Tanúsítvány életciklusának kezelése az Azure-ban

Azure Automation

Azure Event Grid

Azure Key Vault

A kiberbiztonságban az automatikus tanúsítványmegújítás beállítása fontos a biztonságos és megbízható környezet fenntartása érdekében. A tanúsítványok időben történő frissítésének vagy megújításának elmulasztása sebezhetőségeknek teszi ki a rendszereket. Potenciálisan sebezhető területek:

• Lejárt TLS-/SSL-tanúsítványok.
• Olyan hálózatok, amelyek potenciálisan megsértődnek.
• Bizalmas adatok, amelyek nem biztonságosak.
• Az üzleti folyamatokhoz tartozó szolgáltatások.
• A márka hírnevének elvesztése, amely veszélyezteti a digitális tranzakciók integritását és titkosságát.

Az Azure Key Vault támogatja az integrált hitelesítésszolgáltató (CA) által kiadott automatikus tanúsítványmegújítást , például a DigiCertet vagy a GlobalSignet. Nem minősített hitelesítésszolgáltató esetén manuális megközelítésre van szükség.

Ez a cikk áthidalja a szakadékot azáltal, hogy automatikus megújítási folyamatot biztosít, amely a nem minősített hitelesítésszolgáltatók tanúsítványaihoz igazodik. Ez a folyamat zökkenőmentesen tárolja az új tanúsítványokat a Key Vaultban, javítja a hatékonyságot, javítja a biztonságot, és leegyszerűsíti az üzembe helyezést a különböző Azure-erőforrások integrálásával.

Az automatikus megújítási folyamat csökkenti az emberi hibákat, és minimalizálja a szolgáltatáskimaradásokat. A tanúsítványmegújítás automatizálása felgyorsítja a megújítási folyamatot, és csökkenti a manuális kezelés során előforduló hibák valószínűségét. A Key Vault és bővítményei képességeinek használatakor hatékony automatikus folyamatot hozhat létre a műveletek és a megbízhatóság optimalizálásához.

A kezdeti fókusz az automatikus tanúsítványmegújítás, de szélesebb körű cél a biztonság növelése a folyamat minden területén. Ez a munka magában foglalja a minimális jogosultsági vagy hasonló hozzáférés-vezérlés elvét a Key Vault használatával. Emellett hangsúlyozza a Key Vault robusztus naplózási és monitorozási eljárásainak fontosságát is. Ez a cikk kiemeli annak fontosságát, hogy a Key Vault használatával erősítse meg a teljes tanúsítványkezelési életciklust, és bemutatja, hogy a biztonsági előnyök nem korlátozódnak a tanúsítványok tárolására.

A Tanúsítványok folyamatos frissítéséhez használhatja a Key Vaultot és annak automatikus megújítási folyamatát. Az automatikus megújítás fontos szerepet játszik az üzembe helyezési folyamatban, és segít a Key Vaulttal integrálható Azure-szolgáltatásoknak a naprakész tanúsítványok előnyeiben. Ez a cikk bemutatja, hogyan járul hozzá a folyamatos megújítás és az akadálymentesség az Azure-szolgáltatások általános üzembe helyezési hatékonyságához és megbízhatóságához.

Architektúra

Az alábbi diagram áttekintést nyújt a megoldás alapjául szolgáló architektúráról.

A diagram két fő szakaszból áll. Az egyik szakasz azure-beli kezdőzóna-előfizetés, a másik pedig a helyszínen van címkézve. A kezdőzóna-előfizetés szakaszában egy CERTLC címkével ellátott nagy szürke mező kisebb mezőket tartalmaz a virtuális hálózathoz és egy Azure Automation-fiókhoz. A Virtuális hálózat mezőben két számítógépikon dc és ENT-CA címkével van ellátva. A ENT-CA ikonon megkezdődik egy pontozott vonal, amely a hibrid runbook-feldolgozót jelöli. A vonal összeköti a runbook-feldolgozót az Automation-fiókmezőn belüli CERTLC-runbooktal. A Virtual Network (Virtuális hálózat) mező két kiszolgálót ábrázoló számítógépikonokat is tartalmaz, egyet a Key Vault bővítményével, egyet pedig egy egyéni szkripttel. Egy folytonos vonal összeköti a Virtuális hálózat mezőt a diagram helyszíni szakaszával. Az Automation-fiók mező az irányítópult betöltési runbookját is tartalmazza. Egy pontozott vonal köti össze ezt a runbookot a Nagyobb CERTLC szürke mezőben található Log Anaytics munkaterületével. Az Azure Storage-fiókot, az Azure Event Gridet, a Key Vaultot és a munkafüzetet ábrázoló ikonok szintén a CERTLC-mezőn belül találhatók. A helyreállítási tárat, a szerepkör-hozzárendeléseket, a szabályzat-hozzárendeléseket, az Azure Network Watchert és a Microsoft Defender for Cloud-t ábrázoló ikonok az Azure kezdőzóna-előfizetési szakaszán belül találhatók. A helyszíni szakaszban egy Azure Active Directory címkével ellátott mező két kisebb mezőt tartalmaz az Azure Arc-kompatibilis kiszolgálókhoz. Az egyik kiszolgáló a Key Vault bővítményt, a másik pedig egy egyéni szkriptet használ.

Töltse le az architektúra Visio-fájlját .

Az Azure-környezet a következő szolgáltatásplatform-erőforrásokból (PaaS) áll:

• Egy kulcstartó, amely csak ugyanazon nem minősített hitelesítésszolgáltató által kibocsátott tanúsítványok tárolására van dedikáltan

• Azure Event Grid-rendszertémakör

• Tárfiók üzenetsora

• Egy Azure Automation-fiók, amely egy Event Grid által megcélzott webhookot tesz elérhetővé

A lejárt és lejáró tanúsítványok folyamatának és állapotának figyeléséhez a Log Analytics tárolja az adatokat, és a munkaterület táblázatos és grafikus irányítópultok formájában jeleníti meg azokat.

Ez a forgatókönyv feltételezi, hogy egy meglévő nyilvános kulcsú infrastruktúra (PKI) már működik, és egy Microsoft Enterprise CA-t tartalmaz, amely egy Tartományhoz csatlakozik a Microsoft Entra-azonosítóban. Mind a PKI, mind az Active Directory tartomány az Azure-ban vagy a tanúsítványmegújításhoz konfigurált helyszíni kiszolgálókon is megtalálható.

A megújítás figyelésére tanúsítványokkal rendelkező virtuális gépeket (virtuális gépeket) nem kell csatlakoztatni az Active Directoryhoz vagy a Microsoft Entra-azonosítóhoz. Az egyetlen követelmény, hogy a hitelesítésszolgáltató és a hibrid feldolgozó – ha a hitelesítésszolgáltatótól eltérő virtuális gépen található – csatlakozik az Active Directoryhoz.

Az alábbi ábra az Azure-ökoszisztémán belüli tanúsítványmegújítás automatikus munkafolyamatát mutatja be.

A diagram nyilakkal és számokkal jeleníti meg a tanúsítványmegújítás automatikus munkafolyamatát az Azure-ökoszisztémában. A diagram tetején a Key Vault, a kiszolgáló, a hitelesítésszolgáltató, az Event Grid, a Tárfiók és egy Automation-fiók ikonjai láthatók. A nyilak címkéje 1–9. Az 1-es szám a hitelesítésszolgáltató tanúsítványából a Key Vaultba kerül. A 2-es szám a Key Vault egyik tanúsítványából a kiszolgálóra kerül. A 3- os szám a Key Vaultban található tanúsítványból az Event Gridbe kerül. A 4-es szám az Event Gridről a Storage-fiókra és az Automation-fiók webhookjára is vonatkozik. Az 5-ös szám egy kétoldalas nyíl, amely a Storage-fiókban és az Automation-fiókban található tanúsítványra és onnan indul. A 6-os szám egy kétoldalas nyíl, amely a hitelesítésszolgáltatóban és az Automation-fiókban található tanúsítványra és onnan indul. A 7-es szám az Automation-fiók tanúsítványából a kiszolgálóra kerül. A 9-es szám a Key Vault tanúsítványából a kiszolgálóra kerül.

Munkafolyamat

A következő munkafolyamat az előző diagramnak felel meg:

1. Key Vault-konfiguráció: A megújítási folyamat kezdeti fázisa magában foglalja a tanúsítványobjektum tárolását a kulcstartó kijelölt Tanúsítványok szakaszában.

   Bár nem kötelező, egyéni e-mail-értesítéseket úgy állíthat be, hogy megjelöli a tanúsítványt a címzett e-mail-címével. A tanúsítvány címkézése biztosítja, hogy a megújítási folyamat befejeződésekor időben értesítést küldsünk. Ha több címzettre van szükség, vesszővel vagy pontosvesszővel válassza el az e-mail-címeket. Ennek a célnak a címkeneve Címzett, értéke pedig a kijelölt rendszergazdák egy vagy több e-mail-címe.

   Ha a beépített tanúsítványértesítések helyett címkéket használ, értesítéseket alkalmazhat egy adott tanúsítványra egy kijelölt címzettel. A beépített tanúsítványértesítések válogatás nélkül érvényesek a kulcstartóban lévő összes tanúsítványra, és ugyanazt a címzettet használják mindenki számára.

   A beépített értesítéseket integrálhatja a megoldással, de más megközelítést használhat. A beépített értesítések csak a hamarosan esedékes tanúsítvány lejáratáról tudnak értesítést küldeni, de a címkék értesítést küldhetnek, ha a tanúsítvány megújul a belső hitelesítésszolgáltatón, és amikor az elérhető a Key Vaultban.

2. Key Vault bővítménykonfiguráció: Fel kell szerelnie a tanúsítványokat használó kiszolgálókat a Key Vault bővítménnyel, amely a Windows és Linux rendszerekkel kompatibilis sokoldalú eszköz. Az Azure-infrastruktúra szolgáltatásként (IaaS)-kiszolgálók, valamint az Azure Arcon keresztül integrálható helyszíni vagy más felhőkiszolgálók támogatottak. Konfigurálja a Key Vault bővítményt, hogy rendszeresen lekérdezhesse a Key Vaultot a frissített tanúsítványokhoz. A lekérdezési időköz testre szabható és rugalmas, így igazodik az adott üzemeltetési követelményekhez.

   Feljegyzés

   A Key Vault bővítmény linuxos RedHat és CentOS rendszeren nem érhető el. Ha ki szeretné terjeszteni a megoldást ezekre a rendszerekre, ütemezze azt a szkriptet, amely rendszeresen ellenőrzi a script_for_not_supported_ARC_on_Linux_distro Key Vault tanúsítványfrissítéseit, és alkalmazza őket a kiszolgálóra. A szkript futtatható natív Azure-beli virtuális gépeken (IaaS) és az Azure Arcba integrált helyszíni kiszolgálókon.

3. Event Grid-integráció: A tanúsítvány lejáratának közeledtével két Event Grid-előfizetés elfogja ezt a fontos élettartamú eseményt a kulcstartóból.

4. Event Grid-eseményindítók: Egy Event Grid-előfizetés tanúsítványmegújítási információkat küld egy tárfiók üzenetsorába. A másik előfizetés elindít egy runbookot az Automation-fiókban konfigurált webhookon keresztül. Ha a runbook nem tudja megújítani a tanúsítványt, vagy ha a hitelesítésszolgáltató nem érhető el, egy ütemezett folyamat attól a ponttól kezdve újra megújítja a runbookot, amíg az üzenetsor nem törlődik. Ez a folyamat robusztussá teszi a megoldást.

   A megoldás rugalmasságának javítása érdekében állítson be egy holt betűs hely mechanizmust. Kezeli azokat a lehetséges hibákat, amelyek az üzenet Eseményrácsról az előfizetési célokra, a tárolási üzenetsorra és a webhookra való átvitele során fordulhatnak elő.

5. Tárfiók üzenetsora: A runbook a hibrid Automation runbook-feldolgozóként konfigurált ca-kiszolgálón indul el. Minden olyan üzenetet kap a tárfiók üzenetsorában, amely tartalmazza a lejáró tanúsítvány nevét és a runbookot üzemeltető kulcstartó nevét. Az üzenetsor minden üzenetéhez az alábbi lépések szükségesek.

6. Tanúsítványmegújítás: A runbook szkriptje az Azure-hoz csatlakozik, hogy lekérje a tanúsítvány létrehozás során beállított sablonnevét. A sablon a hitelesítésszolgáltató konfigurációs összetevője, amely meghatározza a létrehozandó tanúsítványok attribútumait és célját.

   A Key Vault szkriptfelületei után elindít egy tanúsítványmegújítási kérelmet. Ez a kérés elindítja a Key Vaultot egy tanúsítvány-aláírási kérelem (CSR) létrehozásához, és ugyanazt a sablont alkalmazza, amely az eredeti tanúsítványt létrehozta. Ez a folyamat biztosítja, hogy a megújított tanúsítvány megfeleljen az előre meghatározott biztonsági szabályzatoknak. A hitelesítési és engedélyezési folyamat biztonságával kapcsolatos további információkért tekintse meg a Biztonság szakaszt.

   A szkript letölti a CSR-t, és elküldi a hitelesítésszolgáltatónak.

   A hitelesítésszolgáltató létrehoz egy új x509-tanúsítványt a megfelelő sablon alapján, és visszaküldi a szkriptnek. Ez a lépés biztosítja, hogy a megújított tanúsítvány megfeleljen az előre meghatározott biztonsági szabályzatoknak.

7. Tanúsítványegyesítés és Key Vault-frissítés: A szkript újra egyesíti a megújított tanúsítványt a kulcstartóban. Ez a lépés véglegesíti a frissítési folyamatot, és eltávolítja az üzenetet az üzenetsorból. A teljes folyamat során a tanúsítvány titkos kulcsa soha nem lesz kinyerve a kulcstartóból.

8. Figyelési és e-mailes értesítés: A különböző Azure-összetevők, például az Automation-fiók, a Key Vault, a tárfiók-üzenetsor és az Event Grid által futtatott összes művelet naplózva lesz az Azure Monitor Naplók munkaterületén a figyelés engedélyezéséhez. Miután a tanúsítvány egyesül a kulcstartóban, a szkript e-mailt küld a rendszergazdáknak, hogy értesítsék őket az eredményről.

9. Tanúsítvány lekérése: Ebben a fázisban fontos szerepet játszik a kiszolgáló Key Vault-bővítménye. Automatikusan letölti a tanúsítvány legújabb verzióját a kulcstartóból a tanúsítványt használó kiszolgáló helyi tárolójába. Több kiszolgálót is konfigurálhat a Key Vault bővítménnyel, hogy ugyanazt a tanúsítványt (helyettesítő vagy több tulajdonos alternatív neve (SAN) tanúsítvánnyal) kérje le a kulcstartóból.

   Olyan Linux-disztribúciók esetén, ahol a Key Vault-bővítmény nem telepíthető, ütemezze a script_for_not_supported_ARC_on_Linux_distro szkriptet, hogy ugyanazt a funkciót érje el, mint a bővítmény.

Összetevők

A megoldás különböző összetevőket használ az Automatikus tanúsítványmegújítás kezeléséhez az Azure-ban. Az alábbi szakaszok ismertetik az egyes összetevőket és azok célját.

Key Vault-bővítmény

A Key Vault-bővítmény nélkülözhetetlen szerepet játszik a tanúsítványmegújítás automatizálásában, és az automatizálást igénylő kiszolgálókra kell telepíteni. A Windows-kiszolgálók telepítési eljárásairól további információt a Windows Key Vault bővítményében talál. A Linux-kiszolgálók telepítési lépéseiről további információt a Linuxhoz készült Key Vault-bővítményben talál. Az Azure Arc-kompatibilis kiszolgálókról további információt az Arc-kompatibilis kiszolgálók Key Vault-bővítményében talál.

Feljegyzés

A következő szkriptek olyan minták, amelyeket az Azure Cloud Shellből futtathat a Key Vault bővítmény konfigurálásához:

• Key Vault-bővítmény Windows-kiszolgálókhoz
• Key Vault-bővítmény Linux-kiszolgálókhoz
• Key Vault-bővítmény Azure Arc-kompatibilis Windows-kiszolgálókhoz
• Key Vault-bővítmény Azure Arc-kompatibilis Linux-kiszolgálókhoz

A Key Vault bővítménykonfigurációs paraméterei a következők:

• Key Vault neve: A megújításhoz szükséges tanúsítványt tartalmazó kulcstartó.

• Tanúsítvány neve: A megújítandó tanúsítvány neve.

• Tanúsítványtároló, név és hely: A tanúsítvány tárolására szolgáló tanúsítványtároló. Windows-kiszolgálókon a Néva számítógép személyes tanúsítványtárolója. Linux-kiszolgálókon megadhatja a fájlrendszer elérési útját, feltéve, hogy az alapértelmezett érték AzureKeyVaulta Key Vault tanúsítványtárolója.

• linkOnRenewal: Egy jelölő, amely jelzi, hogy a tanúsítványt a megújítás során a kiszolgálóhoz kell-e kapcsolni. Ha Windows rendszerű gépeken van beállítva true , az új tanúsítványt az áruházban másolja, és a régi tanúsítványhoz csatolja, amely hatékonyan újrakonfigurálja a tanúsítványt. Az alapértelmezett érték, falseezért explicit kötésre van szükség.

• pollingIntervalInS: Ez az érték a Key Vault-bővítmény lekérdezési időközét jelzi a tanúsítványfrissítések kereséséhez. Az alapértelmezett érték másodperc 3600 (1 óra).

• authenticationSetting: A Key Vault-bővítmény hitelesítési beállítása. Az Azure-kiszolgálók esetében kihagyhatja ezt a beállítást, így a rendszer a virtuális gép rendszer által hozzárendelt felügyelt identitását használja a kulcstartóhoz. Helyszíni kiszolgálók esetén adja meg a beállítást msiEndpoint = "http://localhost:40342/metadata/identity" úgy, hogy az Azure Arc előkészítés során létrehozott számítógép-objektumhoz társított szolgáltatásnév legyen használva.

Feljegyzés

Csak a kezdeti beállítás során adja meg a Key Vault bővítményparamétereit. Ez a megközelítés biztosítja, hogy a megújítási folyamat során ne végezzenek módosításokat.

Automation-fiók

Az Automation-fiók kezeli a tanúsítványmegújítási folyamatot. A fiókot egy runbookmal kell konfigurálnia a PowerShell-szkript használatával.

Hibrid feldolgozócsoportot is létre kell hoznia. A hibrid feldolgozócsoport társítása a hitelesítésszolgáltató ugyanazon Active Directory-tartományának Egy Windows Server-tagjával, ideális esetben magával a hitelesítésszolgáltatóval a runbookok indításához.

A runbooknak rendelkeznie kell egy társított webhookkal , amelyeket a hibrid runbook-feldolgozó kezdeményez. Konfigurálja a webhook URL-címét az Event Grid rendszertémakör esemény-előfizetésében.

Tárfiók üzenetsora

A tárfiók üzenetsora tárolja a megújított tanúsítvány nevét és a tanúsítványt tartalmazó kulcstartót tartalmazó üzeneteket. Konfigurálja a tárfiók-üzenetsort az Event Grid rendszertémakör esemény-előfizetésében. Az üzenetsor kezeli a szkript leválasztása a tanúsítvány lejárati értesítési eseményétől. Támogatja az esemény várólistán belüli megőrzését. Ez a módszer segít biztosítani, hogy a tanúsítványok megújítási folyamata ütemezett feladatokon keresztül ismétlődjön, még akkor is, ha a szkript futtatása során problémák lépnek fel.

Hibrid runbook-feldolgozó

A hibrid runbook-feldolgozó nélkülözhetetlen szerepet játszik a runbookok használatában. A hibrid runbook-feldolgozót az Azure Hybrid Worker bővítménymetódussal kell telepítenie, amely egy új telepítés támogatott módja. Létrehozhatja és társíthatja egy Windows Server-taggal a hitelesítésszolgáltató ugyanazon Active Directory-tartományában, ideális esetben maga a hitelesítésszolgáltató.

Key Vault (kulcs tároló)

A Key Vault a tanúsítványok biztonságos adattára. A kulcstartó eseményszakaszában társítsa az Event Grid rendszertémakört az Automation-fiók webhookához és egy előfizetéshez.

Eseményhálózat

Az Event Grid kezeli az eseményvezérelt kommunikációt az Azure-ban. Az Event Grid konfigurálásához állítsa be a rendszertémakört és az esemény-előfizetést a releváns események monitorozásához. A releváns események közé tartoznak a tanúsítványlejárati riasztások, a műveletek aktiválása az automatizálási munkafolyamaton belül, valamint üzenetek közzététele a tárfiók üzenetsorában. Konfigurálja az Event Grid rendszertémakörét a következő paraméterekkel:

• Forrás: A tanúsítványokat tartalmazó kulcstartó neve.

• Forrás típusa: A forrás típusa. A megoldás forrástípusa például a következő Azure Key Vault: .

• Eseménytípusok: A monitorozni kívánt esemény típusa. A megoldás eseménytípusa például a következő Microsoft.KeyVault.CertificateNearExpiry: . Ez az esemény akkor aktiválódik, ha egy tanúsítvány lejárata közel van.

• Webhook-előfizetés:

  • Előfizetés neve: Az esemény-előfizetés neve.

  • Végpont típusa: A használandó végpont típusa. A megoldás végponttípusa például a következő Webhook: .

  • Végpont: Az Automation-fiók runbookjához társított webhook URL-címe. További információkért tekintse meg az Automation-fiók szakaszt.

• StorageQueue-előfizetés:

  • Előfizetés neve: Az esemény-előfizetés neve.

  • Végpont típusa: A használandó végpont típusa. A megoldás végponttípusa például a következő StorageQueue: .

  • Végpont: A tárfiók üzenetsora.

Log Analytics-munkaterület és Azure-munkafüzet

Ez a megoldás Log Analytics-munkaterületet és Azure-munkafüzetet használ a Key Vaultban tárolt tanúsítványállapotok monitorozásának és vizualizációjának javítására. Ezek az összetevők kulcsfontosságú szerepet játszanak a tanúsítvány állapotának láthatóságának fenntartásában:

• A Log Analytics-munkaterület adatokat gyűjt és tárol a tanúsítványállapotokról. Azonosítja, hogy a tanúsítványok lejártak, hamarosan lejárnak, vagy továbbra is érvényesek.

• Az Azure-munkafüzet adatokat kér le a Log Analytics-munkaterületről, és vizuális ábrázolásokkal, például kördiagramokkal és részletes táblázatokkal jeleníti meg őket egy irányítópulton. A tanúsítványokat nem lejárt (zöld), hamarosan lejáró (sárga) és lejárt (piros) kategóriákba sorolja.

A következő összetevők lekérik és bemutatják a munkafüzet tanúsítványadatait:

• Az adatbetöltési runbookok közvetlenül az Azure-ból futnak, és nem igényelnek hibrid feldolgozó környezetét. Lekéri a tanúsítványadatokat a Key Vaultból, és elküldi azokat egy, a Log Analytics-munkaterületen definiált egyéni táblába. A runbook ütemezett ütemben fut.

• A munkafüzet lekérdezi az adatokat az egyéni táblázatból, és megjeleníti őket egy kördiagramon és egy részletes táblázatban is. A tanúsítványokat a lejárati állapotuk alapján emeli ki.

Ezeknek az összetevőknek az integrálásával a megoldás átfogóbb megközelítést hoz létre a tanúsítvány-életciklus-kezeléshez.

Alternatívák

Ez a megoldás egy Automation-fiókkal vezényeli a tanúsítványmegújítási folyamatot, és hibrid Runbook-feldolgozóval biztosítja a helyszíni hitelesítésszolgáltatóval vagy más felhőkkel való integrálás rugalmasságát.

Egy másik módszer az Azure Logic Apps használata. A két megközelítés közötti fő különbség az, hogy az Automation-fiók egy PaaS-megoldás, a Logic Apps pedig egy szolgáltatásként használt szoftver (SaaS) megoldás.

A Logic Apps fő előnye, hogy teljes mértékben felügyelt szolgáltatás. Nem kell aggódnia a mögöttes infrastruktúra miatt. A Logic Apps emellett könnyen integrálható külső összekötőkkel. Ez a funkció kibővíti az értesítési lehetőségek körét, például a Microsoft Teams vagy a Microsoft 365 együttműködését.

A Logic Apps nem rendelkezik a hibrid runbook-feldolgozóhoz hasonló funkcióval, ami kevésbé rugalmas integrációt eredményez a hitelesítésszolgáltatóval, ezért az Automation-fiók az előnyben részesített megközelítés.

Forgatókönyv részletei

Minden szervezetnek biztonságos és hatékony tanúsítvány-életciklus-kezelésre van szüksége. A tanúsítvány lejárat előtti frissítésének elmulasztása szolgáltatáskimaradásokhoz vezethet, és jelentős költségekkel járhat a vállalkozás számára.

A nagyvállalatok általában összetett informatikai infrastruktúrát üzemeltetnek, amelyek több csapatot is bevonnak a tanúsítvány életciklusáért. A tanúsítványmegújítási folyamat manuális jellege gyakran hibákat okoz, és értékes időt vesz igénybe.

Ez a megoldás a Microsoft Tanúsítványszolgáltatás által kiadott tanúsítványmegújítás automatizálásával oldja meg ezeket a kihívásokat. A szolgáltatást széles körben használják különböző kiszolgálóalkalmazásokhoz, például webkiszolgálókhoz, SQL-kiszolgálókhoz, valamint titkosításhoz, nemrepudiáláshoz, aláírási célokhoz, valamint a Key Vaultban az időszerű frissítések és a tanúsítványtárolás biztonságossá tételéhez. A szolgáltatás azure-kiszolgálókkal és helyszíni kiszolgálókkal való kompatibilitása támogatja a rugalmas üzembe helyezést.

Lehetséges használati esetek

Ez a megoldás a következő iparágakban tevékenykedő szervezeteknek nyújt megoldást:

• Használja a Microsoft Tanúsítványszolgáltatást a kiszolgálótanúsítványok létrehozásához.

• Automatizálás megkövetelése a tanúsítványmegújítási folyamatban a műveletek felgyorsítása és a hibák minimalizálása érdekében, ami segít elkerülni az üzleti veszteségeket és a szolgáltatásiszint-szerződés (SLA) megsértését.

• Biztonságos tanúsítványtárolást igényel az adattárakban, például a Key Vaultban.

Ez az architektúra alapvető üzembe helyezési megközelítésként szolgál az alkalmazás kezdőzónás előfizetései között.

Megfontolások

Ezek a szempontok implementálják az Azure Well-Architected Framework alappilléreit, amely a számítási feladatok minőségének javítására használható vezérelvek készlete. További információ: Well-Architected Framework.

Biztonság

A biztonság biztosítékokat nyújt a szándékos támadások és az értékes adatokkal és rendszerekkel való visszaélés ellen. További információkért lásd a Biztonsági terv felülvizsgálati ellenőrzőlistát.

A Key Vault rendszerben a tanúsítványok biztonságosabban titkosított titkos kulcsként vannak tárolva, és az Azure szerepköralapú hozzáférés-vezérlése (RBAC) védi őket.

A tanúsítványmegújítási folyamat során az identitásokat használó összetevők a következők:

• A hibrid runbook-feldolgozó rendszerfiókja, amely a virtuális gép fiókja alatt működik.

• A Key Vault bővítmény, amely a virtuális géphez társított felügyelt identitást használja.

• Az Automation-fiók, amely a kijelölt felügyelt identitását használja.

A minimális jogosultság elve szigorúan érvényesül a tanúsítványmegújítási eljárásban részt vevő összes identitáson.

A hibrid runbook-feldolgozó kiszolgáló rendszerfiókjának rendelkeznie kell azzal a joggal, hogy tanúsítványokat regisztráljon egy vagy több tanúsítványsablonon, amelyek új tanúsítványokat hoznak létre.

A tanúsítványokat tartalmazó kulcstartóban az Automation-fiók identitásának rendelkeznie kell a Key Vault Certificate Officer szerepkörével. Emellett a tanúsítványhozzáférést igénylő kiszolgálóknak rendelkezniük kell és Get engedélyekkel kell rendelkezniük List a Key Vault tanúsítványtárolójában.

A tárfiók üzenetsorában az Automation-fiók identitásának rendelkeznie kell a , Storage Queue Data Contributorés Reader and Data Access a Readerszerepkörök használatával.

Azokban az esetekben, amikor a Key Vault-bővítmény üzembe helyez egy Azure-beli virtuális gépen, a hitelesítés a virtuális gép felügyelt identitásán keresztül történik. Ha azonban egy Azure Arc-kompatibilis kiszolgálón van üzembe helyezve, a hitelesítést egy szolgáltatásnév használatával kezeli a rendszer. A felügyelt identitást és a szolgáltatásnevet is hozzá kell rendelni a Key Vault titkos felhasználói szerepköréhez a tanúsítványt tároló kulcstartóban. Titkos szerepkört kell használnia, mert a tanúsítvány titkos kulcstartóban van tárolva.

Költségoptimalizálás

A költségoptimalizálás a szükségtelen kiadások csökkentésére és a működési hatékonyság javítására összpontosít. További információt a Költségoptimalizálás tervezési felülvizsgálati ellenőrzőlistájában talál.

Ez a megoldás használatalapú fizetéses keretrendszerben működő Azure PaaS-megoldásokat használ a költségek optimalizálásához. A költségek a megújításra szoruló tanúsítványok számától és a Key Vault-bővítménnyel felszerelt kiszolgálók számától függenek, ami alacsony többletterhelést eredményez.

A Key Vault bővítményből és a hibrid runbook-feldolgozóból eredő költségek a telepítési lehetőségektől és a lekérdezési időközöktől függenek. Az Event Grid költsége a Key Vault által létrehozott események mennyiségének felel meg. Az Automation-fiók költsége ugyanakkor korrelál a használt runbookok számával.

A Key Vault költsége különböző tényezőktől függ, például a választott termékváltozattól (Standard vagy Prémium), a tárolt tanúsítványok mennyiségétől és a tanúsítványokon végrehajtott műveletek gyakoriságától.

A Key Vaultban ismertetett konfigurációkhoz hasonló szempontok vonatkoznak a tárfiókra is. Ebben az esetben egy standard termékváltozat helyileg redundáns tárolási replikációval elegendő a tárfiókhoz. A tárfiók-üzenetsor költsége általában minimális.

A megoldás megvalósításának költségeinek becsléséhez használja az Azure díjkalkulátorát. Adja meg a cikkben leírt szolgáltatásokat.

Működési kiválóság

Az Operational Excellence azokat az üzemeltetési folyamatokat fedi le, amelyek üzembe helyeznek egy alkalmazást, és éles környezetben működtetik. További információ: Az operatív kiválóság tervezési felülvizsgálati ellenőrzőlistája.

Az automatikus tanúsítványmegújítási eljárás biztonságosan tárolja a tanúsítványokat a kulcstartóban található összes tanúsítványra vonatkozó szabványosított folyamatokkal.

Az Event Grid-szel való integráció kiegészítő műveleteket indít el, például értesíti a Microsoft Teamst vagy a Microsoft 365-öt, és egyszerűsíti a megújítási folyamatot. Ez az integráció jelentősen csökkenti a tanúsítványmegújítási időt, és csökkenti azokat a hibákat, amelyek az SLA-k üzleti fennakadásaihoz és megsértéséhez vezethetnek.

Emellett az Azure Monitor, a Microsoft Sentinel, a Microsoft Copilot for Security és a Felhőhöz készült Microsoft Defender zökkenőmentes integrációja elősegíti a tanúsítványmegújítási folyamat folyamatos monitorozását. Támogatja az anomáliadetektáltságot, és biztosítja a robusztus biztonsági intézkedések fenntartását.

A forgatókönyv üzembe helyezése

A cikkben ismertetett környezet üzembe helyezéséhez kattintson az alábbi gombra. Az üzembe helyezés körülbelül két percet vesz igénybe, és létrehoz egy kulcstartót, egy, a két előfizetéssel konfigurált Event Grid rendszertémakört, egy tárfiókot, amely tartalmazza a certlc-üzenetsort , valamint egy Automation-fiókot, amely tartalmazza a runbookot és az Event Gridhez társított webhookot .

Az üzembe helyezéshez szükséges paraméterekkel kapcsolatos részletes információkat a kódminta-portálon találja.

Fontos

A teljes tesztkörnyezetet üzembe helyezheti a teljes automatikus tanúsítványmegújítási munkafolyamat bemutatásához. Használja a kódmintát a következő erőforrások üzembe helyezéséhez:

• Active Directory Domain Services (AD DS) egy tartományvezérlő virtuális gépen belül.
• Active Directory Tanúsítványszolgáltatások (AD CS) a ca virtuális gépen belül, a tartományhoz csatlakoztatva, a WebServerShort sablonnal konfigurálva a tanúsítványok megújításához.
• Egy Windows Simple Mail Transfer Protocol (SMTP) kiszolgáló , amely a ca ugyanazon virtuális gépére van telepítve az e-mail-értesítések küldéséhez. A MailViewer az elküldött e-mail-értesítések ellenőrzésére is telepít.
• A tartományvezérlő virtuális gépére telepített Key Vault-bővítmény a megújított tanúsítványok Key Vault-bővítményből való lekéréséhez.

Közreműködők

A Microsoft fenntartja ezt a cikket. A következő közreműködők írták ezt a cikket.

Fő szerzők:

• Fabio Masciotra | Főtanácsadó
• Angelo Mazzucchi | Főtanácsadó

A nem nyilvános LinkedIn-profilok megtekintéséhez jelentkezzen be a LinkedInbe.

Következő lépések

• Az Azure Key Vault ismertetése
• Key Vault virtuálisgép-bővítmény Windowshoz
• Key Vault virtuálisgép-bővítmény Linuxhoz
• Mi az Azure Automation?
• Az Azure Automation hibrid runbook-feldolgozó áttekintése
• Mi az Event Grid?

A kiberbiztonságban az automatikus tanúsítványmegújítás beállítása fontos a biztonságos és megbízható környezet fenntartása érdekében. A tanúsítványok időben történő frissítésének vagy megújításának elmulasztása sebezhetőségeknek teszi ki a rendszereket. Potenciálisan sebezhető területek:

• Lejárt TLS-/SSL-tanúsítványok.
• Olyan hálózatok, amelyek potenciálisan megsértődnek.
• Bizalmas adatok, amelyek nem biztonságosak.
• Az üzleti folyamatokhoz tartozó szolgáltatások.
• A márka hírnevének elvesztése, amely veszélyezteti a digitális tranzakciók integritását és titkosságát.

Az Azure Key Vault támogatja az integrált hitelesítésszolgáltató (CA) által kiadott automatikus tanúsítványmegújítást , például a DigiCertet vagy a GlobalSignet. Nem minősített hitelesítésszolgáltató esetén manuális megközelítésre van szükség.

Ez a cikk áthidalja a szakadékot azáltal, hogy automatikus megújítási folyamatot biztosít, amely a nem minősített hitelesítésszolgáltatók tanúsítványaihoz igazodik. Ez a folyamat zökkenőmentesen tárolja az új tanúsítványokat a Key Vaultban, javítja a hatékonyságot, javítja a biztonságot, és leegyszerűsíti az üzembe helyezést a különböző Azure-erőforrások integrálásával.

Az automatikus megújítási folyamat csökkenti az emberi hibákat, és minimalizálja a szolgáltatáskimaradásokat. A tanúsítványmegújítás automatizálása felgyorsítja a megújítási folyamatot, és csökkenti a manuális kezelés során előforduló hibák valószínűségét. A Key Vault és bővítményei képességeinek használatakor hatékony automatikus folyamatot hozhat létre a műveletek és a megbízhatóság optimalizálásához.

A kezdeti fókusz az automatikus tanúsítványmegújítás, de szélesebb körű cél a biztonság növelése a folyamat minden területén. Ez a munka magában foglalja a minimális jogosultsági vagy hasonló hozzáférés-vezérlés elvét a Key Vault használatával. Emellett hangsúlyozza a Key Vault robusztus naplózási és monitorozási eljárásainak fontosságát is. Ez a cikk kiemeli annak fontosságát, hogy a Key Vault használatával erősítse meg a teljes tanúsítványkezelési életciklust, és bemutatja, hogy a biztonsági előnyök nem korlátozódnak a tanúsítványok tárolására.

A Tanúsítványok folyamatos frissítéséhez használhatja a Key Vaultot és annak automatikus megújítási folyamatát. Az automatikus megújítás fontos szerepet játszik az üzembe helyezési folyamatban, és segít a Key Vaulttal integrálható Azure-szolgáltatásoknak a naprakész tanúsítványok előnyeiben. Ez a cikk bemutatja, hogyan járul hozzá a folyamatos megújítás és az akadálymentesség az Azure-szolgáltatások általános üzembe helyezési hatékonyságához és megbízhatóságához.

Architektúra

Az alábbi diagram áttekintést nyújt a megoldás alapjául szolgáló architektúráról.

A diagram két fő szakaszból áll. Az egyik szakasz azure-beli kezdőzóna-előfizetés, a másik pedig a helyszínen van címkézve. A kezdőzóna-előfizetés szakaszában egy CERTLC címkével ellátott nagy szürke mező kisebb mezőket tartalmaz a virtuális hálózathoz és egy Azure Automation-fiókhoz. A Virtuális hálózat mezőben két számítógépikon dc és ENT-CA címkével van ellátva. A ENT-CA ikonon megkezdődik egy pontozott vonal, amely a hibrid runbook-feldolgozót jelöli. A vonal összeköti a runbook-feldolgozót az Automation-fiókmezőn belüli CERTLC-runbooktal. A Virtual Network (Virtuális hálózat) mező két kiszolgálót ábrázoló számítógépikonokat is tartalmaz, egyet a Key Vault bővítményével, egyet pedig egy egyéni szkripttel. Egy folytonos vonal összeköti a Virtuális hálózat mezőt a diagram helyszíni szakaszával. Az Automation-fiók mező az irányítópult betöltési runbookját is tartalmazza. Egy pontozott vonal köti össze ezt a runbookot a Nagyobb CERTLC szürke mezőben található Log Anaytics munkaterületével. Az Azure Storage-fiókot, az Azure Event Gridet, a Key Vaultot és a munkafüzetet ábrázoló ikonok szintén a CERTLC-mezőn belül találhatók. A helyreállítási tárat, a szerepkör-hozzárendeléseket, a szabályzat-hozzárendeléseket, az Azure Network Watchert és a Microsoft Defender for Cloud-t ábrázoló ikonok az Azure kezdőzóna-előfizetési szakaszán belül találhatók. A helyszíni szakaszban egy Azure Active Directory címkével ellátott mező két kisebb mezőt tartalmaz az Azure Arc-kompatibilis kiszolgálókhoz. Az egyik kiszolgáló a Key Vault bővítményt, a másik pedig egy egyéni szkriptet használ.

Töltse le az architektúra Visio-fájlját .

Az Azure-környezet a következő szolgáltatásplatform-erőforrásokból (PaaS) áll:

• Egy kulcstartó, amely csak ugyanazon nem minősített hitelesítésszolgáltató által kibocsátott tanúsítványok tárolására van dedikáltan

• Azure Event Grid-rendszertémakör

• Tárfiók üzenetsora

• Egy Azure Automation-fiók, amely egy Event Grid által megcélzott webhookot tesz elérhetővé

A lejárt és lejáró tanúsítványok folyamatának és állapotának figyeléséhez a Log Analytics tárolja az adatokat, és a munkaterület táblázatos és grafikus irányítópultok formájában jeleníti meg azokat.

Ez a forgatókönyv feltételezi, hogy egy meglévő nyilvános kulcsú infrastruktúra (PKI) már működik, és egy Microsoft Enterprise CA-t tartalmaz, amely egy Tartományhoz csatlakozik a Microsoft Entra-azonosítóban. Mind a PKI, mind az Active Directory tartomány az Azure-ban vagy a tanúsítványmegújításhoz konfigurált helyszíni kiszolgálókon is megtalálható.

A megújítás figyelésére tanúsítványokkal rendelkező virtuális gépeket (virtuális gépeket) nem kell csatlakoztatni az Active Directoryhoz vagy a Microsoft Entra-azonosítóhoz. Az egyetlen követelmény, hogy a hitelesítésszolgáltató és a hibrid feldolgozó – ha a hitelesítésszolgáltatótól eltérő virtuális gépen található – csatlakozik az Active Directoryhoz.

Az alábbi ábra az Azure-ökoszisztémán belüli tanúsítványmegújítás automatikus munkafolyamatát mutatja be.

A diagram nyilakkal és számokkal jeleníti meg a tanúsítványmegújítás automatikus munkafolyamatát az Azure-ökoszisztémában. A diagram tetején a Key Vault, a kiszolgáló, a hitelesítésszolgáltató, az Event Grid, a Tárfiók és egy Automation-fiók ikonjai láthatók. A nyilak címkéje 1–9. Az 1-es szám a hitelesítésszolgáltató tanúsítványából a Key Vaultba kerül. A 2-es szám a Key Vault egyik tanúsítványából a kiszolgálóra kerül. A 3- os szám a Key Vaultban található tanúsítványból az Event Gridbe kerül. A 4-es szám az Event Gridről a Storage-fiókra és az Automation-fiók webhookjára is vonatkozik. Az 5-ös szám egy kétoldalas nyíl, amely a Storage-fiókban és az Automation-fiókban található tanúsítványra és onnan indul. A 6-os szám egy kétoldalas nyíl, amely a hitelesítésszolgáltatóban és az Automation-fiókban található tanúsítványra és onnan indul. A 7-es szám az Automation-fiók tanúsítványából a kiszolgálóra kerül. A 9-es szám a Key Vault tanúsítványából a kiszolgálóra kerül.

Munkafolyamat

A következő munkafolyamat az előző diagramnak felel meg:

1. Key Vault-konfiguráció: A megújítási folyamat kezdeti fázisa magában foglalja a tanúsítványobjektum tárolását a kulcstartó kijelölt Tanúsítványok szakaszában.

   Bár nem kötelező, egyéni e-mail-értesítéseket úgy állíthat be, hogy megjelöli a tanúsítványt a címzett e-mail-címével. A tanúsítvány címkézése biztosítja, hogy a megújítási folyamat befejeződésekor időben értesítést küldsünk. Ha több címzettre van szükség, vesszővel vagy pontosvesszővel válassza el az e-mail-címeket. Ennek a célnak a címkeneve Címzett, értéke pedig a kijelölt rendszergazdák egy vagy több e-mail-címe.

   Ha a beépített tanúsítványértesítések helyett címkéket használ, értesítéseket alkalmazhat egy adott tanúsítványra egy kijelölt címzettel. A beépített tanúsítványértesítések válogatás nélkül érvényesek a kulcstartóban lévő összes tanúsítványra, és ugyanazt a címzettet használják mindenki számára.

   A beépített értesítéseket integrálhatja a megoldással, de más megközelítést használhat. A beépített értesítések csak a hamarosan esedékes tanúsítvány lejáratáról tudnak értesítést küldeni, de a címkék értesítést küldhetnek, ha a tanúsítvány megújul a belső hitelesítésszolgáltatón, és amikor az elérhető a Key Vaultban.

2. Key Vault bővítménykonfiguráció: Fel kell szerelnie a tanúsítványokat használó kiszolgálókat a Key Vault bővítménnyel, amely a Windows és Linux rendszerekkel kompatibilis sokoldalú eszköz. Az Azure-infrastruktúra szolgáltatásként (IaaS)-kiszolgálók, valamint az Azure Arcon keresztül integrálható helyszíni vagy más felhőkiszolgálók támogatottak. Konfigurálja a Key Vault bővítményt, hogy rendszeresen lekérdezhesse a Key Vaultot a frissített tanúsítványokhoz. A lekérdezési időköz testre szabható és rugalmas, így igazodik az adott üzemeltetési követelményekhez.

   Feljegyzés

   A Key Vault bővítmény linuxos RedHat és CentOS rendszeren nem érhető el. Ha ki szeretné terjeszteni a megoldást ezekre a rendszerekre, ütemezze azt a szkriptet, amely rendszeresen ellenőrzi a script_for_not_supported_ARC_on_Linux_distro Key Vault tanúsítványfrissítéseit, és alkalmazza őket a kiszolgálóra. A szkript futtatható natív Azure-beli virtuális gépeken (IaaS) és az Azure Arcba integrált helyszíni kiszolgálókon.

3. Event Grid-integráció: A tanúsítvány lejáratának közeledtével két Event Grid-előfizetés elfogja ezt a fontos élettartamú eseményt a kulcstartóból.

4. Event Grid-eseményindítók: Egy Event Grid-előfizetés tanúsítványmegújítási információkat küld egy tárfiók üzenetsorába. A másik előfizetés elindít egy runbookot az Automation-fiókban konfigurált webhookon keresztül. Ha a runbook nem tudja megújítani a tanúsítványt, vagy ha a hitelesítésszolgáltató nem érhető el, egy ütemezett folyamat attól a ponttól kezdve újra megújítja a runbookot, amíg az üzenetsor nem törlődik. Ez a folyamat robusztussá teszi a megoldást.

   A megoldás rugalmasságának javítása érdekében állítson be egy holt betűs hely mechanizmust. Kezeli azokat a lehetséges hibákat, amelyek az üzenet Eseményrácsról az előfizetési célokra, a tárolási üzenetsorra és a webhookra való átvitele során fordulhatnak elő.

5. Tárfiók üzenetsora: A runbook a hibrid Automation runbook-feldolgozóként konfigurált ca-kiszolgálón indul el. Minden olyan üzenetet kap a tárfiók üzenetsorában, amely tartalmazza a lejáró tanúsítvány nevét és a runbookot üzemeltető kulcstartó nevét. Az üzenetsor minden üzenetéhez az alábbi lépések szükségesek.

6. Tanúsítványmegújítás: A runbook szkriptje az Azure-hoz csatlakozik, hogy lekérje a tanúsítvány létrehozás során beállított sablonnevét. A sablon a hitelesítésszolgáltató konfigurációs összetevője, amely meghatározza a létrehozandó tanúsítványok attribútumait és célját.

   A Key Vault szkriptfelületei után elindít egy tanúsítványmegújítási kérelmet. Ez a kérés elindítja a Key Vaultot egy tanúsítvány-aláírási kérelem (CSR) létrehozásához, és ugyanazt a sablont alkalmazza, amely az eredeti tanúsítványt létrehozta. Ez a folyamat biztosítja, hogy a megújított tanúsítvány megfeleljen az előre meghatározott biztonsági szabályzatoknak. A hitelesítési és engedélyezési folyamat biztonságával kapcsolatos további információkért tekintse meg a Biztonság szakaszt.

   A szkript letölti a CSR-t, és elküldi a hitelesítésszolgáltatónak.

   A hitelesítésszolgáltató létrehoz egy új x509-tanúsítványt a megfelelő sablon alapján, és visszaküldi a szkriptnek. Ez a lépés biztosítja, hogy a megújított tanúsítvány megfeleljen az előre meghatározott biztonsági szabályzatoknak.

7. Tanúsítványegyesítés és Key Vault-frissítés: A szkript újra egyesíti a megújított tanúsítványt a kulcstartóban. Ez a lépés véglegesíti a frissítési folyamatot, és eltávolítja az üzenetet az üzenetsorból. A teljes folyamat során a tanúsítvány titkos kulcsa soha nem lesz kinyerve a kulcstartóból.

8. Figyelési és e-mailes értesítés: A különböző Azure-összetevők, például az Automation-fiók, a Key Vault, a tárfiók-üzenetsor és az Event Grid által futtatott összes művelet naplózva lesz az Azure Monitor Naplók munkaterületén a figyelés engedélyezéséhez. Miután a tanúsítvány egyesül a kulcstartóban, a szkript e-mailt küld a rendszergazdáknak, hogy értesítsék őket az eredményről.

9. Tanúsítvány lekérése: Ebben a fázisban fontos szerepet játszik a kiszolgáló Key Vault-bővítménye. Automatikusan letölti a tanúsítvány legújabb verzióját a kulcstartóból a tanúsítványt használó kiszolgáló helyi tárolójába. Több kiszolgálót is konfigurálhat a Key Vault bővítménnyel, hogy ugyanazt a tanúsítványt (helyettesítő vagy több tulajdonos alternatív neve (SAN) tanúsítvánnyal) kérje le a kulcstartóból.

   Olyan Linux-disztribúciók esetén, ahol a Key Vault-bővítmény nem telepíthető, ütemezze a script_for_not_supported_ARC_on_Linux_distro szkriptet, hogy ugyanazt a funkciót érje el, mint a bővítmény.

Összetevők

A megoldás különböző összetevőket használ az Automatikus tanúsítványmegújítás kezeléséhez az Azure-ban. Az alábbi szakaszok ismertetik az egyes összetevőket és azok célját.

Key Vault-bővítmény

A Key Vault-bővítmény nélkülözhetetlen szerepet játszik a tanúsítványmegújítás automatizálásában, és az automatizálást igénylő kiszolgálókra kell telepíteni. A Windows-kiszolgálók telepítési eljárásairól további információt a Windows Key Vault bővítményében talál. A Linux-kiszolgálók telepítési lépéseiről további információt a Linuxhoz készült Key Vault-bővítményben talál. Az Azure Arc-kompatibilis kiszolgálókról további információt az Arc-kompatibilis kiszolgálók Key Vault-bővítményében talál.

Feljegyzés

A következő szkriptek olyan minták, amelyeket az Azure Cloud Shellből futtathat a Key Vault bővítmény konfigurálásához:

• Key Vault-bővítmény Windows-kiszolgálókhoz
• Key Vault-bővítmény Linux-kiszolgálókhoz
• Key Vault-bővítmény Azure Arc-kompatibilis Windows-kiszolgálókhoz
• Key Vault-bővítmény Azure Arc-kompatibilis Linux-kiszolgálókhoz

A Key Vault bővítménykonfigurációs paraméterei a következők:

• Key Vault neve: A megújításhoz szükséges tanúsítványt tartalmazó kulcstartó.

• Tanúsítvány neve: A megújítandó tanúsítvány neve.

• Tanúsítványtároló, név és hely: A tanúsítvány tárolására szolgáló tanúsítványtároló. Windows-kiszolgálókon a Néva számítógép személyes tanúsítványtárolója. Linux-kiszolgálókon megadhatja a fájlrendszer elérési útját, feltéve, hogy az alapértelmezett érték AzureKeyVaulta Key Vault tanúsítványtárolója.

• linkOnRenewal: Egy jelölő, amely jelzi, hogy a tanúsítványt a megújítás során a kiszolgálóhoz kell-e kapcsolni. Ha Windows rendszerű gépeken van beállítva true , az új tanúsítványt az áruházban másolja, és a régi tanúsítványhoz csatolja, amely hatékonyan újrakonfigurálja a tanúsítványt. Az alapértelmezett érték, falseezért explicit kötésre van szükség.

• pollingIntervalInS: Ez az érték a Key Vault-bővítmény lekérdezési időközét jelzi a tanúsítványfrissítések kereséséhez. Az alapértelmezett érték másodperc 3600 (1 óra).

• authenticationSetting: A Key Vault-bővítmény hitelesítési beállítása. Az Azure-kiszolgálók esetében kihagyhatja ezt a beállítást, így a rendszer a virtuális gép rendszer által hozzárendelt felügyelt identitását használja a kulcstartóhoz. Helyszíni kiszolgálók esetén adja meg a beállítást msiEndpoint = "http://localhost:40342/metadata/identity" úgy, hogy az Azure Arc előkészítés során létrehozott számítógép-objektumhoz társított szolgáltatásnév legyen használva.

Feljegyzés

Csak a kezdeti beállítás során adja meg a Key Vault bővítményparamétereit. Ez a megközelítés biztosítja, hogy a megújítási folyamat során ne végezzenek módosításokat.

Automation-fiók

Az Automation-fiók kezeli a tanúsítványmegújítási folyamatot. A fiókot egy runbookmal kell konfigurálnia a PowerShell-szkript használatával.

Hibrid feldolgozócsoportot is létre kell hoznia. A hibrid feldolgozócsoport társítása a hitelesítésszolgáltató ugyanazon Active Directory-tartományának Egy Windows Server-tagjával, ideális esetben magával a hitelesítésszolgáltatóval a runbookok indításához.

A runbooknak rendelkeznie kell egy társított webhookkal , amelyeket a hibrid runbook-feldolgozó kezdeményez. Konfigurálja a webhook URL-címét az Event Grid rendszertémakör esemény-előfizetésében.

Tárfiók üzenetsora

A tárfiók üzenetsora tárolja a megújított tanúsítvány nevét és a tanúsítványt tartalmazó kulcstartót tartalmazó üzeneteket. Konfigurálja a tárfiók-üzenetsort az Event Grid rendszertémakör esemény-előfizetésében. Az üzenetsor kezeli a szkript leválasztása a tanúsítvány lejárati értesítési eseményétől. Támogatja az esemény várólistán belüli megőrzését. Ez a módszer segít biztosítani, hogy a tanúsítványok megújítási folyamata ütemezett feladatokon keresztül ismétlődjön, még akkor is, ha a szkript futtatása során problémák lépnek fel.

Hibrid runbook-feldolgozó

A hibrid runbook-feldolgozó nélkülözhetetlen szerepet játszik a runbookok használatában. A hibrid runbook-feldolgozót az Azure Hybrid Worker bővítménymetódussal kell telepítenie, amely egy új telepítés támogatott módja. Létrehozhatja és társíthatja egy Windows Server-taggal a hitelesítésszolgáltató ugyanazon Active Directory-tartományában, ideális esetben maga a hitelesítésszolgáltató.

Key Vault (kulcs tároló)

A Key Vault a tanúsítványok biztonságos adattára. A kulcstartó eseményszakaszában társítsa az Event Grid rendszertémakört az Automation-fiók webhookához és egy előfizetéshez.

Eseményhálózat

Az Event Grid kezeli az eseményvezérelt kommunikációt az Azure-ban. Az Event Grid konfigurálásához állítsa be a rendszertémakört és az esemény-előfizetést a releváns események monitorozásához. A releváns események közé tartoznak a tanúsítványlejárati riasztások, a műveletek aktiválása az automatizálási munkafolyamaton belül, valamint üzenetek közzététele a tárfiók üzenetsorában. Konfigurálja az Event Grid rendszertémakörét a következő paraméterekkel:

• Forrás: A tanúsítványokat tartalmazó kulcstartó neve.

• Forrás típusa: A forrás típusa. A megoldás forrástípusa például a következő Azure Key Vault: .

• Eseménytípusok: A monitorozni kívánt esemény típusa. A megoldás eseménytípusa például a következő Microsoft.KeyVault.CertificateNearExpiry: . Ez az esemény akkor aktiválódik, ha egy tanúsítvány lejárata közel van.

• Webhook-előfizetés:

  • Előfizetés neve: Az esemény-előfizetés neve.

  • Végpont típusa: A használandó végpont típusa. A megoldás végponttípusa például a következő Webhook: .

  • Végpont: Az Automation-fiók runbookjához társított webhook URL-címe. További információkért tekintse meg az Automation-fiók szakaszt.

• StorageQueue-előfizetés:

  • Előfizetés neve: Az esemény-előfizetés neve.

  • Végpont típusa: A használandó végpont típusa. A megoldás végponttípusa például a következő StorageQueue: .

  • Végpont: A tárfiók üzenetsora.

Log Analytics-munkaterület és Azure-munkafüzet

Ez a megoldás Log Analytics-munkaterületet és Azure-munkafüzetet használ a Key Vaultban tárolt tanúsítványállapotok monitorozásának és vizualizációjának javítására. Ezek az összetevők kulcsfontosságú szerepet játszanak a tanúsítvány állapotának láthatóságának fenntartásában:

• A Log Analytics-munkaterület adatokat gyűjt és tárol a tanúsítványállapotokról. Azonosítja, hogy a tanúsítványok lejártak, hamarosan lejárnak, vagy továbbra is érvényesek.

• Az Azure-munkafüzet adatokat kér le a Log Analytics-munkaterületről, és vizuális ábrázolásokkal, például kördiagramokkal és részletes táblázatokkal jeleníti meg őket egy irányítópulton. A tanúsítványokat nem lejárt (zöld), hamarosan lejáró (sárga) és lejárt (piros) kategóriákba sorolja.

A következő összetevők lekérik és bemutatják a munkafüzet tanúsítványadatait:

• Az adatbetöltési runbookok közvetlenül az Azure-ból futnak, és nem igényelnek hibrid feldolgozó környezetét. Lekéri a tanúsítványadatokat a Key Vaultból, és elküldi azokat egy, a Log Analytics-munkaterületen definiált egyéni táblába. A runbook ütemezett ütemben fut.

• A munkafüzet lekérdezi az adatokat az egyéni táblázatból, és megjeleníti őket egy kördiagramon és egy részletes táblázatban is. A tanúsítványokat a lejárati állapotuk alapján emeli ki.

Ezeknek az összetevőknek az integrálásával a megoldás átfogóbb megközelítést hoz létre a tanúsítvány-életciklus-kezeléshez.

Alternatívák

Ez a megoldás egy Automation-fiókkal vezényeli a tanúsítványmegújítási folyamatot, és hibrid Runbook-feldolgozóval biztosítja a helyszíni hitelesítésszolgáltatóval vagy más felhőkkel való integrálás rugalmasságát.

Egy másik módszer az Azure Logic Apps használata. A két megközelítés közötti fő különbség az, hogy az Automation-fiók egy PaaS-megoldás, a Logic Apps pedig egy szolgáltatásként használt szoftver (SaaS) megoldás.

A Logic Apps fő előnye, hogy teljes mértékben felügyelt szolgáltatás. Nem kell aggódnia a mögöttes infrastruktúra miatt. A Logic Apps emellett könnyen integrálható külső összekötőkkel. Ez a funkció kibővíti az értesítési lehetőségek körét, például a Microsoft Teams vagy a Microsoft 365 együttműködését.

A Logic Apps nem rendelkezik a hibrid runbook-feldolgozóhoz hasonló funkcióval, ami kevésbé rugalmas integrációt eredményez a hitelesítésszolgáltatóval, ezért az Automation-fiók az előnyben részesített megközelítés.

Forgatókönyv részletei

Minden szervezetnek biztonságos és hatékony tanúsítvány-életciklus-kezelésre van szüksége. A tanúsítvány lejárat előtti frissítésének elmulasztása szolgáltatáskimaradásokhoz vezethet, és jelentős költségekkel járhat a vállalkozás számára.

A nagyvállalatok általában összetett informatikai infrastruktúrát üzemeltetnek, amelyek több csapatot is bevonnak a tanúsítvány életciklusáért. A tanúsítványmegújítási folyamat manuális jellege gyakran hibákat okoz, és értékes időt vesz igénybe.

Ez a megoldás a Microsoft Tanúsítványszolgáltatás által kiadott tanúsítványmegújítás automatizálásával oldja meg ezeket a kihívásokat. A szolgáltatást széles körben használják különböző kiszolgálóalkalmazásokhoz, például webkiszolgálókhoz, SQL-kiszolgálókhoz, valamint titkosításhoz, nemrepudiáláshoz, aláírási célokhoz, valamint a Key Vaultban az időszerű frissítések és a tanúsítványtárolás biztonságossá tételéhez. A szolgáltatás azure-kiszolgálókkal és helyszíni kiszolgálókkal való kompatibilitása támogatja a rugalmas üzembe helyezést.

Lehetséges használati esetek

Ez a megoldás a következő iparágakban tevékenykedő szervezeteknek nyújt megoldást:

• Használja a Microsoft Tanúsítványszolgáltatást a kiszolgálótanúsítványok létrehozásához.

• Automatizálás megkövetelése a tanúsítványmegújítási folyamatban a műveletek felgyorsítása és a hibák minimalizálása érdekében, ami segít elkerülni az üzleti veszteségeket és a szolgáltatásiszint-szerződés (SLA) megsértését.

• Biztonságos tanúsítványtárolást igényel az adattárakban, például a Key Vaultban.

Ez az architektúra alapvető üzembe helyezési megközelítésként szolgál az alkalmazás kezdőzónás előfizetései között.

Megfontolások

Ezek a szempontok implementálják az Azure Well-Architected Framework alappilléreit, amely a számítási feladatok minőségének javítására használható vezérelvek készlete. További információ: Well-Architected Framework.

Biztonság

A biztonság biztosítékokat nyújt a szándékos támadások és az értékes adatokkal és rendszerekkel való visszaélés ellen. További információkért lásd a Biztonsági terv felülvizsgálati ellenőrzőlistát.

A Key Vault rendszerben a tanúsítványok biztonságosabban titkosított titkos kulcsként vannak tárolva, és az Azure szerepköralapú hozzáférés-vezérlése (RBAC) védi őket.

A tanúsítványmegújítási folyamat során az identitásokat használó összetevők a következők:

• A hibrid runbook-feldolgozó rendszerfiókja, amely a virtuális gép fiókja alatt működik.

• A Key Vault bővítmény, amely a virtuális géphez társított felügyelt identitást használja.

• Az Automation-fiók, amely a kijelölt felügyelt identitását használja.

A minimális jogosultság elve szigorúan érvényesül a tanúsítványmegújítási eljárásban részt vevő összes identitáson.

A hibrid runbook-feldolgozó kiszolgáló rendszerfiókjának rendelkeznie kell azzal a joggal, hogy tanúsítványokat regisztráljon egy vagy több tanúsítványsablonon, amelyek új tanúsítványokat hoznak létre.

A tanúsítványokat tartalmazó kulcstartóban az Automation-fiók identitásának rendelkeznie kell a Key Vault Certificate Officer szerepkörével. Emellett a tanúsítványhozzáférést igénylő kiszolgálóknak rendelkezniük kell és Get engedélyekkel kell rendelkezniük List a Key Vault tanúsítványtárolójában.

A tárfiók üzenetsorában az Automation-fiók identitásának rendelkeznie kell a , Storage Queue Data Contributorés Reader and Data Access a Readerszerepkörök használatával.

Azokban az esetekben, amikor a Key Vault-bővítmény üzembe helyez egy Azure-beli virtuális gépen, a hitelesítés a virtuális gép felügyelt identitásán keresztül történik. Ha azonban egy Azure Arc-kompatibilis kiszolgálón van üzembe helyezve, a hitelesítést egy szolgáltatásnév használatával kezeli a rendszer. A felügyelt identitást és a szolgáltatásnevet is hozzá kell rendelni a Key Vault titkos felhasználói szerepköréhez a tanúsítványt tároló kulcstartóban. Titkos szerepkört kell használnia, mert a tanúsítvány titkos kulcstartóban van tárolva.

Költségoptimalizálás

A költségoptimalizálás a szükségtelen kiadások csökkentésére és a működési hatékonyság javítására összpontosít. További információt a Költségoptimalizálás tervezési felülvizsgálati ellenőrzőlistájában talál.

Ez a megoldás használatalapú fizetéses keretrendszerben működő Azure PaaS-megoldásokat használ a költségek optimalizálásához. A költségek a megújításra szoruló tanúsítványok számától és a Key Vault-bővítménnyel felszerelt kiszolgálók számától függenek, ami alacsony többletterhelést eredményez.

A Key Vault bővítményből és a hibrid runbook-feldolgozóból eredő költségek a telepítési lehetőségektől és a lekérdezési időközöktől függenek. Az Event Grid költsége a Key Vault által létrehozott események mennyiségének felel meg. Az Automation-fiók költsége ugyanakkor korrelál a használt runbookok számával.

A Key Vault költsége különböző tényezőktől függ, például a választott termékváltozattól (Standard vagy Prémium), a tárolt tanúsítványok mennyiségétől és a tanúsítványokon végrehajtott műveletek gyakoriságától.

A Key Vaultban ismertetett konfigurációkhoz hasonló szempontok vonatkoznak a tárfiókra is. Ebben az esetben egy standard termékváltozat helyileg redundáns tárolási replikációval elegendő a tárfiókhoz. A tárfiók-üzenetsor költsége általában minimális.

A megoldás megvalósításának költségeinek becsléséhez használja az Azure díjkalkulátorát. Adja meg a cikkben leírt szolgáltatásokat.

Működési kiválóság

Az Operational Excellence azokat az üzemeltetési folyamatokat fedi le, amelyek üzembe helyeznek egy alkalmazást, és éles környezetben működtetik. További információ: Az operatív kiválóság tervezési felülvizsgálati ellenőrzőlistája.

Az automatikus tanúsítványmegújítási eljárás biztonságosan tárolja a tanúsítványokat a kulcstartóban található összes tanúsítványra vonatkozó szabványosított folyamatokkal.

Az Event Grid-szel való integráció kiegészítő műveleteket indít el, például értesíti a Microsoft Teamst vagy a Microsoft 365-öt, és egyszerűsíti a megújítási folyamatot. Ez az integráció jelentősen csökkenti a tanúsítványmegújítási időt, és csökkenti azokat a hibákat, amelyek az SLA-k üzleti fennakadásaihoz és megsértéséhez vezethetnek.

Emellett az Azure Monitor, a Microsoft Sentinel, a Microsoft Copilot for Security és a Felhőhöz készült Microsoft Defender zökkenőmentes integrációja elősegíti a tanúsítványmegújítási folyamat folyamatos monitorozását. Támogatja az anomáliadetektáltságot, és biztosítja a robusztus biztonsági intézkedések fenntartását.

A forgatókönyv üzembe helyezése

A cikkben ismertetett környezet üzembe helyezéséhez kattintson az alábbi gombra. Az üzembe helyezés körülbelül két percet vesz igénybe, és létrehoz egy kulcstartót, egy, a két előfizetéssel konfigurált Event Grid rendszertémakört, egy tárfiókot, amely tartalmazza a certlc-üzenetsort , valamint egy Automation-fiókot, amely tartalmazza a runbookot és az Event Gridhez társított webhookot .

Az üzembe helyezéshez szükséges paraméterekkel kapcsolatos részletes információkat a kódminta-portálon találja.

Fontos

A teljes tesztkörnyezetet üzembe helyezheti a teljes automatikus tanúsítványmegújítási munkafolyamat bemutatásához. Használja a kódmintát a következő erőforrások üzembe helyezéséhez:

• Active Directory Domain Services (AD DS) egy tartományvezérlő virtuális gépen belül.
• Active Directory Tanúsítványszolgáltatások (AD CS) a ca virtuális gépen belül, a tartományhoz csatlakoztatva, a WebServerShort sablonnal konfigurálva a tanúsítványok megújításához.
• Egy Windows Simple Mail Transfer Protocol (SMTP) kiszolgáló , amely a ca ugyanazon virtuális gépére van telepítve az e-mail-értesítések küldéséhez. A MailViewer az elküldött e-mail-értesítések ellenőrzésére is telepít.
• A tartományvezérlő virtuális gépére telepített Key Vault-bővítmény a megújított tanúsítványok Key Vault-bővítményből való lekéréséhez.

Közreműködők

A Microsoft fenntartja ezt a cikket. A következő közreműködők írták ezt a cikket.

Fő szerzők:

• Fabio Masciotra | Főtanácsadó
• Angelo Mazzucchi | Főtanácsadó

A nem nyilvános LinkedIn-profilok megtekintéséhez jelentkezzen be a LinkedInbe.

Következő lépések

• Az Azure Key Vault ismertetése
• Key Vault virtuálisgép-bővítmény Windowshoz
• Key Vault virtuálisgép-bővítmény Linuxhoz
• Mi az Azure Automation?
• Az Azure Automation hibrid runbook-feldolgozó áttekintése
• Mi az Event Grid?