Verlängern Ihrer Azure Key Vault-Zertifikate

Azure Key Vault ermöglicht Ihnen das einfache Bereitstellen und Verwalten von digitalen Zertifikaten für Ihr Netzwerk und das Aktivieren der sicheren Kommunikation für Ihre Anwendungen. Weitere Informationen zu Zertifikaten finden Sie unter Informationen zu Azure Key Vault-Zertifikaten.

Indem Sie Zertifikate mit kurzer Lebensdauer verwenden oder die Häufigkeit der Zertifikatrotation erhöhen, können Sie verhindern, dass nicht autorisierte Benutzer auf Ihre Anwendungen zugreifen.

In diesem Artikel wird beschrieben, wie Sie Ihre Azure Key Vault-Zertifikate verlängern.

Erhalten von Benachrichtigungen zum Zertifikatablauf

Sie müssten einen Zertifikatkontakt hinzufügen, um über Ereignisse zur Zertifikatlebensdauer benachrichtigt zu werden. Zertifikatkontakte enthalten Kontaktinformationen zum Senden von Benachrichtigungen, die durch Zertifikatlebensdauer-Ereignisse ausgelöst werden. Die Kontaktinformationen werden von allen Zertifikaten im Schlüsseltresor gemeinsam genutzt. Eine Benachrichtigung zu einem Ereignis eines beliebigen Zertifikats im Schlüsseltresor wird an alle angegebenen Kontakte gesendet.

Schritte zum Festlegen von Zertifikatbenachrichtigungen

Fügen Sie zunächst einen Zertifikatkontakt zu Ihrem Schlüsseltresor hinzu. Sie können zum Hinzufügen das Azure-Portal oder das PowerShell-Cmdlet Add-AzKeyVaultCertificateContact nutzen.

Konfigurieren Sie als Nächstes, wann Sie über den Ablauf des Zertifikats benachrichtigt werden möchten. Informationen zum Konfigurieren der Lebenszyklusattribute des Zertifikats finden Sie unter Konfigurieren der automatischen Zertifikatrotation in Key Vault.

Wenn für die Richtlinie eines Zertifikats eine automatische Verlängerung festgelegt ist, wird bei den folgenden Ereignissen eine Benachrichtigung gesendet:

• Vor der Zertifikatverlängerung
• Nach der Zertifikatverlängerung, um mitzuteilen, ob das Zertifikat erfolgreich verlängert wurde, oder ob ein Fehler aufgetreten ist, sodass die manuelle Zertifikatverlängerung erforderlich ist.

Wenn für eine Zertifikatrichtlinie die manuelle Verlängerung festgelegt ist (nur E-Mail), wird eine Benachrichtigung gesendet, sobald das Zertifikat verlängert werden muss.

In Key Vault gibt es drei Kategorien von Zertifikaten:

• Zertifikate, die mit einer integrierten Zertifizierungsstelle (ZS) erstellt werden, z. B. DigiCert oder GlobalSign
• Zertifikate, die mit einer nicht integrierten Zertifizierungsstelle erstellt werden
• Selbstsignierte Zertifikate

Verlängern eines Zertifikats mit einer integrierten Zertifizierungsstelle

Azure Key Vault führt die End-to-End-Wartung von Zertifikaten durch, die von den vertrauenswürdigen Microsoft-Zertifizierungsstellen DigiCert und GlobalSign ausgestellt werden. Erfahren Sie, wie Sie eine vertrauenswürdige Zertifizierungsstelle in Key Vault integrieren. Beim Erneuern eines Zertifikats wird eine neue Geheimnisversion mit einem neuen Key Vault-Bezeichner erstellt.

Verlängern eines Zertifikats mit einer nicht integrierten Zertifizierungsstelle

Mit Azure Key Vault können Sie Zertifikate von einer beliebigen Zertifizierungsstelle importieren. Dieser Vorteil ermöglicht Ihnen die Integration in mehrere Azure-Ressourcen und eine einfache Bereitstellung. Falls Sie Bedenken haben, dass Sie den Überblick über Ihre Ablaufdaten der Zertifikate verlieren, oder ein Zertifikat bereits abgelaufen ist, können Sie die Schlüsseltresorfunktionen nutzen, um auf dem Laufenden gehalten zu werden. Bei Zertifikaten mit einer nicht integrierten Zertifizierungsstelle können Sie über den Schlüsseltresor E-Mail-Benachrichtigungen einrichten, die kurz vor dem Ablauf gesendet werden. Diese Benachrichtigungen können auch für mehrere Benutzer festgelegt werden.

Wichtig

Ein Zertifikat ist ein Objekt mit Versionsangabe. Wenn die aktuelle Version abläuft, müssen Sie eine neue Version erstellen. Vom Konzept her handelt es sich bei jeder neuen Version um ein neues Zertifikat, das aus einem Schlüssel und einem Blob besteht, mit dem der Schlüssel mit einer Identität verknüpft wird. Bei Verwendung einer Zertifizierungsstelle, mit der keine Partnerschaft besteht, wird vom Schlüsseltresor ein Schlüssel-Wert-Paar generiert und eine Zertifikatsignieranforderung (Certificate Signing Request, CSR) zurückgegeben.

So verlängern Sie ein Zertifikat mit einer nicht integrierten Zertifizierungsstelle

Azure portal

1. Melden Sie sich beim Azure-Portal an, und öffnen Sie dann das Zertifikat, das Sie verlängern möchten.
2. Wählen Sie im Zertifikatbereich die Option Neue Version aus.
3. Vergewissern Sie sich auf der Seite Zertifikat erstellen, dass unter Methode der Zertifikaterstellung die Option Generieren ausgewählt ist.
4. Überprüfen Sie den Antragsteller und weitere Details zum Zertifikat, und wählen Sie dann Erstellen aus.
5. Die Meldung Die Erstellung des Zertifikats <<Zertifikatname>> steht zurzeit aus. Klicken Sie hier, um zum Zertifikatvorgang zu wechseln und den Fortschritt zu überwachen wird angezeigt.
6. Klicken Sie auf die Nachricht, damit ein neuer Bereich angezeigt wird. Im Bereich sollte der Status „In Bearbeitung“ angezeigt werden. Von Key Vault wurde bereits ein CSR generiert, den Sie mit der Option CSR herunterladen herunterladen können.
7. Wählen Sie die Option CSR herunterladen aus, um eine CSR-Datei auf Ihr lokales Laufwerk herunterzuladen.
8. Senden Sie die CSR an die Zertifizierungsstelle Ihrer Wahl, um die Anforderung zu signieren.
9. Verwenden Sie die signierte Anforderung, und wählen Sie auf demselben Bildschirm „Zertifikatvorgang“ die Option Signierte Anforderung zusammenführen aus.
10. Nach der Zusammenführung lautet der Status Abgeschlossen. Zum Anzeigen der neuen Zertifikatversion klicken Sie im Hauptzertifikatbereich auf Aktualisieren klicken.

Azure-Befehlszeilenschnittstelle

Verwenden Sie den Azure CLI-Befehl az keyvault certificate create, und geben Sie den Namen des Zertifikats an, das Sie erneuern möchten:

az keyvault certificate create --vault-name "<your-unique-keyvault-name>" -n "<name-of-certificate-to-renew>" -p "$(az keyvault certificate get-default-policy)"

Nach der Erneuerung des Zertifikats können Sie alle Zertifikatversionen mithilfe des Azure CLI-Befehls az keyvault certificate list-versions anzeigen:

az keyvault certificate list-versions --vault-name "<your-unique-keyvault-name>" -n "<name-of-renewed-certificate>"

Azure PowerShell

Verwenden Sie das Azure PowerShell-Cmdlet New-AzKeyVaultCertificatePolicy, und geben Sie den Namen des Zertifikats an, das Sie erneuern möchten:

$Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "Self" -ValidityInMonths 6 -ReuseKeyOnRenewal

Add-AzKeyVaultCertificate -VaultName "<your-unique-keyvault-name>" -Name "<name-of-certificate-to-renew>" -CertificatePolicy $Policy

Nach der Erneuerung des Zertifikats können Sie alle Zertifikatversionen mithilfe des Azure PowerShell-Cmdlets Get-AzKeyVaultCertificate anzeigen:

Get-AzKeyVaultCertificate "<your-unique-keyvault-name>" -Name "<name-of-renewed-certificate>" -IncludeVersions

Hinweis

Es ist wichtig, dass Sie die signierte CSR mit derselben von Ihnen erstellten CSR-Anforderung mergen. Andernfalls ergibt sich für den Schlüssel keine Übereinstimmung.

Weitere Informationen zum Erstellen einer neuen CSR finden Sie unter Erstellen und Zusammenführen einer Zertifikatsignieranforderung in Key Vault.

Verlängern eines selbstsignierten Zertifikats

Von Azure Key Vault wird auch die automatische Verlängerung von selbstsignierten Zertifikaten durchgeführt. Weitere Informationen zur Änderung der Ausstellungsrichtlinie und Aktualisierung der Lebenszyklusattribute eines Zertifikats finden Sie unter Konfigurieren der automatischen Zertifikatrotation in Key Vault.

Nächste Schritte

• Häufig gestellte Fragen zur Zertifikatverlängerung von Azure Key Vault
• Integrieren von Key Vault in die DigiCert-Zertifizierungsstelle
• Tutorial: Konfigurieren der automatischen Zertifikatrotation in Key Vault