Információk az Azure Key Vault-tanúsítványokról
Az Azure Key Vault tanúsítványtámogatása az X.509-tanúsítványok felügyeletét és a következő viselkedéseket biztosítja:
Lehetővé teszi a tanúsítvány tulajdonosának, hogy egy kulcstartó létrehozási folyamatán vagy egy meglévő tanúsítvány importálásán keresztül hozzon létre tanúsítványt. Az importált tanúsítványok magukban foglalják az önaláírt tanúsítványokat és a hitelesítésszolgáltatótól (CA) létrehozott tanúsítványokat is.
Lehetővé teszi egy Key Vault tanúsítvány tulajdonosának, hogy az X.509-tanúsítványok biztonságos tárolását és kezelését anélkül implementálja, hogy privát kulcsanyagokkal kellene együttműködnie.
Lehetővé teszi, hogy a tanúsítvány tulajdonosa olyan szabályzatot hozzon létre, amely Key Vault irányítja a tanúsítvány életciklusának kezelésére.
Lehetővé teszi, hogy a tanúsítvány tulajdonosa kapcsolattartási adatokat adjon meg a lejárati és megújítási életciklus-eseményekről szóló értesítésekhez.
Támogatja az automatikus megújítást a kiválasztott kiállítókkal: Key Vault partner X.509-tanúsítványszolgáltatók és hitelesítésszolgáltatók.
Megjegyzés
A nem partneri szolgáltatók és hatóságok is engedélyezettek, de nem támogatják az automatikus megújítást.
A tanúsítványlétrehozás részleteiért lásd: Tanúsítványlétrehozási módszerek.
A tanúsítványok összetétele
A Key Vault tanúsítvány létrehozásakor a rendszer egy címezhető kulcsot és titkos kulcsot is létrehoz ugyanazzal a névvel. A Key Vault kulcs lehetővé teszi a kulcsműveleteket, a Key Vault titkos kód pedig lehetővé teszi a tanúsítvány értékének titkos kulcsként való lekérését. A Key Vault-tanúsítványok nyilvános X.509-tanúsítvány metaadatait is tartalmazzák.
A tanúsítványok azonosítója és verziója hasonló a kulcsok és titkos kódokéhoz. A Key Vault tanúsítványverzióval létrehozott megcímezhető kulcs és titkos kód adott verziója elérhető a Key Vault tanúsítvány válaszában.
Exportálható vagy nem exportálható kulcs
A Key Vault tanúsítvány létrehozásakor a titkos kulcs pfX vagy PEM formátumban is lekérhető a címezhető titkos kódból. A tanúsítvány létrehozásához használt szabályzatnak azt kell jeleznie, hogy a kulcs exportálható. Ha a szabályzat azt jelzi, hogy a kulcs nem exportálható, akkor a titkos kulcs nem része az értéknek, amikor titkos kulcsként kérik le.
A címezhető kulcs relevánsabbá válik a nem exportálható Key Vault tanúsítványokkal kapcsolatban. A címezhető Key Vault kulcs műveletei a keyusage Key Vault tanúsítvány létrehozásához használt Key Vault tanúsítványszabályzat mezőjéből vannak leképezve.
Az alábbi táblázat a támogatott kulcstípusokat sorolja fel.
| Kulcs típusa | Névjegy | Biztonság |
|---|---|---|
| RSA | Szoftveresen védett RSA-kulcs | FIPS 140-2 1. szint |
| RSA-HSM | HSM által védett RSA-kulcs (csak prémium termékváltozat) | FIPS 140-2 2. szintű HSM |
| EC | Szoftveresen védett háromliptikus görbekulcs | FIPS 140-2 1. szint |
| EC-HSM | HSM által védett háromliptikus görbekulcs (csak prémium termékváltozat) | FIPS 140-2 2. szintű HSM |
| Október | Szoftveresen védett oktettkulcs | FIPS 140-2 1. szint |
Az exportálható kulcsok csak RSA és EC használatával engedélyezettek. A HSM-kulcsok nem exportálhatók. További információ a kulcstípusokról: Tanúsítványok létrehozása.
Tanúsítványattribútumok és címkék
A tanúsítvány metaadatai, a címezhető kulcs és a címezhető titkos kód mellett a Key Vault tanúsítvány attribútumokat és címkéket is tartalmaz.
Attribútumok
A tanúsítványattribútumok a címezhető kulcs és a titkos kulcs attribútumaihoz vannak tükrözve, amelyek a Key Vault tanúsítvány létrehozásakor jönnek létre.
Egy Key Vault tanúsítvány a következő attribútummal rendelkezik:
enabled: Ez a logikai attribútum nem kötelező. Az alapértelmezett szint atrue. Megadhatja, hogy a tanúsítványadatok titkos kulcsként lekérhetők-e, vagy kulcsként kezelhetők-e.Ezt az attribútumot a és
expaz közöttiexpnbfművelet eseténnbfis használja, de csak akkor, haenabledaz értékretruevan állítva. A ésexpaznbfablakon kívüli műveletek automatikusan le lesznek tiltva.
A válasz a következő további írásvédett attribútumokat tartalmazza:
created:IntDatea tanúsítvány ezen verziójának létrehozását jelzi.updated:IntDatea tanúsítvány ezen verziójának frissítését jelzi.exp:IntDateaz X.509-tanúsítvány lejárati dátumának értékét tartalmazza.nbf:IntDateaz X.509-tanúsítvány "nem korábbi" dátumának értékét tartalmazza.
Megjegyzés
Ha egy Key Vault-tanúsítvány lejár, az ahhoz tartozó címezhető kulcs és titkos kód nem fog működni.
Címkék
A tanúsítványok címkéi a kulcs/érték párok ügyfél által megadott szótárai, hasonlóan a kulcsok és titkos kulcsok címkéihez.
Megjegyzés
A hívók elolvashatják a címkéket, ha rendelkeznek a listával , vagy engedélyt kapnak az adott objektumtípusra (kulcsok, titkos kódok vagy tanúsítványok).
Tanúsítványházirend
A tanúsítványszabályzatok információkat tartalmaznak a Key Vault tanúsítványok életciklusának létrehozásáról és kezeléséről. Ha egy titkos kulccsal rendelkező tanúsítványt importál a kulcstartóba, a Key Vault szolgáltatás az X.509-tanúsítvány olvasásával létrehoz egy alapértelmezett szabályzatot.
Ha teljesen új Key Vault tanúsítványt hoz létre, meg kell adni egy szabályzatot. A szabályzat meghatározza, hogyan hozhatja létre ezt a Key Vault tanúsítványverziót vagy a következő Key Vault tanúsítványverziót. A szabályzat létrehozása után nem szükséges egymást követő létrehozási műveletekhez a jövőbeli verziókhoz. A szabályzatnak csak egy példánya van egy Key Vault tanúsítvány összes verziójához.
Magas szinten a tanúsítványszabályzat a következő információkat tartalmazza:
X.509-tanúsítványtulajdonságok, amelyek tartalmazzák a tulajdonos nevét, a tulajdonos alternatív nevét és az X.509-tanúsítványkérelem létrehozásához használt egyéb tulajdonságokat.
Kulcstulajdonságok, amelyek közé tartozik a kulcs típusa, a kulcs hossza, az exportálható és a
ReuseKeyOnRenewalmezők. Ezek a mezők Key Vault ismertetik a kulcsok létrehozásának módját.A támogatott kulcstípusok : RSA, RSA-HSM, EC, EC-HSM és okt.
Titkos kódok tulajdonságai, például a titkos kód értékének létrehozásához használt, címezhető titkos kulcs tartalomtípusa a tanúsítvány titkos kulcsként való lekéréséhez.
A Key Vault tanúsítvány élettartamműveletei. Minden életművelet a következőket tartalmazza:
- Eseményindító: A lejárat vagy élettartam százalékát megelőző napokban van megadva.
- Művelet:
emailContactsvagyautoRenew.
Az X.509-tanúsítványok kiállításához használandó tanúsítványkibocsátó paraméterei.
A szabályzathoz társított attribútumok.
További információ: Set-AzKeyVaultCertificatePolicy.
X.509-használat leképezése kulcsműveletekkel
Az alábbi táblázat az X.509-kulcshasználati szabályzatok megfeleltetését mutatja be egy Key Vault tanúsítvány létrehozása során létrehozott kulcs hatékony kulcsműveleteihez.
| X.509-kulcshasználati jelzők | Key Vault kulcsműveletek | Alapértelmezett viselkedés |
|---|---|---|
DataEncipherment |
encrypt, decrypt |
Nem alkalmazható |
DecipherOnly |
decrypt |
Nem alkalmazható |
DigitalSignature |
sign, verify |
Key Vault alapértelmezett használati specifikáció nélkül a tanúsítvány létrehozásakor |
EncipherOnly |
encrypt |
Nem alkalmazható |
KeyCertSign |
sign, verify |
Nem alkalmazható |
KeyEncipherment |
wrapKey, unwrapKey |
Key Vault alapértelmezett használati specifikáció nélkül a tanúsítvány létrehozásakor |
NonRepudiation |
sign, verify |
Nem alkalmazható |
crlsign |
sign, verify |
Nem alkalmazható |
Tanúsítványkibocsátó
A Key Vault tanúsítványobjektum olyan konfigurációt tartalmaz, amely az X.509-tanúsítványok rendelésére szolgáló kiválasztott tanúsítványkibocsátó szolgáltatóval való kommunikációra szolgál.
Key Vault TLS-/SSL-tanúsítványokhoz a következő tanúsítványkibocsátó szolgáltatókkal rendelkező partnereket.
| Szolgáltató neve | Helyek |
|---|---|
| DigiCert | A nyilvános felhőben és a Azure Government Key Vault szolgáltatás minden helyén támogatott |
| Globalsign | A nyilvános felhőben és a Azure Government Key Vault szolgáltatás minden helyén támogatott |
Ahhoz, hogy a tanúsítványkibocsátó létrejönjön egy kulcstartóban, a rendszergazdának el kell végeznie a következő előfeltétel-lépéseket:
A szervezet előkészítése legalább egy hitelesítésszolgáltatóval.
TLS-/SSL-tanúsítványok regisztrálásához (és megújításához) hozzon létre hitelesítő adatokat Key Vault. Ez a lépés a szolgáltató kiállítói objektumának kulcstartóban való létrehozásához nyújt konfigurációt.
A kiállítóobjektumok tanúsítványportálról történő létrehozásáról a Key Vault csapat blogjában talál további információt.
Key Vault lehetővé teszi több kiállítóobjektum létrehozását különböző kiállítószolgáltatói konfigurációkkal. A kiállítóobjektum létrehozása után a neve egy vagy több tanúsítványszabályzatban hivatkozható rá. A kiállító objektumra való hivatkozás arra utasítja Key Vault, hogy a tanúsítvány létrehozása és megújítása során a kiállító objektumában megadott konfigurációt használja, amikor az X.509-tanúsítványt kéri a hitelesítésszolgáltatótól.
A kiállítói objektumok a tárolóban jönnek létre. Csak Key Vault tanúsítványokkal használhatók ugyanabban a tárolóban.
Megjegyzés
A rendszer a regisztráció során elküldi a nyilvánosan megbízható tanúsítványokat a hitelesítésszolgáltatóknak és a tanúsítványátláthatósági (CT)-naplóknak az Azure határain kívülre. Ezekre az entitások GDPR-szabályzatai vonatkoznak.
Tanúsítvány névjegyei
A tanúsítvány névjegyei névjegyadatokat tartalmaznak a tanúsítványélettartam eseményei által aktivált értesítések küldéséhez. A key vault összes tanúsítványa megosztja a kapcsolattartási adatokat.
A rendszer értesítést küld a kulcstartóban található bármely tanúsítvány eseményéhez megadott összes névjegynek. A tanúsítványkapcsolatok beállításáról további információt az Azure-Key Vault-tanúsítványok megújítása című témakörben talál.
Tanúsítvány hozzáférés-vezérlése
Key Vault kezeli a tanúsítványok hozzáférés-vezérlését. A tanúsítványokat tartalmazó kulcstartó hozzáférés-vezérlést biztosít. A tanúsítványok hozzáférés-vezérlési szabályzata eltér az ugyanabban a kulcstartóban található kulcsok és titkos kulcsok hozzáférés-vezérlési házirendjeitől.
A felhasználók létrehozhatnak egy vagy több tárolót a tanúsítványok tárolásához, hogy fenntartsák a forgatókönyvnek megfelelő szegmentálást és a tanúsítványok kezelését. További információ: Tanúsítványhozzáférés-vezérlés.
Tanúsítványhasználati esetek
Biztonságos kommunikáció és hitelesítés
A TLS-tanúsítványok segíthetnek az interneten keresztüli kommunikáció titkosításában és a webhelyek identitásának kialakításában. Ez a titkosítás biztonságosabbá teszi a belépési pontot és a kommunikációs módot. Emellett a nyilvános hitelesítésszolgáltató által aláírt láncolt tanúsítványok segíthetnek ellenőrizni, hogy a tanúsítványokat tároló entitások jogszerűek-e.
Példaként íme néhány használati eset, amikor tanúsítványokat használ a kommunikáció biztonságossá tételéhez és a hitelesítés engedélyezéséhez:
- Intranetes/internetes webhelyek: Védje az intranetes webhelyhez való hozzáférést, és TLS-tanúsítványokon keresztül biztosítsa az interneten keresztüli titkosított adatátvitelt.
- IoT- és hálózati eszközök: Az eszközök védelme és védelme tanúsítványok használatával a hitelesítéshez és a kommunikációhoz.
- Felhő/többfelhős: Biztonságossá teheti a felhőalapú alkalmazásokat a helyszínen, a felhők között vagy a felhőszolgáltató bérlőjében.
Kódaláírás
A tanúsítványok segíthetnek a szoftver kódjának/szkriptjének védelmében, hogy a szerző az interneten keresztül, rosszindulatú entitások beavatkozása nélkül meg tudja osztani a szoftvert. Miután a szerző aláírja a kódot egy tanúsítvánnyal, és kihasználta a kódaláírási technológiát, a szoftver egy hitelesítési bélyeggel van megjelölve, amely megjeleníti a szerzőt és a webhelyét. A kódaláíráshoz használt tanúsítvány segít ellenőrizni a szoftver hitelességét, és elősegíti a végpontok közötti biztonságot.