Renouveler des certificats Azure Key Vault

Avec Azure Key Vault, vous pouvez facilement provisionner, gérer et déployer des certificats numériques pour votre réseau, et sécuriser les communications pour vos applications. Pour plus d’informations sur les certificats, consultez À propos des certificats Azure Key Vault.

En utilisant des certificats à courte durée de vie ou en augmentant la fréquence de rotation des certificats, vous pouvez empêcher les utilisateurs non autorisés d’accéder à vos applications.

Cet article explique comment renouveler vos certificats Azure Key Vault.

Recevoir des notifications concernant l’expiration des certificats

Pour être informé des événements de la durée de vie d’un certificat, vous devez ajouter le contact de ce dernier. Les contacts du certificat contiennent des informations de contact pour l’envoi de notifications déclenchées par des événements de durée de vie de certificat. Les informations de contact sont partagées par tous les certificats dans le coffre de clés. Une notification est envoyée à tous les contacts spécifiés pour un événement pour n’importe quel certificat dans le coffre de clés.

Étapes de définition des notifications de certificat

Tout d’abord, ajoutez un contact de certificat à votre coffre de clés. Vous pouvez l’ajouter en utilisant le portail Azure ou l’applet de commande PowerShell Add-AzKeyVaultCertificateContact.

Ensuite, configurez le moment où vous souhaitez être averti de l’expiration du certificat. Pour configurer les attributs de cycle de vie du certificat, consultez Configurer la rotation automatique d’un certificat dans Key Vault.

Si la stratégie d’un certificat est définie sur le renouvellement automatique, une notification est alors envoyée pour les événements suivants

• Avant le renouvellement du certificat
• Après le renouvellement du certificat, indiquant si le certificat a été renouvelé, ou si une erreur s’est produite, nécessitant un renouvellement manuel du certificat.

Quand la stratégie d’un certificat est définie pour un renouvellement manuel (e-mail uniquement), une notification est envoyée lorsqu’il est temps de renouveler le certificat.

Dans Key Vault, il existe trois catégories de certificats :

• Certificats créés à l’aide d’une autorité de certification intégrée, telle que DigiCert ou GlobalSign.
• Certificats créés avec une autorité de certification non intégrée.
• Certificats auto-signés.

Renouveler un certificat d’une autorité de certification intégrée

Azure Key Vault gère la maintenance de bout en bout des certificats émis par les autorités de certification Microsoft approuvées DigiCert et GlobalSign. Découvrez comment intégrer une autorité de certification approuvée avec Key Vault. Lors du renouvellement d’un certificat, une nouvelle version secrète est créée avec un nouvel identificateur Key Vault.

Renouveler un certificat d’autorité de certification non intégrée

En utilisant Azure Key Vault, vous pouvez importer des certificats à partir de n’importe quelle autorité de certification, ce qui vous permet de bénéficier d’une intégration avec plusieurs ressources Azure et de simplifier le déploiement. Si vous vous inquiétez de perdre la trace des dates d’expiration de vos certificats ou, pire, si vous avez découvert qu’un certificat a déjà expiré, votre coffre de clés peut vous aider à rester à jour. Pour les certificats d’autorité de certification non intégrée, le coffre de clés vous permet de configurer des notifications par e-mail juste avant l’expiration. Ces notifications peuvent également être définies pour plusieurs utilisateurs.

Important

Un certificat est un objet avec version. Si la version actuelle arrive à expiration, vous devez créer une nouvelle version. Conceptuellement, chaque nouvelle version est un nouveau certificat composé d’une clé et d’un objet blob qui lie cette clé à une identité. Lorsque vous utilisez une autorité de certification non partenaire, le coffre de clés génère une paire clé/valeur et retourne une demande de signature de certificat (CSR).

Pour renouveler un certificat d’autorité de certification non intégrée :

Azure portal

1. Connectez-vous au portail Azure, puis ouvrez le certificat que vous souhaitez renouveler.
2. Dans le volet du certificat, sélectionnez Nouvelle version.
3. Dans la page Créer un certificat, assurez-vous que l’option Générer est sélectionnée sous Méthode de création de certificat.
4. Vérifiez l’Objet et d’autres détails sur le certificat, puis sélectionnez Créer.
5. Vous verrez le message La création d’un nom de certificat <<nom du certificat>> est en attente. Cliquez ici pour passer à l’opération de certificat afin de suivre l’avancement
6. Sélectionnez le message pour qu’un nouveau volet s’affiche. Le volet doit afficher l’état « En cours ». À ce stade, Key Vault a généré une clé de paiement de contenu que vous pouvez télécharger à l’aide de l’option Télécharger CSR.
7. Sélectionnez Télécharger CSR pour télécharger un fichier CSR sur votre disque local.
8. Envoyez la demande de signature de certificat à l’autorité de certification de votre choix pour signer la demande.
9. Ramenez la requête signée et sélectionnez Fusionner la requête signée dans le même volet d’opération de certificat.
10. L’état après la fusion s’affiche comme Terminé et, dans le volet principal du certificat, vous pouvez atteindre Actualiser pour afficher la nouvelle version du certificat.

Azure CLI

Utilisez la commande Azure CLI az keyvault certificate create, en fournissant le nom du certificat que vous souhaitez renouveler :

az keyvault certificate create --vault-name "<your-unique-keyvault-name>" -n "<name-of-certificate-to-renew>" -p "$(az keyvault certificate get-default-policy)"

Après le renouvellement du certificat, vous pouvez afficher toutes les versions du certificat à l’aide de la commande Azure CLI az keyvault certificate list-versions :

az keyvault certificate list-versions --vault-name "<your-unique-keyvault-name>" -n "<name-of-renewed-certificate>"

Azure PowerShell

Utilisez la cmdlet Azure PowerShell New-AzKeyVaultCertificatePolicy, en fournissant le nom du certificat que vous souhaitez renouveler :

$Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "Self" -ValidityInMonths 6 -ReuseKeyOnRenewal

Add-AzKeyVaultCertificate -VaultName "<your-unique-keyvault-name>" -Name "<name-of-certificate-to-renew>" -CertificatePolicy $Policy

Après le renouvellement du certificat, vous pouvez afficher toutes les versions de celui-ci à l’aide de la cmdlet Azure PowerShell Get-AzKeyVaultCertificate :

Get-AzKeyVaultCertificate "<your-unique-keyvault-name>" -Name "<name-of-renewed-certificate>" -IncludeVersions

Notes

Il est important de fusionner la demande de signature de certificat signée avec celle que vous avez créée, sinon la clé ne correspondra pas.

Pour plus d’informations sur la création d’une nouvelle demande de signature de certificat, consultez Création et fusion d’une demande de signature de certificat dans Key Vault.

Renouveler un certificat auto-signé

Azure Key Vault gère également le renouvellement automatique des certificats auto-signés. Pour en savoir plus sur la modification de la stratégie d’émission et sur la mise à jour des attributs de cycle de vie d’un certificat, consultez Configurer la rotation automatique d’un certificat dans Key Vault.

Étapes suivantes

• Forum aux questions sur le renouvellement de certificat Azure Key Vault
• Intégrer Key Vault à l’autorité de certification DigiCert
• Tutoriel : Configurer la rotation automatique d’un certificat dans Key Vault