Renovación de los certificados de Azure Key Vault

  • Artículo

Con Azure Key Vault puede aprovisionar, administrar e implementar fácilmente certificados digitales para una red y habilitar comunicaciones seguras para las aplicaciones. Para más información acerca de los certificados, consulte Acerca de los certificados de Azure Key Vault.

Mediante el uso de certificados de corta duración o el aumento de la frecuencia de rotación de estos, puede evitar el acceso a las aplicaciones por parte de usuarios no autorizados.

En este artículo se describe cómo renovar los certificados de Azure Key Vault.

Obtención de notificaciones sobre expiraciones de certificados

Para recibir notificaciones sobre los eventos de vida de un certificado, deberá agregar el contacto del certificado. Los contactos de certificados contienen información de contacto para enviar notificaciones desencadenadas por los eventos de vigencia del certificado. La información de los contactos es compartida por todos los certificados del almacén de claves. Se envía una notificación a todos los contactos especificados para un evento de cualquier certificado del almacén de claves.

Pasos para establecer notificaciones de certificado

En primer lugar, agregue un contacto del certificado al almacén de claves. Puede hacerlo mediante Azure Portal o el cmdlet Add-AzKeyVaultCertificateContactde PowerShell.

En segundo lugar, configure cuándo desea recibir una notificación sobre la expiración del certificado. Para configurar los atributos del ciclo de vida del certificado, consulte Configuración de la rotación automática de certificados en Key Vault.

Si se establece que la directiva de un certificado se renueve automáticamente, se envía una notificación en los siguientes eventos:

  • Antes de la renovación del certificado
  • Tras la renovación del certificado, indicando si el certificado se renovó correctamente o si se produjo un error que exige la renovación manual del certificado.

Si se establece que la directiva de un certificado se renueve manualmente (solo correo electrónico), cuando llega el momento de renovar el certificado se envía una notificación.

En Key Vault, hay tres categorías de certificados:

  • Certificados que se crean con una entidad de certificación (CA) integrada, como DigiCert o GlobalSign.
  • Certificados que se crean con una entidad de certificación no integrada.
  • Certificados autofirmados.

Renovación del certificado de una entidad de certificación integrada

Azure Key Vault se encarga del mantenimiento integral de los certificados que emiten las entidades de certificación de confianza de Microsoft; es decir, DigiCert y GlobalSign. Aprenda a integrar una entidad de certificación de confianza con Key Vault. Cuando se renueva un certificado, se crea una versión del secreto con un nuevo identificador de Key Vault.

Renovación del certificado de una entidad de certificación no integrada

Mediante Azure Key Vault, puede importar certificados de cualquier entidad de certificación, una ventaja que le permite la integración con varios recursos de Azure y facilita la implementación. Si le preocupa no saber exactamente cuándo expirará su certificado o, peor aún, ha descubierto que el certificado ya ha expirado, Key Vault puede ayudarle a mantenerse al día. En el caso de los certificados de una entidad de certificación no integrada, Key Vault le permite configurar notificaciones de correo electrónico que le avisan de una próxima expiración. Estas notificaciones también se pueden configurar para varios usuarios.

Importante

Un certificado es un objeto con versiones. Si la versión actual expira, debe crear una nueva versión. En términos conceptuales, cada nueva versión es un certificado nuevo compuesto por una clave y un blob que une esa clave a una identidad. Cuando se usa una entidad de certificación no asociada, Key Vault genera un par clave-valor y devuelve una solicitud de firma de certificado (CSR).

Para renovar un certificado de una entidad de certificación no integrada:

  1. Inicie sesión en Azure Portal y, a continuación, abra el certificado que desea renovar.
  2. En el panel Certificado, seleccione el botón + Nueva versión.
  3. En la página Crear un certificado, asegúrese de que la opción Generar está seleccionada en Método de creación de certificados.
  4. Compruebe el asunto y otros detalles del certificado y seleccione Crear.
  5. Ahora debería ver el mensaje La creación del certificado << nombre del certificado >> todavía está pendiente. Haga clic aquí para ir a Operación de certificados para supervisar el progreso
  6. Seleccione el mensaje y se mostrará un nuevo panel. El panel debe mostrar el estado como "En curso". Key Vault ha generado una CSR que se puede descargar con la opción Descargar CSR.
  7. Seleccione Descargar CSR para descargar un archivo CSR en la unidad local.
  8. Envíe el archivo CSR a la entidad de certificación de su elección para firmar la solicitud.
  9. Recupere la solicitud firmada y seleccione Combinar la solicitud firmada en el mismo panel Operación de certificados.
  10. El estado después de la combinación mostrará Completado y, en el panel de certificados principal, puede hacer clic en Actualizar para ver la nueva versión del certificado.

Nota:

Es importante fusionar el CSR firmado con la misma solicitud de CSR que creó. De lo contrario, la clave no coincidirá.

Para más información sobre la creación de un CSR, consulte Creación y Combinación de un CSR en Key Vault.

Renovación de un certificado autofirmado

Azure Key Vault también administra la renovación automática de certificados autofirmados. Para más información sobre el cambio de la directiva de emisión y la actualización de los atributos del ciclo de vida de un certificado, consulte Configuración de la rotación automática de certificados en Key Vault.

Pasos siguientes