Compartir a través de


Tutorial: Configuración de la rotación automática de certificados en Key Vault

El uso de Azure Key Vault permite realizar el aprovisionamiento, administración e implementación de certificados digitales de forma sencilla. Los certificados pueden ser certificados de Capa de sockets seguros (SSL) o de Seguridad de la capa de transporte (TLS) públicos y privados firmados por una entidad de certificación (CA) o autofirmados. Key Vault también puede solicitar y renovar certificados mediante asociaciones con entidades de certificación, lo que proporciona una solución sólida para la administración del ciclo de vida de los certificados. En este tutorial, actualizará los atributos de período de validez, frecuencia de rotación automática y entidad de certificación de un certificado.

En este tutorial se muestra cómo realizar las siguientes acciones:

  • Administrar un certificado mediante el Azure Portal.
  • Agregar una cuenta de proveedor de entidad de certificación.
  • Actualizar el período de validez del certificado.
  • Actualizar la frecuencia de rotación automática del certificado.
  • Actualizar los atributos del certificado mediante Azure PowerShell.

Antes de empezar, lea los conceptos básicos de Key Vault.

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Inicio de sesión en Azure

Inicie sesión en Azure Portal.

Creación de un almacén

Cree un almacén de claves mediante uno de estos tres métodos:

Creación de un certificado en Key Vault

Cree un certificado o impórtelo en el almacén de claves (consulte los pasos para crear un certificado en Key Vault). En este caso, trabajaremos en un certificado llamado ExampleCertificate.

Actualización de atributos del ciclo de vida del certificado

En Azure Key Vault, puede actualizar los atributos del ciclo de vida de un certificado tanto en el momento de la creación del certificado como después.

Un certificado creado en Key Vault puede ser:

  • Un certificado autofirmado.
  • Un certificado creado con una entidad de certificación asociada con Key Vault.
  • Un certificado creado con una entidad de certificación que no esté asociada a Key Vault.

Las siguientes entidades de certificación son los proveedores asociados actualmente con Key Vault:

  • DigiCert: Key Vault ofrece certificados SSL/TLS de OV o EV.
  • GlobalSign: Key Vault ofrece certificados SSL/TLS de OV o EV.

Key Vault rota automáticamente los certificados mediante asociaciones establecidas con las entidades de certificación. Dado que Key Vault solicita y renueva automáticamente los certificados mediante esta asociación, la funcionalidad de rotación automática no es aplicable a los certificados creados con entidades de certificación que no están asociadas con Key Vault.

Nota:

Un administrador de cuentas de un proveedor de entidades de certificación crea las credenciales que Key Vault utiliza para crear, renovar y usar certificados TLS/SSL. Entidad de certificación

Actualización de los atributos del ciclo de vida del certificado en el momento de la creación

  1. En las páginas de propiedades de Key Vault, seleccione Certificados.

  2. Seleccione Generar o importar.

  3. En la pantalla Crear un certificado, actualice los siguientes valores:

    • Periodo de validez: escriba el valor (en meses). Una práctica de seguridad recomendada es la creación de certificados de corta duración. De forma predeterminada, el valor de validez de un certificado recién creado es de 12 meses.

    • Tipo de acción de duración: Seleccione la acción de renovación automática y alertas del certificado y, a continuación, actualice Porcentaje de duración o Número de días antes de que expire. De forma predeterminada, la renovación automática de un certificado se establece en el 80 por ciento de su duración. En el menú desplegable, seleccione una de las opciones siguientes.

      Automatically renew at a given time (Renovar automáticamente en un momento dado) Email all contacts at a given time (Enviar por correo electrónico todos los contactos en un momento dado)
      Al seleccionar esta opción, se activa la rotación automática. Al seleccionar esta opción, no se realizará la rotación automática, solo se alertará a los contactos.

      Dispone de información sobre cómo configurar el contacto de correo electrónico en esta página.

  4. Seleccione Crear.

Ciclo de vida del certificado

Actualizar los atributos del ciclo de vida de un certificado almacenado

  1. Seleccione el almacén de claves.

  2. En las páginas de propiedades de Key Vault, seleccione Certificados.

  3. Seleccione el certificado que desea actualizar. En este caso, trabajaremos en un certificado llamado ExampleCertificate.

  4. Seleccione Directiva de emisión en la barra de menús superior.

    Captura de pantalla que resalta el botón Directiva de emisión.

  5. En la pantalla Directiva de emisión, actualice los valores siguientes:

    • Periodo de validez: actualice el valor (en meses).
    • Tipo de acción de duración: Seleccione la acción de renovación automática y alertas del certificado y, a continuación, actualice el Porcentaje de duración o Número de días antes de que expire.

    Propiedades del certificado

  6. Seleccione Guardar.

Importante

Al cambiar el tipo de acción de duración de un certificado, se registrarán inmediatamente las modificaciones de los certificados existentes.

Actualización de los atributos de certificado mediante PowerShell



Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName 
                                   -Name $certificateName 
                                   -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]

Sugerencia

Para modificar la directiva de renovación de una lista de certificados, escriba File.csv que contiene VaultName,CertName como en el ejemplo siguiente:
vault1,Cert1
vault2,Cert2

$file = Import-CSV C:\Users\myfolder\ReadCSVUsingPowershell\File.csv ​
foreach($line in $file)​
{​
Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName -Name $certificateName -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]
}

Para más información sobre los parámetros, consulte az keyvault certificate.

Limpieza de recursos

Otros tutoriales de Key Vault se basan en este tutorial. Si tiene previsto trabajar con estos tutoriales, debería mantener estos recursos existentes en su lugar. Cuando ya no lo necesite, elimine el grupo de recursos; de este modo se eliminarán también el almacén de claves y los recursos relacionados.

Para eliminar el grupo de recursos mediante el portal:

  1. Escriba el nombre del grupo de recursos en el cuadro de búsqueda de la parte superior del portal. Cuando vea el grupo de recursos que se utiliza en este inicio rápido en los resultados de búsqueda, selecciónelo.
  2. Seleccione Eliminar grupo de recursos.
  3. En el cuadro ESCRIBA EL NOMBRE DEL GRUPO DE RECURSOS: escriba el nombre del grupo de recursos y seleccione Eliminar.

Pasos siguientes

En este tutorial, ha actualizado los atributos del ciclo de vida de un certificado. Para más información sobre Key Vault y cómo integrarlo con las aplicaciones, continúe con los artículos siguientes: