Tutoriel : Configurer l’autorotation de certificat dans Key Vault

Vous pouvez facilement approvisionner, gérer et déployer des certificats numériques à l’aide d’Azure Key Vault. Les certificats peuvent être des certificats SSL (Public and Private Secure Sockets Layer)/TLS (Transport Layer Security) signés par une autorité de certification ou un certificat auto-signé. Key Vault peut également demander et renouveler des certificats par le biais de partenariats avec des autorités de certification, fournissant une solution robuste pour la gestion du cycle de vie des certificats.

Pour une compréhension complète des concepts et avantages de l’autorotation entre différents types de ressources dans Azure Key Vault, consultez Présentation de l’autorotation dans Azure Key Vault.

Dans ce tutoriel, vous mettez à jour la période de validité d’un certificat, la fréquence d’autorotation et les attributs d’autorité de certification.

• Gérez un certificat à l’aide du portail Azure.
• Ajoutez un compte de fournisseur d’autorité de certification.
• Mettez à jour la période de validité du certificat.
• Mettez à jour la fréquence de rotation automatique du certificat.
• Mettez à jour les attributs du certificat à l’aide d’Azure PowerShell.

Avant de continuer, lisez les concepts de base de Key Vault.

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Connexion à Azure

Connectez-vous au portail Azure.

Création d'un coffre

Créez un coffre de clés à l’aide de l’une des trois méthodes suivantes :

• Créer un coffre de clés à l’aide du portail Azure
• Créer un coffre de clés à l’aide de l’interface de ligne de commande Azure
• Créer un coffre de clés à l’aide d’Azure PowerShell

Créer un certificat dans Key Vault

Créez un certificat ou importez un certificat dans le coffre de clés (consultez Étapes de création d’un certificat dans Key Vault. Dans ce cas, vous travaillez sur un certificat appelé ExampleCertificate.

Mettre à jour les attributs de cycle de vie des certificats

Dans Azure Key Vault, vous pouvez mettre à jour les attributs de cycle de vie d’un certificat au moment de la création du certificat ou après.

Un certificat créé dans Key Vault peut être :

• Un certificat auto-signé.
• Certificat créé avec une autorité de certification associée à Key Vault.
• Certificat avec une autorité de certification qui n’est pas associée à Key Vault.

Les autorités de certification suivantes sont actuellement des fournisseurs partenaires avec Key Vault :

• DigiCert : Key Vault offre des certificats OV ou EV TLS/SSL.
• GlobalSign : Key Vault offre des certificats OV ou EV TLS/SSL.

Key Vault fait pivoter automatiquement les certificats via des partenariats établis avec les autorités de certification. Étant donné que Key Vault demande et renouvelle automatiquement les certificats par le biais du partenariat, la fonctionnalité d’autorotation n’est pas applicable aux certificats créés avec des autorités de certification qui ne sont pas associées à Key Vault.

Remarque

Un administrateur de compte pour un fournisseur d’autorité de certification crée des informations d’identification utilisées par Key Vault pour créer, renouveler et utiliser des certificats TLS/SSL.

Mettre à jour les attributs de cycle de vie des certificats au moment de la création

1. Dans les pages de propriétés Key Vault, sélectionnez Certificats.

2. Sélectionnez Générer/Importer.

3. Dans l’écran Créer un certificat , mettez à jour les valeurs suivantes :

   • Période de validité : entrez la valeur (en mois). La création de certificats de courte durée est une pratique de sécurité recommandée. Par défaut, la valeur de validité d’un certificat nouvellement créé est de 12 mois.

   • Type d'action de renouvellement de la durée de vie : Sélectionnez l'action de renouvellement automatique et d'alerte du certificat, puis mettez à jour le pourcentage de durée de vie ou le nombre de jours avant l'expiration. Par défaut, le renouvellement automatique d’un certificat est défini à 80 pour cent de sa durée de vie. Dans le menu déroulant, sélectionnez l’une des options suivantes.

     Renouveler automatiquement à un moment donné	Envoyer un e-mail à tous les contacts à un moment donné
     La sélection de cette option active l’autorotation.	La sélection de cette option ne déclenche pas la rotation automatique, elle alerte uniquement les contacts.

     Vous pouvez en savoir plus sur la configuration du contact par e-mail ici

4. Sélectionnez Créer.

Mettre à jour les attributs de cycle de vie d’un certificat stocké

1. Sélectionnez le coffre de clés.

2. Dans les pages de propriétés Key Vault, sélectionnez Certificats.

3. Sélectionnez le certificat que vous souhaitez mettre à jour. Dans ce cas, vous travaillez sur un certificat appelé ExampleCertificate.

4. Sélectionnez Stratégie d’émission dans la barre de menus supérieure.

   

5. Dans l’écran Stratégie d’émission , mettez à jour les valeurs suivantes :

   • Période de validité : Mettez à jour la valeur (en mois).
   • Type d’action de durée de vie : sélectionnez l’action de renouvellement automatique et d’alerte du certificat, puis mettez à jour le pourcentage de durée de vie ou le nombre de jours avant l’expiration.

   

6. Cliquez sur Enregistrer.

Important

La modification du type d’action de la durée de vie d’un certificat enregistre immédiatement les modifications pour les certificats existants.

Mettre à jour les attributs de certificat à l’aide de PowerShell

Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName 
                                   -Name $certificateName 
                                   -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]

Conseil / Astuce

Pour modifier la stratégie de renouvellement d’une liste de certificats, entrez File.csv contenant VaultName,CertName comme dans l’exemple suivant :
vault1,Cert1​
vault2,Cert2​

$file = Import-CSV C:\Users\myfolder\ReadCSVUsingPowershell\File.csv ​
foreach($line in $file)​
{​
Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName -Name $certificateName -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]
}

Pour en savoir plus sur les paramètres, consultez az keyvault certificate.

Nettoyer les ressources

D’autres didacticiels Key Vault s’appuient sur ce didacticiel. Si vous envisagez d’utiliser ces didacticiels, vous souhaiterez peut-être laisser ces ressources existantes en place. Si vous n’en avez plus besoin, supprimez le groupe de ressources. Ce faisant, vous supprimez le coffre de clés et les ressources associées.

Pour supprimer le groupe de ressources à l’aide du portail :

1. Entrez le nom de votre groupe de ressources dans la zone Recherche en haut du portail. Lorsque le groupe de ressources utilisé dans ce guide de démarrage rapide apparaît dans les résultats de la recherche, sélectionnez-le.
2. Sélectionnez Supprimer le groupe de ressources.
3. Dans la zone TYPE THE RESOURCE GROUP NAME : box, tapez le nom du groupe de ressources, puis sélectionnez Supprimer.

Étapes suivantes

Dans ce tutoriel, vous avez mis à jour les attributs de cycle de vie d’un certificat. Pour en savoir plus sur Key Vault et comment l’intégrer à vos applications, passez aux articles suivants :

• Vue d’ensemble de Key Vault.
• Gestion de la création de certificats dans Azure Key Vault.
• Présentation de l’autorotation dans Azure Key Vault