange

• Ein Automatisierungskonto, das einen Webhook bereitstellt, auf den das Event Grid zugreift.

Um den Prozess und den Status abgelaufener und abgelaufener Zertifikate zu überwachen, speichert Log Analytics die Daten, und der Arbeitsbereich stellt sie in Form von tabellarischen und grafischen Dashboards dar.

In diesem Szenario wird davon ausgegangen, dass bereits eine vorhandene Public Key-Infrastruktur (PKI) vorhanden ist und aus einer Microsoft Enterprise-Zertifizierungsstelle besteht, die einer Active Directory-Domäne beigetreten ist. Die PKI, die Active Directory-Domäne und die Server, die eine Zertifikaterneuerung erfordern, können sich in Azure- oder lokalen Umgebungen befinden.

Sie müssen nicht den virtuellen Computern (VMs) beitreten, die Zertifikate hosten, um die Verlängerung in Active Directory oder die Microsoft Entra-ID zu überwachen. Sie müssen nur die Zertifizierungsstelle und den Hybrid-Worker, wenn dieser sich auf einem anderen virtuellen Computer als der Zertifizierungsstelle befindet, mit Active Directory verbinden.

Die folgenden Abschnitte enthalten Details zum automatischen Verlängerungsprozess.

Arbeitsablauf

Das folgende Diagramm zeigt den automatischen Workflow für die Zertifikaterneuerung innerhalb des Azure Ökosystems.

Das Diagramm verwendet Pfeile und Zahlen, um den automatischen Workflow für die Zertifikatverlängerung innerhalb des Azure Ökosystems anzuzeigen. Symbole für Key Vault, ein Benutzer, einen Server mit einer Key Vault-Erweiterung, eine Zertifizierungsstelle mit einer Key Vault-Erweiterung, ein Ereignisrastersystemthema, ein Speicherkonto und ein Automatisierungskonto befinden sich oben im Diagramm. Pfeile sind mit den Zahlen 1 bis 9 beschriftet. Pfeil 1 zeigt von einem Zertifikat in der CA zum Key Vault. Pfeil 2 zeigt von einem Zertifikat im Key Vault auf den Server. Ein Pfeil mit 3 Punkten verweist von einem Zertifikat im Key Vault zum Event Grid. Ein Pfeil zeigt von Event Grid sowohl auf das Speicherkonto als auch auf den Webhook im Automatisierungskonto. Pfeil 5 ist ein bidirektionaler Pfeil, der auf das Zertifikat im Speicherkonto und auf das Automatisierungskonto zeigt. Pfeil 6 ist ein bidirektionaler Pfeil, der zum Zertifikat in der Zertifizierungsstelle (CA) und vom und zum Automatisierungskonto zeigt. Pfeil 7 zeigt vom Zertifikat im Automatisierungskonto zum Key Vault. Pfeil 8 punktet von einem Nachrichtensymbol im Automatisierungskonto auf ein Benutzersymbol auf dem Server. Pfeil 9 zeigt vom Zertifikat im Key Vault auf den Server.

Laden Sie eine Visio-Datei dieses Workflows herunter.

Der folgende Workflow entspricht dem vorherigen Diagramm:

1. Key Vault-Konfiguration: Die erste Phase des Erneuerungsprozesses umfasst das Speichern des Zertifikatobjekts im angegebenen Zertifikatabschnitt des Schlüsseltresors.

   Es wird empfohlen, dass Sie Zertifikattags verwenden, um benutzerdefinierte E-Mail-Benachrichtigungen zu konfigurieren, indem Sie jedes Zertifikat mit der E-Mail-Adresse des Empfängers kategorisieren. Mit diesem Ansatz können Sie bestimmte Administratoren für jedes Zertifikat benachrichtigen, anstatt denselben Empfänger auf alle Zertifikate anzuwenden. Verwenden Sie das Recipient-Tag , und legen Sie den Wert auf eine oder mehrere E-Mail-Adressen fest, die durch ein Komma oder Semikolon getrennt sind. Tagbasierte Benachrichtigungen stellen rechtzeitige Warnungen sicher, wenn die Zertifikatverlängerung auf der internen Zertifizierungsstelle abgeschlossen ist und das erneuerte Zertifikat im Key Vault verfügbar wird.

   Sie können integrierte Key Vault-Zertifikatbenachrichtigungen in Kombination mit diesem Ansatz verwenden, aber sie dienen einem anderen Zweck. Integrierte Benachrichtigungen gelten global für alle Zertifikate im Schlüsseltresor und sind auf bevorstehende Zertifikatablaufwarnungen beschränkt. Sie verwenden denselben Empfänger für alle Zertifikate.

2. Konfiguration der Key Vault-Erweiterung: Sie müssen die Server ausstatten, die die Zertifikate mit der Key Vault-Erweiterung verwenden müssen. Die Erweiterung ist kompatibel mit Windows - und Linux-Systemen . Es unterstützt Azure-Infrastruktur als Dienst (IaaS)-Server und lokale oder andere Cloudserver, die über Azure Arc integriert werden. Konfigurieren Sie die Key Vault-Erweiterung, um regelmäßig nach aktualisierten Zertifikaten in Key Vault zu suchen. Das Abrufintervall ist anpassbar und flexibel, sodass es an bestimmte betriebliche Anforderungen angepasst werden kann.

   Hinweis

   Bei einigen Linux-Distributionen oder gehärteten Unternehmensabbildern ist die Key Vault-Erweiterung möglicherweise nicht verfügbar oder wird nicht unterstützt. Planen Sie in diesen Fällen das script_for_not_supported_ARC_on_Linux_distro Skript als einen empfohlenen Fallback ein. Das Skript überprüft in regelmäßigen Abständen Key Vault auf Zertifikatupdates und wendet sie auf den Server an. Sie kann auf azure nativen VMs (IaaS) und lokalen Servern ausgeführt werden, die in Azure Arc integriert sind.

3. Event Grid-Integration: Wenn ein Zertifikat kurz vor dem Ablauf steht, werden zwei Event Grid-Abonnements aktiviert, um dieses wichtige Lebensdauerereignis aus dem Schlüsseltresor abzufangen.

4. Ereignisrasterauslöser: Ein Event Grid-Abonnement sendet Zertifikatverlängerungsinformationen an eine Speicherkontowarteschlange. Das andere Abonnement löst über den im Automatisierungskonto konfigurierten Webhook den Start eines Runbooks aus. Wenn das Runbook das Zertifikat nicht verlängern kann oder die Zertifizierungsstelle nicht verfügbar ist, versucht ein geplanter Prozess, das Runbook von diesem Zeitpunkt an zu verlängern, bis sich die Warteschlange leert. Dieser Prozess macht die Lösung äußerst robust.

   Um die Resilienz der Lösung zu verbessern, richten Sie einen Dead-Letter-Location-Mechanismus ein. Es verwaltet potenzielle Fehler, die während der Nachrichtentransaktion von Event Grid zu den Abonnementzielen, der Speicherwarteschlange und dem Webhook auftreten können.

5. Speicherkontowarteschlange: Das Runbook wird auf dem CA-Server gestartet, der als Automatisierungs-Hybrid-Runbook-Worker konfiguriert ist. Es empfängt alle Nachrichten in der Speicherkonto-Warteschlange, die den Namen des auslaufenden Zertifikats und den Key Vault enthalten, der das Runbook hostet. Die folgenden Schritte erfolgen für jede Nachricht in der Warteschlange.

6. Zertifikatsverlängerung: Das Skript im Runbook verbindet sich mit Azure, um den Vorlagennamen des Zertifikats abzurufen, den Sie während der Erstellung festgelegt haben. Die Vorlage ist die Konfigurationskomponente der Zertifizierungsstelle, die die Attribute und den Zweck der von ihr generierten Zertifikate definiert.

   Nachdem das Skript eine Verbindung mit dem Key Vault hergestellt hat, wird eine Anforderung zur Zertifikatverlängerung initiiert. Diese Anforderung löst Key Vault zum Generieren einer Zertifikatsignaturanforderung (CSR) aus und wendet dieselbe Vorlage an, die das ursprüngliche Zertifikat generiert hat. Dieser Prozess gewährleistet, dass das erneuerte Zertifikat mit den vordefinierten Sicherheitsrichtlinien übereinstimmt. Weitere Informationen zur Sicherheit im Authentifizierungs- und Autorisierungsprozess finden Sie unter "Sicherheit".

   Das Skript lädt die CSR herunter und sendet sie an die CA.

   Die CA generiert ein neues x509-Zertifikat auf der Grundlage der richtigen Vorlage und sendet es an das Skript zurück. Dieser Schritt stellt sicher, dass das erneuerte Zertifikat mit den vordefinierten Sicherheitsrichtlinien übereinstimmt.

7. Certificate integrieren und Key Vault Aktualisierung: Das Skript integriert das erneuerte Zertifikat wieder in den Key Vault. In diesem Schritt wird der Aktualisierungsprozess abgeschlossen und die Nachricht aus der Warteschlange entfernt. Während des gesamten Prozesses wird der private Schlüssel des Zertifikats nie aus dem Key Vault entnommen.

8. Überwachung und E-Mail-Benachrichtigung: Alle Protokolle im Zusammenhang mit Vorgängen, die in verschiedenen Azure-Komponenten ausgeführt werden, einschließlich Automatisierungskonto, Key Vault, Speicherkontowarteschlange und Ereignisraster, sollten an den Azure Monitor Logs-Arbeitsbereich gesendet werden. Nachdem das Zertifikat in den Key Vault übertragen wurde, sendet das Skript eine E-Mail-Nachricht an die Administratoren, um sie über das Ergebnis zu informieren.

9. Certificate retrieval: Die Key Vault-Erweiterung auf dem Server spielt in dieser Phase eine wichtige Rolle. Es lädt automatisch die neueste Version des Zertifikats aus dem Schlüsseltresor in den lokalen Speicher des Servers herunter, der das Zertifikat verwendet. Sie können mehrere Server mit der Key Vault-Erweiterung konfigurieren, um dasselbe Zertifikat aus dem Schlüsseltresor abzurufen, einschließlich der Wildcard oder mit mehreren SAN-Zertifikaten (Subject Alternative Name).

   Planen Sie für Linux-Distributionen, bei denen Sie die Key Vault-Erweiterung nicht installieren können, das script_for_not_supported_ARC_on_Linux_distro Skript ein, um die gleiche Funktionalität wie die Erweiterung zu erreichen.

Komponenten

Diese Lösung verwendet verschiedene Komponenten, um die automatische Zertifikatverlängerung in Azure zu verarbeiten. In den folgenden Abschnitten wird jede Komponente und ihr spezifischer Zweck beschrieben.

Key Vault Erweiterung

Die Key Vault-Erweiterung ist ein Auf Servern installiertes Tool, das die automatische Aktualisierung von Zertifikaten bereitstellt, die in einem Azure Key Vault gespeichert sind. In dieser Architektur müssen Sie die Key Vault-Erweiterung auf Servern installieren, die eine automatische Zertifikatverlängerung erfordern. Weitere Informationen zu Installationsverfahren für verschiedene Server finden Sie in den folgenden Artikeln:

• Key Vault-Erweiterung für Windows
• Key Vault-Erweiterung für Linux
• Key Vault-Erweiterung für Azure Arc-fähige Server

Hinweis

Die folgenden Skripts sind Beispiele, die Sie von Azure Cloud Shell ausführen können, um die Key Vault-Erweiterung zu konfigurieren:

• Key Vault erweiterung für Windows Server
• Key Vault erweiterung für Linux-Server
• Key Vault erweiterung für Azure Arc-fähige Windows Server
• Key Vault erweiterung für Azure Arc-fähige Linux-Server

Zu den konfigurationsparametern für die Key Vault Erweiterung gehören:

• Key Vault Name: Der Key Vault, der das Zertifikat zur Erneuerung enthält.

• Zertifikatname: Der Name des zu erneuernden Zertifikats.

• Zertifikatspeicher, Name und Speicherort: Der Zertifikatspeicher, in dem das Zertifikat gespeichert ist. Auf Windows Servern ist der Standardwert für NameMy und LocationLocalMachine, d. h. der persönliche Zertifikatspeicher des Computers. Auf Linux-Servern können Sie einen Dateisystempfad angeben, vorausgesetzt, der Standardwert ist AzureKeyVault, bei dem es sich um den Zertifikatspeicher für Key Vault handelt.

• linkOnRenewal: Ein Flag, das angibt, ob das Zertifikat bei der Verlängerung mit dem Server verknüpft werden soll. Wenn das Kennzeichen auf true auf Windows-Computern festgelegt ist, kopiert es das neue Zertifikat in den Zertifikatsspeicher und verknüpft es mit dem alten Zertifikat, wodurch die Bindung des Zertifikats effektiv erneuert wird. Der Standardwert lautet false, was bedeutet, dass eine explizite Bindung erforderlich ist.

• pollingIntervalInS: Das Abrufintervall für die Key Vault-Erweiterung, um nach Zertifikataktualisierungen zu suchen. Der Standardwert ist 3600 Sekunden (1 Stunde).

• authenticationSetting: Die Authentifizierungseinstellung für die Key Vault Erweiterung. Bei Azure-Servern können Sie diese Einstellung weglassen, sodass die Erweiterung die vom System zugewiesene verwaltete Identität der VM verwendet, um sich beim Schlüsseltresor zu authentifizieren. Bei lokalen Servern verwendet die Erweiterung, wenn Sie die Einstellung msiEndpoint = "http://localhost:40342/metadata/identity"angeben, den Dienstprinzipal, der dem Computerobjekt zugeordnet ist, das während des Azure Arc-Onboardings erstellt wurde.

Hinweis

Geben Sie die Key Vault Erweiterungsparameter nur während der ersteinrichtung an. Durch diesen Ansatz wird sichergestellt, dass die Parameter während des gesamten Erneuerungsprozesses unverändert bleiben.

Automation-Konto

Ein Automatisierungskonto ist ein cloudbasierter Dienst, der Aufgaben über Runbooks automatisiert. In dieser Architektur behandelt sie den Zertifikaterneuerungsprozess. Sie müssen das Konto mit einem Runbook mithilfe des Skripts PowerShell konfigurieren.

Außerdem müssen Sie eine Hybrid Worker-Gruppe erstellen. Ordnen Sie die Hybrid Worker-Gruppe einem Windows Server-Computer in derselben Active Directory-Domäne der Zertifizierungsstelle zu, vorzugsweise der Zertifizierungsstelle selbst, um Runbooks zu starten.

Das Runbook muss über einen zugeordneten Webhook verfügen, der vom Hybrid Runbook Worker initiiert wird. Konfigurieren Sie die Webhook-URL im Ereignisabonnement des Systemthemas Ereignisraster.

Warteschlange für Speicherkonten

Die Speicherkontowarteschlange ist eine Nachrichtenwarteschlange innerhalb Azure Storage. In dieser Architektur werden die Nachrichten gespeichert, die den Namen des Zertifikats enthalten, das erneuert wird, und den Schlüsseltresor, der das Zertifikat enthält. Konfigurieren Sie die Warteschlange des Speicherkontos im Ereignisabonnement des Systemthemas Ereignisraster. Die Warteschlange handhabt die Entkopplung des Skripts vom Benachrichtigungsereignis über den Ablauf des Zertifikats. Sie unterstützt die Speicherung des Ereignisses in einer Warteschlangennachricht. Dieser Ansatz trägt dazu bei, sicherzustellen, dass der Erneuerungsprozess für Zertifikate durch geplante Aufträge auch dann wiederholt wird, wenn während der Ausführung des Skripts Probleme auftreten.

Hybrid Runbook Worker

Der Hybrid-Runbook-Worker ist ein Feature der Automatisierung, die Sie zum Ausführen von Runbooks auf Computern verwenden, die sich in einem Rechenzentrum befinden. In dieser Architektur führt das System das Runbook für die Zertifikaterneuerung aus. Installieren Sie den Hybrid Runbook Worker mithilfe der Azure Hybrid Worker-Erweiterungsmethode , die den unterstützten Modus für eine neue Installation darstellt. Sie erstellen den Worker und ordnen ihn einem Windows Server-Mitglied in derselben Active Directory-Domäne der Zertifizierungsstelle zu, idealerweise die Zertifizierungsstelle selbst.

Key Vault

Key Vault ist das sichere Repository für Zertifikate. In dieser Architektur werden zertifikate gespeichert, die nur von derselben nicht integrierten Zertifizierungsstelle ausgestellt wurden. Ordnen Sie im Abschnitt "Ereignistresor" das Thema "Event Grid"-System dem Webhook des Automatisierungskontos und einem Abonnement zu.

Ereignisraster

Ereignisraster ist ein Ereignisroutingdienst. In dieser Architektur behandelt sie die ereignisgesteuerte Kommunikation in Azure. Konfigurieren Sie das Ereignisraster, indem Sie das Systemthema und das Ereignisabonnement einrichten, um relevante Ereignisse zu überwachen. Relevante Ereignisse umfassen Zertifikatablaufwarnungen, Aktionen, die innerhalb des Automatisierungsworkflows ausgelöst werden, und Nachrichten, die in der Speicherkontowarteschlange veröffentlicht wurden. Konfigurieren Sie das Thema "Ereignisrastersystem" mithilfe der folgenden Parameter:

• Quelle: Der Name des Schlüsseltresors, der die Zertifikate enthält.

• Quelltyp: Der Typ der Quelle. Der Quelltyp für diese Lösung ist z. B. Azure Key Vault.

• Ereignistyp: Der zu überwachende Ereignistyp. Der Ereignistyp für diese Lösung ist zum Beispiel Microsoft.KeyVault.CertificateNearExpiry. Dieses Ereignis wird ausgelöst, wenn ein Zertifikat bald abläuft.

• Abonnement für Webhook:

  • Abonnementname: Der Name des Ereignisabonnements.

  • Endpunkttyp: Der Typ des zu verwendenden Endpunkts. Der Endpunkttyp für diese Lösung ist zum Beispiel Webhook.

  • Endpunkt: Die URL des Webhooks, der dem Runbook des Automatisierungskontos zugeordnet ist. Weitere Informationen finden Sie unter Automatisierungskonto.

• Abonnement für StorageQueue:

  • Abonnementname: Der Name des Ereignisabonnements.

  • Endpunkttyp: Der Typ des zu verwendenden Endpunkts. Der Endpunkttyp für diese Lösung ist zum Beispiel StorageQueue.

  • Endpunkt: Die Speicherkontowarteschlange.

Log Analytics Arbeitsbereich und Azure Arbeitsmappe

Log Analytics-Arbeitsbereiche und Azure-Arbeitsmappen sind Azure-Ressourcen, die Daten sammeln, aggregieren und analysieren. In dieser Architektur verbessern sie die Überwachung und Visualisierung von Zertifikatstatus, die in Key Vault gespeichert sind. Diese Komponenten sind entscheidend für die Aufrechterhaltung der Sichtbarkeit des Zertifikatszustands:

• Log Analytics-Arbeitsbereich: Sammelt und speichert Daten zu Zertifikatszuständen. Es identifiziert abgelaufene Zertifikate, Zertifikate, die bald ablaufen, und gültige Zertifikate.

• Azure-Arbeitsmappe: Ruft Daten aus dem Log Analytics-Arbeitsbereich ab und stellt sie in einem Dashboard mit visuellen Darstellungen wie Kreisdiagrammen und detaillierten Tabellen dar. Es kategorisiert Zertifikate in "Nicht abgelaufen" (grün), "Bald ablaufen " (gelb) und "Abgelaufen" (rot).

Die folgenden Komponenten rufen Zertifikatinformationen in der Arbeitsmappe ab und präsentieren diese:

• Ausführung des Datenaufnahme-Runbook: Ein Runbook wird direkt aus Azure ausgeführt, ohne dass der Kontext eines Hybrid-Workers erforderlich ist. Das Runbook ruft Zertifikatdaten aus dem Schlüsseltresor ab und sendet sie an eine benutzerdefinierte Tabelle, die im Log Analytics-Arbeitsbereich definiert ist. Das Runbook wird auf einer geplanten Frequenz ausgeführt.

• Arbeitsmappenvisualisierung: Eine Arbeitsmappe fragt die Daten aus der benutzerdefinierten Tabelle ab und zeigt sie sowohl in einem Kreisdiagramm als auch in einer detaillierten Tabelle an. Es hebt Zertifikate basierend auf ihrem Ablaufstatus hervor.

Durch die Integration dieser zusätzlichen Komponenten erstellt Ihre Lösung einen umfassenderen Ansatz für die Lebenszyklusverwaltung von Zertifikaten.

Alternativen

Diese Lösung verwendet ein Automatisierungskonto, um den Zertifikaterneuerungsprozess zu koordinieren. Außerdem wird der Hybrid Runbook Worker eingesetzt, um flexible Integrationsmöglichkeiten mit einer lokalen CA oder anderen Clouds bereitzustellen.

Ein alternativer Ansatz besteht darin, Azure Logic Apps zu verwenden. Der Hauptunterschied zwischen den beiden Ansätzen besteht darin, dass das Automatisierungskonto eine PaaS-Lösung ist, und Logic Apps ist eine Software as a Service (SaaS)-Lösung.

Logic Apps ist ein vollständig verwalteter Dienst, sodass Sie die zugrunde liegende Infrastruktur nicht verwalten müssen. Sie kann auch mit externen Anschlüssen integriert werden. Diese Funktion erweitert den Bereich der Benachrichtigungsoptionen, z. B. die Interaktion mit Microsoft Teams oder Microsoft 365.

Logik-Apps verfügen nicht über eine Funktion, die dem Hybrid Runbook Worker ähnelt, was zu einer weniger flexiblen Integration mit der CA führt, daher ist ein Automatisierungskonto der bevorzugte Ansatz.

Details zum Szenario

Jede Organisation erfordert eine sichere und effiziente Verwaltung ihres Zertifikatlebenszyklus. Wird ein Zertifikat nicht vor Ablauf der Gültigkeit aktualisiert, kann dies zu Dienstunterbrechungen führen und erhebliche Kosten für das Unternehmen verursachen.

Unternehmen betreiben in der Regel komplexe IT-Infrastrukturen, die mehrere Teams betreffen, die für den Zertifikatlebenszyklus verantwortlich sind. Der manuelle Prozess der Zertifikatserneuerung führt häufig zu Fehlern und verschlingt wertvolle Zeit.

Diese Lösung behebt diese Herausforderungen, indem die vom Microsoft-Zertifikatdienst ausgestellte Zertifikatverlängerung automatisiert wird. Der Dienst wird häufig für verschiedene Serveranwendungen verwendet, z. B. Webserver und SQL-Server, und für Verschlüsselung, Nichtabstreitbarkeit, Signaturzwecke und sicherstellung von zeitnahen Updates und sicheren Zertifikatspeichern im Key Vault. Die Kompatibilität des Diensts mit Azure Servern und lokalen Servern unterstützt eine flexible Bereitstellung.

Mögliche Anwendungsfälle

Diese Lösung richtet sich an Unternehmen aus verschiedenen Branchen, die:

• Verwenden Sie den Microsoft Certificate Service für die Erstellung von Serverzertifikaten.

• Erfordern Sie eine Automatisierung des Zertifikatverlängerungsprozesses, um die Abläufe zu beschleunigen und Fehler zu minimieren, wodurch Geschäftsverluste und Verletzungen von Service-Level-Agreements (SLAs) vermieden werden können.

• Benötigen Sie sicheren Zertifikatspeicher in Repositorys wie Key Vault.

Diese Architektur dient als grundlegender Bereitstellungsansatz für Zielzonenabonnements für Anwendungen.

Hinweis

Sie können dasselbe Lebenszyklusmuster auf Azure App Service-, Azure-Anwendungsgateway- und Kubernetes-Workloads erweitern, die in Key Vault integriert sind.

Überlegungen

Diese Überlegungen implementieren die Säulen des Azure Well-Architected-Frameworks, die eine Reihe von Leitsätzen sind, die Sie verwenden können, um die Qualität einer Arbeitsauslastung zu verbessern. Weitere Informationen finden Sie unter Well-Architected Framework.

Sicherheit

Sicherheit bietet Sicherheitsmaßnahmen gegen bewusste Angriffe und den Missbrauch Ihrer wertvollen Daten und Systeme. Weitere Informationen finden Sie unter Entwurfsprüfliste für die Sicherheit.

Key Vault speichert Zertifikate sicher als verschlüsselte geheime Schlüssel, die durch die rollenbasierte Zugriffssteuerung (Azure RBAC) geschützt sind.

Tip

In Umgebungen mit strengen Complianceanforderungen, z. B. NIS2- oder public-sector-Vorschriften, sollten Sie die Bewertung von Azure Key Vault Premium für DEN HSM-gesicherten Schlüsselschutz in Betracht ziehen, wenn Sie den in diesem Artikel beschriebenen Zertifikatverlängerungsworkflow beibehalten müssen.

Während des gesamten Zertifikaterneuerungsprozesses verwenden die folgenden Komponenten Identitäten:

• Das Systemkonto des Hybrid Runbook Workers, das unter dem Konto des virtuellen Computers betrieben wird

• Die Key Vault-Erweiterung, die die verwaltete Identität verwendet, die der VM zugeordnet ist

• Das Automatisierungskonto, das die ihm zugewiesene verwaltete Identität verwendet,

Das Prinzip der minimalen Rechte wird für alle Identitäten, die am Zertifikaterneuerungsprozess beteiligt sind, streng durchgesetzt.

Das Systemkonto des Hybrid Runbook Worker-Servers muss das Recht haben, Zertifikate für eine oder mehrere Zertifikatsvorlagen zu registrieren, die neue Zertifikate generieren.

Auf dem key vault, der die Zertifikate enthält, muss die Identität des Automatisierungskontos über die Rolle Key Vault Certificate Officer verfügen. Darüber hinaus müssen Server, die den Zertifikatzugriff erfordern, über Get und List Berechtigungen im Key Vault Zertifikatspeicher verfügen.

In der Speicherkonto-Warteschlange muss die Identität des Automatisierungskontos die Rollen Storage Queue Data Contributor, Reader and Data Access und Reader haben.

In Szenarien, in denen die Key Vault-Erweiterung auf einer Azure-VM bereitgestellt wird, erfolgt die Authentifizierung über die verwaltete Identität des virtuellen Computers. Wenn die Erweiterung jedoch auf einem Azure Arc-fähigen Server bereitgestellt wird, übernimmt ein Dienstprinzipal die Authentifizierung. Sie müssen die Schlüsselbund-Geheimnisbenutzerrolle innerhalb des Schlüsseltresors zuweisen, in dem das Zertifikat gespeichert ist, sowohl der verwalteten Identität als auch dem Dienstprinzipal. Sie müssen eine geheime Rolle verwenden, da das Zertifikat im Key Vault als Geheimnis gespeichert wird.

Kostenoptimierung

Die Kostenoptimierung konzentriert sich auf Möglichkeiten, unnötige Ausgaben zu reduzieren und die betriebliche Effizienz zu verbessern. Weitere Informationen finden Sie unter Design Review-Checkliste für die Kostenoptimierung.

Diese Lösung verwendet Azure PaaS-Lösungen, die unter einem pay-as-you-go-Framework arbeiten, um Die Kosten zu optimieren. Die Ausgaben hängen von der Anzahl der Zertifikate ab, die Erneuerung benötigen, und der Anzahl der Server, die mit der Key Vault Erweiterung ausgestattet sind, was zu geringem Mehraufwand führt.

Ausgaben, die sich aus der Key Vault Erweiterung und dem Hybrid Runbook Worker ergeben, hängen von Ihren Installationsentscheidungen und Abrufintervallen ab. Die Kosten für das Ereignisraster entsprechen dem Ereignisvolumen, das Key Vault generiert. Die Kosten des Automatisierungskontos korrelieren mit der Anzahl der von Ihnen verwendeten Runbooks.

Die Kosten von Key Vault hängen von verschiedenen Faktoren ab, einschließlich Standard- oder Premium-SKUs, der Menge der gespeicherten Zertifikate und der Häufigkeit der Vorgänge, die auf den Zertifikaten durchgeführt werden.

Ähnliche Überlegungen für die Key Vault-Konfiguration gelten für das Speicherkonto. In diesem Szenario reicht eine Standard-SKU mit lokal redundanter Speicherreplikation für das Speicherkonto aus. Im Allgemeinen sind die Kosten für die Warteschlange des Speicherkontos minimal.

Um die Kosten für die Implementierung dieser Lösung zu schätzen, verwenden Sie den Azure Preisrechner. Geben Sie die in diesem Artikel beschriebenen Dienste ein.

Operative Exzellenz

„Optimaler Betrieb“ deckt die Betriebsprozesse ab, die für die Bereitstellung einer Anwendung und deren Ausführung in der Produktion sorgen. Weitere Informationen finden Sie in der Checkliste zur Designüberprüfung für operationale Exzellenz.

Das automatische Zertifikaterneuerungsverfahren speichert Zertifikate sicher, indem standardisierte Prozesse für alle Zertifikate im Schlüsseltresor angewendet werden.

Die Integration in das Ereignisraster löst ergänzende Aktionen aus, z. B. das Benachrichtigen von Microsoft Teams oder Microsoft 365 und das Optimieren des Verlängerungsprozesses. Diese Integration reduziert die Zertifikatverlängerungszeit erheblich und verringert das Potenzial für Fehler, die zu Geschäftsunterbrechungen und SLA-Verstößen führen können.

Die Integration in Azure Monitor, Microsoft Sentinel, Microsoft Security Copilot und Microsoft Defender for Cloud erleichtert die kontinuierliche Überwachung des Zertifikaterneuerungsprozesses. Sie unterstützt die Erkennung von Anomalien und trägt dazu bei, dass robuste Sicherheitsmaßnahmen aufrechterhalten werden. Defender für Cloud trägt in erster Linie durch die Sicherheitslageverwaltung und Warnungskorrelation statt durch die direkte Abwicklung von Zertifikatverlängerungsereignissen bei.

Dieses Szenario bereitstellen

Wählen Sie die folgende Schaltfläche, um die in diesem Artikel beschriebene Umgebung bereitzustellen. Die Bereitstellung dauert etwa zwei Minuten und erstellt einen Schlüsseltresor, ein Ereignis-Grid-Systemthema, das mit den beiden Abonnements konfiguriert ist, ein Speicherkonto, das die CERTLC-Warteschlange enthält, und ein Automatisierungskonto, das das Runbook und das Webhook enthält, die beide mit Event Grid verknüpft sind.

Weitere Informationen zu den Parametern, die Sie für die Bereitstellung benötigen, finden Sie im Codebeispielportal .

Wichtig

Sie können eine vollständige Laborumgebung bereitstellen, um den gesamten Arbeitsablauf der automatischen Zertifikatserneuerung zu demonstrieren. Verwenden Sie das Codebeispiel , um die folgenden Ressourcen bereitzustellen:

• Active Directory Domain Services (AD DS) innerhalb einer Domänencontroller-VM.

• Active Directory Certificate Services (AD CS) innerhalb einer Zertifizierungsstelle-VM, die der Domäne beigetreten ist und mit einer Vorlage, WebServerShort, konfiguriert wurde, um die Zertifikate zur Erneuerung einzuschreiben.

• Ein Windows Simple Mail Transfer Protocol (SMTP)-Server , der auf demselben virtuellen Computer wie die Zertifizierungsstelle zum Senden von E-Mail-Benachrichtigungen installiert ist. MailViewer wird auch installiert, um die gesendeten E-Mail-Benachrichtigungen zu überprüfen.

• Die auf dem Domänencontroller-VM installierte Key Vault-Erweiterung wird verwendet, um die erneuerten Zertifikate über die Key Vault abzurufen.

Beitragende

Microsoft verwaltet diesen Artikel. Die folgenden Mitwirkenden haben diesen Artikel geschrieben.

Hauptautoren:

• Fabio Masciotra | Senior Cloud Solution Architect
• Angelo Mazzucchi | Hauptberater

Um nicht-öffentliche LinkedIn-Profile zu sehen, melden Sie sich bei LinkedIn an.

Verwandte Ressourcen

• Key Vault
• Key Vault-Erweiterung für Windows
• Key Vault-Erweiterung für Linux
• Automatisierungsübersicht
• Übersicht über Automation Hybrid Runbook Worker
• Event Grid – Übersicht

Organisationen, die eine interne oder nicht integrierte Zertifizierungsstelle (CA) verwenden, verlassen sich häufig auf manuelle Prozesse zum Erneuern von TLS-Zertifikaten (Transport Layer Security) und SSL-Zertifikaten (Secure Sockets Layer). Die manuelle Verlängerung kann zu abgelaufenen Zertifikaten führen, die zu Dienstausfällen führen, z. B. wenn ein Webserverzertifikat unbemerkt abläuft und kundenorientierte Anwendungen stört.

Azure Key Vault unterstützt die automatische Zertifikatverlängerung für integrierte CAs wie DigiCert oder GlobalSign, aber nicht integrierte CAs erfordern einen manuellen Ansatz. Dieser Artikel enthält eine Architektur, die die Zertifikatverlängerung für nicht integrierte CAs mithilfe von Key Vault, Azure Event Grid, Azure Automation und der Key Vault-Erweiterung automatisiert. Die Lösung reduziert den menschlichen Fehler, minimiert Dienstunterbrechungen und erzwingt das Prinzip der geringsten Berechtigungen für alle Identitäten im Erneuerungsprozess.

Aufbau

Dieser Abschnitt enthält eine Übersicht über die zugrunde liegende Architektur, die diese Lösung unterstützt.

Das Diagramm enthält zwei Hauptabschnitte. Ein Abschnitt wird als Azure-Zielzonen-Abonnement bezeichnet, und der andere Abschnitt wird als auf lokalem Gelände bezeichnet. Im Abschnitt "Abonnement der Landingzone" enthält ein großes Feld mit der Bezeichnung CERTLC kleinere Felder für Azure Virtual Network und ein Automatisierungskonto. Im Feld Virtual Network werden zwei Computersymbole als DC und ENT-CA bezeichnet. Eine gepunktete Linie, die den Hybrid Runbook Worker darstellt, verbindet das ENT-CA-Symbol mit dem Runbook-Worker und dem CERTLC-Runbook im Feld "Automatisierungskonto". Das Feld Virtual Network enthält auch Computersymbole, die zwei Server darstellen, eines mit der erweiterung Key Vault und eines mit einem benutzerdefinierten Skript. Eine durchgezogene Linie verbindet das feld Virtual Network mit dem lokalen Abschnitt des Diagramms. Im Bereich "Automatisierungskonto" ist auch das Dashboard-Ingestions-Runbook enthalten. Eine gestrichelte Linie verbindet dieses Runbook mit dem Log Analytics-Arbeitsbereich im CERTLC-Kasten. Das Feld CERTLC enthält auch Symbole, die ein Speicherkonto, ein Ereignisraster, einen Schlüsseltresor und eine Arbeitsmappe darstellen. Der Abschnitt "Azure Landing Zone"-Abonnement enthält Symbole, die einen Wiederherstellungsdiensttresor, Rollenzuweisungen, Richtlinienzuweisungen, Azure Network Watcher und Microsoft Defender für Cloud darstellen. Im lokalen Abschnitt enthält ein Feld mit der Bezeichnung Active Directory zwei kleinere Felder für Azure Arc-fähige Server. Ein Server verwendet die Key Vault-Erweiterung, und der andere Server verwendet ein benutzerdefiniertes Skript.

Laden Sie eine Visio-Datei dieser Architektur herunter.

Die Azure-Umgebung umfasst die folgende Plattform als Service(PaaS)-Ressourcen:

• Ein Schlüsseltresor, der nur Zertifikate speichert, die von derselben nicht integrierten Zertifizierungsstelle ausgestellt wurden

• Ein Systemthema des Event Grid

• Eine Speicherkontowarteschlange

• Ein Automatisierungskonto, das einen Webhook bereitstellt, auf den das Event Grid zugreift.

Um den Prozess und den Status abgelaufener und abgelaufener Zertifikate zu überwachen, speichert Log Analytics die Daten, und der Arbeitsbereich stellt sie in Form von tabellarischen und grafischen Dashboards dar.

In diesem Szenario wird davon ausgegangen, dass bereits eine vorhandene Public Key-Infrastruktur (PKI) vorhanden ist und aus einer Microsoft Enterprise-Zertifizierungsstelle besteht, die einer Active Directory-Domäne beigetreten ist. Die PKI, die Active Directory-Domäne und die Server, die eine Zertifikaterneuerung erfordern, können sich in Azure- oder lokalen Umgebungen befinden.

Sie müssen nicht den virtuellen Computern (VMs) beitreten, die Zertifikate hosten, um die Verlängerung in Active Directory oder die Microsoft Entra-ID zu überwachen. Sie müssen nur die Zertifizierungsstelle und den Hybrid-Worker, wenn dieser sich auf einem anderen virtuellen Computer als der Zertifizierungsstelle befindet, mit Active Directory verbinden.

Die folgenden Abschnitte enthalten Details zum automatischen Verlängerungsprozess.

Arbeitsablauf

Das folgende Diagramm zeigt den automatischen Workflow für die Zertifikaterneuerung innerhalb des Azure Ökosystems.

Das Diagramm verwendet Pfeile und Zahlen, um den automatischen Workflow für die Zertifikatverlängerung innerhalb des Azure Ökosystems anzuzeigen. Symbole für Key Vault, ein Benutzer, einen Server mit einer Key Vault-Erweiterung, eine Zertifizierungsstelle mit einer Key Vault-Erweiterung, ein Ereignisrastersystemthema, ein Speicherkonto und ein Automatisierungskonto befinden sich oben im Diagramm. Pfeile sind mit den Zahlen 1 bis 9 beschriftet. Pfeil 1 zeigt von einem Zertifikat in der CA zum Key Vault. Pfeil 2 zeigt von einem Zertifikat im Key Vault auf den Server. Ein Pfeil mit 3 Punkten verweist von einem Zertifikat im Key Vault zum Event Grid. Ein Pfeil zeigt von Event Grid sowohl auf das Speicherkonto als auch auf den Webhook im Automatisierungskonto. Pfeil 5 ist ein bidirektionaler Pfeil, der auf das Zertifikat im Speicherkonto und auf das Automatisierungskonto zeigt. Pfeil 6 ist ein bidirektionaler Pfeil, der zum Zertifikat in der Zertifizierungsstelle (CA) und vom und zum Automatisierungskonto zeigt. Pfeil 7 zeigt vom Zertifikat im Automatisierungskonto zum Key Vault. Pfeil 8 punktet von einem Nachrichtensymbol im Automatisierungskonto auf ein Benutzersymbol auf dem Server. Pfeil 9 zeigt vom Zertifikat im Key Vault auf den Server.

Laden Sie eine Visio-Datei dieses Workflows herunter.

Der folgende Workflow entspricht dem vorherigen Diagramm:

1. Key Vault-Konfiguration: Die erste Phase des Erneuerungsprozesses umfasst das Speichern des Zertifikatobjekts im angegebenen Zertifikatabschnitt des Schlüsseltresors.

   Es wird empfohlen, dass Sie Zertifikattags verwenden, um benutzerdefinierte E-Mail-Benachrichtigungen zu konfigurieren, indem Sie jedes Zertifikat mit der E-Mail-Adresse des Empfängers kategorisieren. Mit diesem Ansatz können Sie bestimmte Administratoren für jedes Zertifikat benachrichtigen, anstatt denselben Empfänger auf alle Zertifikate anzuwenden. Verwenden Sie das Recipient-Tag , und legen Sie den Wert auf eine oder mehrere E-Mail-Adressen fest, die durch ein Komma oder Semikolon getrennt sind. Tagbasierte Benachrichtigungen stellen rechtzeitige Warnungen sicher, wenn die Zertifikatverlängerung auf der internen Zertifizierungsstelle abgeschlossen ist und das erneuerte Zertifikat im Key Vault verfügbar wird.

   Sie können integrierte Key Vault-Zertifikatbenachrichtigungen in Kombination mit diesem Ansatz verwenden, aber sie dienen einem anderen Zweck. Integrierte Benachrichtigungen gelten global für alle Zertifikate im Schlüsseltresor und sind auf bevorstehende Zertifikatablaufwarnungen beschränkt. Sie verwenden denselben Empfänger für alle Zertifikate.

2. Konfiguration der Key Vault-Erweiterung: Sie müssen die Server ausstatten, die die Zertifikate mit der Key Vault-Erweiterung verwenden müssen. Die Erweiterung ist kompatibel mit Windows - und Linux-Systemen . Es unterstützt Azure-Infrastruktur als Dienst (IaaS)-Server und lokale oder andere Cloudserver, die über Azure Arc integriert werden. Konfigurieren Sie die Key Vault-Erweiterung, um regelmäßig nach aktualisierten Zertifikaten in Key Vault zu suchen. Das Abrufintervall ist anpassbar und flexibel, sodass es an bestimmte betriebliche Anforderungen angepasst werden kann.

   Hinweis

   Bei einigen Linux-Distributionen oder gehärteten Unternehmensabbildern ist die Key Vault-Erweiterung möglicherweise nicht verfügbar oder wird nicht unterstützt. Planen Sie in diesen Fällen das script_for_not_supported_ARC_on_Linux_distro Skript als einen empfohlenen Fallback ein. Das Skript überprüft in regelmäßigen Abständen Key Vault auf Zertifikatupdates und wendet sie auf den Server an. Sie kann auf azure nativen VMs (IaaS) und lokalen Servern ausgeführt werden, die in Azure Arc integriert sind.

3. Event Grid-Integration: Wenn ein Zertifikat kurz vor dem Ablauf steht, werden zwei Event Grid-Abonnements aktiviert, um dieses wichtige Lebensdauerereignis aus dem Schlüsseltresor abzufangen.

4. Ereignisrasterauslöser: Ein Event Grid-Abonnement sendet Zertifikatverlängerungsinformationen an eine Speicherkontowarteschlange. Das andere Abonnement löst über den im Automatisierungskonto konfigurierten Webhook den Start eines Runbooks aus. Wenn das Runbook das Zertifikat nicht verlängern kann oder die Zertifizierungsstelle nicht verfügbar ist, versucht ein geplanter Prozess, das Runbook von diesem Zeitpunkt an zu verlängern, bis sich die Warteschlange leert. Dieser Prozess macht die Lösung äußerst robust.

   Um die Resilienz der Lösung zu verbessern, richten Sie einen Dead-Letter-Location-Mechanismus ein. Es verwaltet potenzielle Fehler, die während der Nachrichtentransaktion von Event Grid zu den Abonnementzielen, der Speicherwarteschlange und dem Webhook auftreten können.

5. Speicherkontowarteschlange: Das Runbook wird auf dem CA-Server gestartet, der als Automatisierungs-Hybrid-Runbook-Worker konfiguriert ist. Es empfängt alle Nachrichten in der Speicherkonto-Warteschlange, die den Namen des auslaufenden Zertifikats und den Key Vault enthalten, der das Runbook hostet. Die folgenden Schritte erfolgen für jede Nachricht in der Warteschlange.

6. Zertifikatsverlängerung: Das Skript im Runbook verbindet sich mit Azure, um den Vorlagennamen des Zertifikats abzurufen, den Sie während der Erstellung festgelegt haben. Die Vorlage ist die Konfigurationskomponente der Zertifizierungsstelle, die die Attribute und den Zweck der von ihr generierten Zertifikate definiert.

   Nachdem das Skript eine Verbindung mit dem Key Vault hergestellt hat, wird eine Anforderung zur Zertifikatverlängerung initiiert. Diese Anforderung löst Key Vault zum Generieren einer Zertifikatsignaturanforderung (CSR) aus und wendet dieselbe Vorlage an, die das ursprüngliche Zertifikat generiert hat. Dieser Prozess gewährleistet, dass das erneuerte Zertifikat mit den vordefinierten Sicherheitsrichtlinien übereinstimmt. Weitere Informationen zur Sicherheit im Authentifizierungs- und Autorisierungsprozess finden Sie unter "Sicherheit".

   Das Skript lädt die CSR herunter und sendet sie an die CA.

   Die CA generiert ein neues x509-Zertifikat auf der Grundlage der richtigen Vorlage und sendet es an das Skript zurück. Dieser Schritt stellt sicher, dass das erneuerte Zertifikat mit den vordefinierten Sicherheitsrichtlinien übereinstimmt.

7. Certificate integrieren und Key Vault Aktualisierung: Das Skript integriert das erneuerte Zertifikat wieder in den Key Vault. In diesem Schritt wird der Aktualisierungsprozess abgeschlossen und die Nachricht aus der Warteschlange entfernt. Während des gesamten Prozesses wird der private Schlüssel des Zertifikats nie aus dem Key Vault entnommen.

8. Überwachung und E-Mail-Benachrichtigung: Alle Protokolle im Zusammenhang mit Vorgängen, die in verschiedenen Azure-Komponenten ausgeführt werden, einschließlich Automatisierungskonto, Key Vault, Speicherkontowarteschlange und Ereignisraster, sollten an den Azure Monitor Logs-Arbeitsbereich gesendet werden. Nachdem das Zertifikat in den Key Vault übertragen wurde, sendet das Skript eine E-Mail-Nachricht an die Administratoren, um sie über das Ergebnis zu informieren.

9. Certificate retrieval: Die Key Vault-Erweiterung auf dem Server spielt in dieser Phase eine wichtige Rolle. Es lädt automatisch die neueste Version des Zertifikats aus dem Schlüsseltresor in den lokalen Speicher des Servers herunter, der das Zertifikat verwendet. Sie können mehrere Server mit der Key Vault-Erweiterung konfigurieren, um dasselbe Zertifikat aus dem Schlüsseltresor abzurufen, einschließlich der Wildcard oder mit mehreren SAN-Zertifikaten (Subject Alternative Name).

   Planen Sie für Linux-Distributionen, bei denen Sie die Key Vault-Erweiterung nicht installieren können, das script_for_not_supported_ARC_on_Linux_distro Skript ein, um die gleiche Funktionalität wie die Erweiterung zu erreichen.

Komponenten

Diese Lösung verwendet verschiedene Komponenten, um die automatische Zertifikatverlängerung in Azure zu verarbeiten. In den folgenden Abschnitten wird jede Komponente und ihr spezifischer Zweck beschrieben.

Key Vault Erweiterung

Die Key Vault-Erweiterung ist ein Auf Servern installiertes Tool, das die automatische Aktualisierung von Zertifikaten bereitstellt, die in einem Azure Key Vault gespeichert sind. In dieser Architektur müssen Sie die Key Vault-Erweiterung auf Servern installieren, die eine automatische Zertifikatverlängerung erfordern. Weitere Informationen zu Installationsverfahren für verschiedene Server finden Sie in den folgenden Artikeln:

• Key Vault-Erweiterung für Windows
• Key Vault-Erweiterung für Linux
• Key Vault-Erweiterung für Azure Arc-fähige Server

Hinweis

Die folgenden Skripts sind Beispiele, die Sie von Azure Cloud Shell ausführen können, um die Key Vault-Erweiterung zu konfigurieren:

• Key Vault erweiterung für Windows Server
• Key Vault erweiterung für Linux-Server
• Key Vault erweiterung für Azure Arc-fähige Windows Server
• Key Vault erweiterung für Azure Arc-fähige Linux-Server

Zu den konfigurationsparametern für die Key Vault Erweiterung gehören:

• Key Vault Name: Der Key Vault, der das Zertifikat zur Erneuerung enthält.

• Zertifikatname: Der Name des zu erneuernden Zertifikats.

• Zertifikatspeicher, Name und Speicherort: Der Zertifikatspeicher, in dem das Zertifikat gespeichert ist. Auf Windows Servern ist der Standardwert für NameMy und LocationLocalMachine, d. h. der persönliche Zertifikatspeicher des Computers. Auf Linux-Servern können Sie einen Dateisystempfad angeben, vorausgesetzt, der Standardwert ist AzureKeyVault, bei dem es sich um den Zertifikatspeicher für Key Vault handelt.

• linkOnRenewal: Ein Flag, das angibt, ob das Zertifikat bei der Verlängerung mit dem Server verknüpft werden soll. Wenn das Kennzeichen auf true auf Windows-Computern festgelegt ist, kopiert es das neue Zertifikat in den Zertifikatsspeicher und verknüpft es mit dem alten Zertifikat, wodurch die Bindung des Zertifikats effektiv erneuert wird. Der Standardwert lautet false, was bedeutet, dass eine explizite Bindung erforderlich ist.

• pollingIntervalInS: Das Abrufintervall für die Key Vault-Erweiterung, um nach Zertifikataktualisierungen zu suchen. Der Standardwert ist 3600 Sekunden (1 Stunde).

• authenticationSetting: Die Authentifizierungseinstellung für die Key Vault Erweiterung. Bei Azure-Servern können Sie diese Einstellung weglassen, sodass die Erweiterung die vom System zugewiesene verwaltete Identität der VM verwendet, um sich beim Schlüsseltresor zu authentifizieren. Bei lokalen Servern verwendet die Erweiterung, wenn Sie die Einstellung msiEndpoint = "http://localhost:40342/metadata/identity"angeben, den Dienstprinzipal, der dem Computerobjekt zugeordnet ist, das während des Azure Arc-Onboardings erstellt wurde.

Hinweis

Geben Sie die Key Vault Erweiterungsparameter nur während der ersteinrichtung an. Durch diesen Ansatz wird sichergestellt, dass die Parameter während des gesamten Erneuerungsprozesses unverändert bleiben.

Automation-Konto

Ein Automatisierungskonto ist ein cloudbasierter Dienst, der Aufgaben über Runbooks automatisiert. In dieser Architektur behandelt sie den Zertifikaterneuerungsprozess. Sie müssen das Konto mit einem Runbook mithilfe des Skripts PowerShell konfigurieren.

Außerdem müssen Sie eine Hybrid Worker-Gruppe erstellen. Ordnen Sie die Hybrid Worker-Gruppe einem Windows Server-Computer in derselben Active Directory-Domäne der Zertifizierungsstelle zu, vorzugsweise der Zertifizierungsstelle selbst, um Runbooks zu starten.

Das Runbook muss über einen zugeordneten Webhook verfügen, der vom Hybrid Runbook Worker initiiert wird. Konfigurieren Sie die Webhook-URL im Ereignisabonnement des Systemthemas Ereignisraster.

Warteschlange für Speicherkonten

Die Speicherkontowarteschlange ist eine Nachrichtenwarteschlange innerhalb Azure Storage. In dieser Architektur werden die Nachrichten gespeichert, die den Namen des Zertifikats enthalten, das erneuert wird, und den Schlüsseltresor, der das Zertifikat enthält. Konfigurieren Sie die Warteschlange des Speicherkontos im Ereignisabonnement des Systemthemas Ereignisraster. Die Warteschlange handhabt die Entkopplung des Skripts vom Benachrichtigungsereignis über den Ablauf des Zertifikats. Sie unterstützt die Speicherung des Ereignisses in einer Warteschlangennachricht. Dieser Ansatz trägt dazu bei, sicherzustellen, dass der Erneuerungsprozess für Zertifikate durch geplante Aufträge auch dann wiederholt wird, wenn während der Ausführung des Skripts Probleme auftreten.

Hybrid Runbook Worker

Der Hybrid-Runbook-Worker ist ein Feature der Automatisierung, die Sie zum Ausführen von Runbooks auf Computern verwenden, die sich in einem Rechenzentrum befinden. In dieser Architektur führt das System das Runbook für die Zertifikaterneuerung aus. Installieren Sie den Hybrid Runbook Worker mithilfe der Azure Hybrid Worker-Erweiterungsmethode , die den unterstützten Modus für eine neue Installation darstellt. Sie erstellen den Worker und ordnen ihn einem Windows Server-Mitglied in derselben Active Directory-Domäne der Zertifizierungsstelle zu, idealerweise die Zertifizierungsstelle selbst.

Key Vault

Key Vault ist das sichere Repository für Zertifikate. In dieser Architektur werden zertifikate gespeichert, die nur von derselben nicht integrierten Zertifizierungsstelle ausgestellt wurden. Ordnen Sie im Abschnitt "Ereignistresor" das Thema "Event Grid"-System dem Webhook des Automatisierungskontos und einem Abonnement zu.

Ereignisraster

Ereignisraster ist ein Ereignisroutingdienst. In dieser Architektur behandelt sie die ereignisgesteuerte Kommunikation in Azure. Konfigurieren Sie das Ereignisraster, indem Sie das Systemthema und das Ereignisabonnement einrichten, um relevante Ereignisse zu überwachen. Relevante Ereignisse umfassen Zertifikatablaufwarnungen, Aktionen, die innerhalb des Automatisierungsworkflows ausgelöst werden, und Nachrichten, die in der Speicherkontowarteschlange veröffentlicht wurden. Konfigurieren Sie das Thema "Ereignisrastersystem" mithilfe der folgenden Parameter:

• Quelle: Der Name des Schlüsseltresors, der die Zertifikate enthält.

• Quelltyp: Der Typ der Quelle. Der Quelltyp für diese Lösung ist z. B. Azure Key Vault.

• Ereignistyp: Der zu überwachende Ereignistyp. Der Ereignistyp für diese Lösung ist zum Beispiel Microsoft.KeyVault.CertificateNearExpiry. Dieses Ereignis wird ausgelöst, wenn ein Zertifikat bald abläuft.

• Abonnement für Webhook:

  • Abonnementname: Der Name des Ereignisabonnements.

  • Endpunkttyp: Der Typ des zu verwendenden Endpunkts. Der Endpunkttyp für diese Lösung ist zum Beispiel Webhook.

  • Endpunkt: Die URL des Webhooks, der dem Runbook des Automatisierungskontos zugeordnet ist. Weitere Informationen finden Sie unter Automatisierungskonto.

• Abonnement für StorageQueue:

  • Abonnementname: Der Name des Ereignisabonnements.

  • Endpunkttyp: Der Typ des zu verwendenden Endpunkts. Der Endpunkttyp für diese Lösung ist zum Beispiel StorageQueue.

  • Endpunkt: Die Speicherkontowarteschlange.

Log Analytics Arbeitsbereich und Azure Arbeitsmappe

Log Analytics-Arbeitsbereiche und Azure-Arbeitsmappen sind Azure-Ressourcen, die Daten sammeln, aggregieren und analysieren. In dieser Architektur verbessern sie die Überwachung und Visualisierung von Zertifikatstatus, die in Key Vault gespeichert sind. Diese Komponenten sind entscheidend für die Aufrechterhaltung der Sichtbarkeit des Zertifikatszustands:

• Log Analytics-Arbeitsbereich: Sammelt und speichert Daten zu Zertifikatszuständen. Es identifiziert abgelaufene Zertifikate, Zertifikate, die bald ablaufen, und gültige Zertifikate.

• Azure-Arbeitsmappe: Ruft Daten aus dem Log Analytics-Arbeitsbereich ab und stellt sie in einem Dashboard mit visuellen Darstellungen wie Kreisdiagrammen und detaillierten Tabellen dar. Es kategorisiert Zertifikate in "Nicht abgelaufen" (grün), "Bald ablaufen " (gelb) und "Abgelaufen" (rot).

Die folgenden Komponenten rufen Zertifikatinformationen in der Arbeitsmappe ab und präsentieren diese:

• Ausführung des Datenaufnahme-Runbook: Ein Runbook wird direkt aus Azure ausgeführt, ohne dass der Kontext eines Hybrid-Workers erforderlich ist. Das Runbook ruft Zertifikatdaten aus dem Schlüsseltresor ab und sendet sie an eine benutzerdefinierte Tabelle, die im Log Analytics-Arbeitsbereich definiert ist. Das Runbook wird auf einer geplanten Frequenz ausgeführt.

• Arbeitsmappenvisualisierung: Eine Arbeitsmappe fragt die Daten aus der benutzerdefinierten Tabelle ab und zeigt sie sowohl in einem Kreisdiagramm als auch in einer detaillierten Tabelle an. Es hebt Zertifikate basierend auf ihrem Ablaufstatus hervor.

Durch die Integration dieser zusätzlichen Komponenten erstellt Ihre Lösung einen umfassenderen Ansatz für die Lebenszyklusverwaltung von Zertifikaten.

Alternativen

Diese Lösung verwendet ein Automatisierungskonto, um den Zertifikaterneuerungsprozess zu koordinieren. Außerdem wird der Hybrid Runbook Worker eingesetzt, um flexible Integrationsmöglichkeiten mit einer lokalen CA oder anderen Clouds bereitzustellen.

Ein alternativer Ansatz besteht darin, Azure Logic Apps zu verwenden. Der Hauptunterschied zwischen den beiden Ansätzen besteht darin, dass das Automatisierungskonto eine PaaS-Lösung ist, und Logic Apps ist eine Software as a Service (SaaS)-Lösung.

Logic Apps ist ein vollständig verwalteter Dienst, sodass Sie die zugrunde liegende Infrastruktur nicht verwalten müssen. Sie kann auch mit externen Anschlüssen integriert werden. Diese Funktion erweitert den Bereich der Benachrichtigungsoptionen, z. B. die Interaktion mit Microsoft Teams oder Microsoft 365.

Logik-Apps verfügen nicht über eine Funktion, die dem Hybrid Runbook Worker ähnelt, was zu einer weniger flexiblen Integration mit der CA führt, daher ist ein Automatisierungskonto der bevorzugte Ansatz.

Details zum Szenario

Jede Organisation erfordert eine sichere und effiziente Verwaltung ihres Zertifikatlebenszyklus. Wird ein Zertifikat nicht vor Ablauf der Gültigkeit aktualisiert, kann dies zu Dienstunterbrechungen führen und erhebliche Kosten für das Unternehmen verursachen.

Unternehmen betreiben in der Regel komplexe IT-Infrastrukturen, die mehrere Teams betreffen, die für den Zertifikatlebenszyklus verantwortlich sind. Der manuelle Prozess der Zertifikatserneuerung führt häufig zu Fehlern und verschlingt wertvolle Zeit.

Diese Lösung behebt diese Herausforderungen, indem die vom Microsoft-Zertifikatdienst ausgestellte Zertifikatverlängerung automatisiert wird. Der Dienst wird häufig für verschiedene Serveranwendungen verwendet, z. B. Webserver und SQL-Server, und für Verschlüsselung, Nichtabstreitbarkeit, Signaturzwecke und sicherstellung von zeitnahen Updates und sicheren Zertifikatspeichern im Key Vault. Die Kompatibilität des Diensts mit Azure Servern und lokalen Servern unterstützt eine flexible Bereitstellung.

Mögliche Anwendungsfälle

Diese Lösung richtet sich an Unternehmen aus verschiedenen Branchen, die:

• Verwenden Sie den Microsoft Certificate Service für die Erstellung von Serverzertifikaten.

• Erfordern Sie eine Automatisierung des Zertifikatverlängerungsprozesses, um die Abläufe zu beschleunigen und Fehler zu minimieren, wodurch Geschäftsverluste und Verletzungen von Service-Level-Agreements (SLAs) vermieden werden können.

• Benötigen Sie sicheren Zertifikatspeicher in Repositorys wie Key Vault.

Diese Architektur dient als grundlegender Bereitstellungsansatz für Zielzonenabonnements für Anwendungen.

Hinweis

Sie können dasselbe Lebenszyklusmuster auf Azure App Service-, Azure-Anwendungsgateway- und Kubernetes-Workloads erweitern, die in Key Vault integriert sind.

Überlegungen

Diese Überlegungen implementieren die Säulen des Azure Well-Architected-Frameworks, die eine Reihe von Leitsätzen sind, die Sie verwenden können, um die Qualität einer Arbeitsauslastung zu verbessern. Weitere Informationen finden Sie unter Well-Architected Framework.

Sicherheit

Sicherheit bietet Sicherheitsmaßnahmen gegen bewusste Angriffe und den Missbrauch Ihrer wertvollen Daten und Systeme. Weitere Informationen finden Sie unter Entwurfsprüfliste für die Sicherheit.

Key Vault speichert Zertifikate sicher als verschlüsselte geheime Schlüssel, die durch die rollenbasierte Zugriffssteuerung (Azure RBAC) geschützt sind.

Tip

In Umgebungen mit strengen Complianceanforderungen, z. B. NIS2- oder public-sector-Vorschriften, sollten Sie die Bewertung von Azure Key Vault Premium für DEN HSM-gesicherten Schlüsselschutz in Betracht ziehen, wenn Sie den in diesem Artikel beschriebenen Zertifikatverlängerungsworkflow beibehalten müssen.

Während des gesamten Zertifikaterneuerungsprozesses verwenden die folgenden Komponenten Identitäten:

• Das Systemkonto des Hybrid Runbook Workers, das unter dem Konto des virtuellen Computers betrieben wird

• Die Key Vault-Erweiterung, die die verwaltete Identität verwendet, die der VM zugeordnet ist

• Das Automatisierungskonto, das die ihm zugewiesene verwaltete Identität verwendet,

Das Prinzip der minimalen Rechte wird für alle Identitäten, die am Zertifikaterneuerungsprozess beteiligt sind, streng durchgesetzt.

Das Systemkonto des Hybrid Runbook Worker-Servers muss das Recht haben, Zertifikate für eine oder mehrere Zertifikatsvorlagen zu registrieren, die neue Zertifikate generieren.

Auf dem key vault, der die Zertifikate enthält, muss die Identität des Automatisierungskontos über die Rolle Key Vault Certificate Officer verfügen. Darüber hinaus müssen Server, die den Zertifikatzugriff erfordern, über Get und List Berechtigungen im Key Vault Zertifikatspeicher verfügen.

In der Speicherkonto-Warteschlange muss die Identität des Automatisierungskontos die Rollen Storage Queue Data Contributor, Reader and Data Access und Reader haben.

In Szenarien, in denen die Key Vault-Erweiterung auf einer Azure-VM bereitgestellt wird, erfolgt die Authentifizierung über die verwaltete Identität des virtuellen Computers. Wenn die Erweiterung jedoch auf einem Azure Arc-fähigen Server bereitgestellt wird, übernimmt ein Dienstprinzipal die Authentifizierung. Sie müssen die Schlüsselbund-Geheimnisbenutzerrolle innerhalb des Schlüsseltresors zuweisen, in dem das Zertifikat gespeichert ist, sowohl der verwalteten Identität als auch dem Dienstprinzipal. Sie müssen eine geheime Rolle verwenden, da das Zertifikat im Key Vault als Geheimnis gespeichert wird.

Kostenoptimierung

Die Kostenoptimierung konzentriert sich auf Möglichkeiten, unnötige Ausgaben zu reduzieren und die betriebliche Effizienz zu verbessern. Weitere Informationen finden Sie unter Design Review-Checkliste für die Kostenoptimierung.

Diese Lösung verwendet Azure PaaS-Lösungen, die unter einem pay-as-you-go-Framework arbeiten, um Die Kosten zu optimieren. Die Ausgaben hängen von der Anzahl der Zertifikate ab, die Erneuerung benötigen, und der Anzahl der Server, die mit der Key Vault Erweiterung ausgestattet sind, was zu geringem Mehraufwand führt.

Ausgaben, die sich aus der Key Vault Erweiterung und dem Hybrid Runbook Worker ergeben, hängen von Ihren Installationsentscheidungen und Abrufintervallen ab. Die Kosten für das Ereignisraster entsprechen dem Ereignisvolumen, das Key Vault generiert. Die Kosten des Automatisierungskontos korrelieren mit der Anzahl der von Ihnen verwendeten Runbooks.

Die Kosten von Key Vault hängen von verschiedenen Faktoren ab, einschließlich Standard- oder Premium-SKUs, der Menge der gespeicherten Zertifikate und der Häufigkeit der Vorgänge, die auf den Zertifikaten durchgeführt werden.

Ähnliche Überlegungen für die Key Vault-Konfiguration gelten für das Speicherkonto. In diesem Szenario reicht eine Standard-SKU mit lokal redundanter Speicherreplikation für das Speicherkonto aus. Im Allgemeinen sind die Kosten für die Warteschlange des Speicherkontos minimal.

Um die Kosten für die Implementierung dieser Lösung zu schätzen, verwenden Sie den Azure Preisrechner. Geben Sie die in diesem Artikel beschriebenen Dienste ein.

Operative Exzellenz

„Optimaler Betrieb“ deckt die Betriebsprozesse ab, die für die Bereitstellung einer Anwendung und deren Ausführung in der Produktion sorgen. Weitere Informationen finden Sie in der Checkliste zur Designüberprüfung für operationale Exzellenz.

Das automatische Zertifikaterneuerungsverfahren speichert Zertifikate sicher, indem standardisierte Prozesse für alle Zertifikate im Schlüsseltresor angewendet werden.

Die Integration in das Ereignisraster löst ergänzende Aktionen aus, z. B. das Benachrichtigen von Microsoft Teams oder Microsoft 365 und das Optimieren des Verlängerungsprozesses. Diese Integration reduziert die Zertifikatverlängerungszeit erheblich und verringert das Potenzial für Fehler, die zu Geschäftsunterbrechungen und SLA-Verstößen führen können.

Die Integration in Azure Monitor, Microsoft Sentinel, Microsoft Security Copilot und Microsoft Defender for Cloud erleichtert die kontinuierliche Überwachung des Zertifikaterneuerungsprozesses. Sie unterstützt die Erkennung von Anomalien und trägt dazu bei, dass robuste Sicherheitsmaßnahmen aufrechterhalten werden. Defender für Cloud trägt in erster Linie durch die Sicherheitslageverwaltung und Warnungskorrelation statt durch die direkte Abwicklung von Zertifikatverlängerungsereignissen bei.

Dieses Szenario bereitstellen

Wählen Sie die folgende Schaltfläche, um die in diesem Artikel beschriebene Umgebung bereitzustellen. Die Bereitstellung dauert etwa zwei Minuten und erstellt einen Schlüsseltresor, ein Ereignis-Grid-Systemthema, das mit den beiden Abonnements konfiguriert ist, ein Speicherkonto, das die CERTLC-Warteschlange enthält, und ein Automatisierungskonto, das das Runbook und das Webhook enthält, die beide mit Event Grid verknüpft sind.

Weitere Informationen zu den Parametern, die Sie für die Bereitstellung benötigen, finden Sie im Codebeispielportal .

Wichtig

Sie können eine vollständige Laborumgebung bereitstellen, um den gesamten Arbeitsablauf der automatischen Zertifikatserneuerung zu demonstrieren. Verwenden Sie das Codebeispiel , um die folgenden Ressourcen bereitzustellen:

• Active Directory Domain Services (AD DS) innerhalb einer Domänencontroller-VM.

• Active Directory Certificate Services (AD CS) innerhalb einer Zertifizierungsstelle-VM, die der Domäne beigetreten ist und mit einer Vorlage, WebServerShort, konfiguriert wurde, um die Zertifikate zur Erneuerung einzuschreiben.

• Ein Windows Simple Mail Transfer Protocol (SMTP)-Server , der auf demselben virtuellen Computer wie die Zertifizierungsstelle zum Senden von E-Mail-Benachrichtigungen installiert ist. MailViewer wird auch installiert, um die gesendeten E-Mail-Benachrichtigungen zu überprüfen.

• Die auf dem Domänencontroller-VM installierte Key Vault-Erweiterung wird verwendet, um die erneuerten Zertifikate über die Key Vault abzurufen.

Beitragende

Microsoft verwaltet diesen Artikel. Die folgenden Mitwirkenden haben diesen Artikel geschrieben.

Hauptautoren:

• Fabio Masciotra | Senior Cloud Solution Architect
• Angelo Mazzucchi | Hauptberater

Um nicht-öffentliche LinkedIn-Profile zu sehen, melden Sie sich bei LinkedIn an.

Verwandte Ressourcen

• Key Vault
• Key Vault-Erweiterung für Windows
• Key Vault-Erweiterung für Linux
• Automatisierungsübersicht
• Übersicht über Automation Hybrid Runbook Worker
• Event Grid – Übersicht