Információk az Azure Key Vault-tanúsítványokról

Az Azure Key Vault tanúsítványtámogatása az X.509-tanúsítványok felügyeletét és a következő viselkedéseket biztosítja:

  • Lehetővé teszi a tanúsítvány tulajdonosának, hogy egy kulcstartó létrehozási folyamatán vagy egy meglévő tanúsítvány importálásán keresztül hozzon létre tanúsítványt. Az importált tanúsítványok magukban foglalják az önaláírt tanúsítványokat és a hitelesítésszolgáltatótól (CA) létrehozott tanúsítványokat is.

  • Lehetővé teszi egy Key Vault tanúsítvány tulajdonosának, hogy az X.509-tanúsítványok biztonságos tárolását és kezelését anélkül implementálja, hogy privát kulcsanyagokkal kellene együttműködnie.

  • Lehetővé teszi, hogy a tanúsítvány tulajdonosa olyan szabályzatot hozzon létre, amely Key Vault irányítja a tanúsítvány életciklusának kezelésére.

  • Lehetővé teszi, hogy a tanúsítvány tulajdonosa kapcsolattartási adatokat adjon meg a lejárati és megújítási életciklus-eseményekről szóló értesítésekhez.

  • Támogatja az automatikus megújítást a kiválasztott kiállítókkal: Key Vault partner X.509-tanúsítványszolgáltatók és hitelesítésszolgáltatók.

    Megjegyzés

    A nem partneri szolgáltatók és hatóságok is engedélyezettek, de nem támogatják az automatikus megújítást.

A tanúsítványlétrehozás részleteiért lásd: Tanúsítványlétrehozási módszerek.

A tanúsítványok összetétele

A Key Vault tanúsítvány létrehozásakor a rendszer egy címezhető kulcsot és titkos kulcsot is létrehoz ugyanazzal a névvel. A Key Vault kulcs lehetővé teszi a kulcsműveleteket, a Key Vault titkos kód pedig lehetővé teszi a tanúsítvány értékének titkos kulcsként való lekérését. A Key Vault-tanúsítványok nyilvános X.509-tanúsítvány metaadatait is tartalmazzák.

A tanúsítványok azonosítója és verziója hasonló a kulcsok és titkos kódokéhoz. A Key Vault tanúsítványverzióval létrehozott megcímezhető kulcs és titkos kód adott verziója elérhető a Key Vault tanúsítvány válaszában.

A tanúsítványok kulcstartóban betöltött szerepét bemutató ábra.

Exportálható vagy nem exportálható kulcs

A Key Vault tanúsítvány létrehozásakor a titkos kulcs pfX vagy PEM formátumban is lekérhető a címezhető titkos kódból. A tanúsítvány létrehozásához használt szabályzatnak azt kell jeleznie, hogy a kulcs exportálható. Ha a szabályzat azt jelzi, hogy a kulcs nem exportálható, akkor a titkos kulcs nem része az értéknek, amikor titkos kulcsként kérik le.

A címezhető kulcs relevánsabbá válik a nem exportálható Key Vault tanúsítványokkal kapcsolatban. A címezhető Key Vault kulcs műveletei a keyusage Key Vault tanúsítvány létrehozásához használt Key Vault tanúsítványszabályzat mezőjéből vannak leképezve.

Az alábbi táblázat a támogatott kulcstípusokat sorolja fel.

Kulcs típusa Névjegy Biztonság
RSA Szoftveresen védett RSA-kulcs FIPS 140-2 1. szint
RSA-HSM HSM által védett RSA-kulcs (csak prémium termékváltozat) FIPS 140-2 2. szintű HSM
EC Szoftveresen védett háromliptikus görbekulcs FIPS 140-2 1. szint
EC-HSM HSM által védett háromliptikus görbekulcs (csak prémium termékváltozat) FIPS 140-2 2. szintű HSM
Október Szoftveresen védett oktettkulcs FIPS 140-2 1. szint

Az exportálható kulcsok csak RSA és EC használatával engedélyezettek. A HSM-kulcsok nem exportálhatók. További információ a kulcstípusokról: Tanúsítványok létrehozása.

Tanúsítványattribútumok és címkék

A tanúsítvány metaadatai, a címezhető kulcs és a címezhető titkos kód mellett a Key Vault tanúsítvány attribútumokat és címkéket is tartalmaz.

Attribútumok

A tanúsítványattribútumok a címezhető kulcs és a titkos kulcs attribútumaihoz vannak tükrözve, amelyek a Key Vault tanúsítvány létrehozásakor jönnek létre.

Egy Key Vault tanúsítvány a következő attribútummal rendelkezik:

  • enabled: Ez a logikai attribútum nem kötelező. Az alapértelmezett szint a true. Megadhatja, hogy a tanúsítványadatok titkos kulcsként lekérhetők-e, vagy kulcsként kezelhetők-e.

    Ezt az attribútumot a és exp az közötti expnbf művelet esetén nbf is használja, de csak akkor, ha enabled az értékre truevan állítva. A és exp az nbf ablakon kívüli műveletek automatikusan le lesznek tiltva.

A válasz a következő további írásvédett attribútumokat tartalmazza:

  • created: IntDate a tanúsítvány ezen verziójának létrehozását jelzi.
  • updated: IntDate a tanúsítvány ezen verziójának frissítését jelzi.
  • exp: IntDate az X.509-tanúsítvány lejárati dátumának értékét tartalmazza.
  • nbf: IntDate az X.509-tanúsítvány "nem korábbi" dátumának értékét tartalmazza.

Megjegyzés

Ha egy Key Vault-tanúsítvány lejár, az ahhoz tartozó címezhető kulcs és titkos kód nem fog működni.

Címkék

A tanúsítványok címkéi a kulcs/érték párok ügyfél által megadott szótárai, hasonlóan a kulcsok és titkos kulcsok címkéihez.

Megjegyzés

A hívók elolvashatják a címkéket, ha rendelkeznek a listával , vagy engedélyt kapnak az adott objektumtípusra (kulcsok, titkos kódok vagy tanúsítványok).

Tanúsítványházirend

A tanúsítványszabályzatok információkat tartalmaznak a Key Vault tanúsítványok életciklusának létrehozásáról és kezeléséről. Ha egy titkos kulccsal rendelkező tanúsítványt importál a kulcstartóba, a Key Vault szolgáltatás az X.509-tanúsítvány olvasásával létrehoz egy alapértelmezett szabályzatot.

Ha teljesen új Key Vault tanúsítványt hoz létre, meg kell adni egy szabályzatot. A szabályzat meghatározza, hogyan hozhatja létre ezt a Key Vault tanúsítványverziót vagy a következő Key Vault tanúsítványverziót. A szabályzat létrehozása után nem szükséges egymást követő létrehozási műveletekhez a jövőbeli verziókhoz. A szabályzatnak csak egy példánya van egy Key Vault tanúsítvány összes verziójához.

Magas szinten a tanúsítványszabályzat a következő információkat tartalmazza:

  • X.509-tanúsítványtulajdonságok, amelyek tartalmazzák a tulajdonos nevét, a tulajdonos alternatív nevét és az X.509-tanúsítványkérelem létrehozásához használt egyéb tulajdonságokat.

  • Kulcstulajdonságok, amelyek közé tartozik a kulcs típusa, a kulcs hossza, az exportálható és a ReuseKeyOnRenewal mezők. Ezek a mezők Key Vault ismertetik a kulcsok létrehozásának módját.

    A támogatott kulcstípusok : RSA, RSA-HSM, EC, EC-HSM és okt.

  • Titkos kódok tulajdonságai, például a titkos kód értékének létrehozásához használt, címezhető titkos kulcs tartalomtípusa a tanúsítvány titkos kulcsként való lekéréséhez.

  • A Key Vault tanúsítvány élettartamműveletei. Minden életművelet a következőket tartalmazza:

    • Eseményindító: A lejárat vagy élettartam százalékát megelőző napokban van megadva.
    • Művelet: emailContacts vagy autoRenew.
  • Az X.509-tanúsítványok kiállításához használandó tanúsítványkibocsátó paraméterei.

  • A szabályzathoz társított attribútumok.

További információ: Set-AzKeyVaultCertificatePolicy.

X.509-használat leképezése kulcsműveletekkel

Az alábbi táblázat az X.509-kulcshasználati szabályzatok megfeleltetését mutatja be egy Key Vault tanúsítvány létrehozása során létrehozott kulcs hatékony kulcsműveleteihez.

X.509-kulcshasználati jelzők Key Vault kulcsműveletek Alapértelmezett viselkedés
DataEncipherment encrypt, decrypt Nem alkalmazható
DecipherOnly decrypt Nem alkalmazható
DigitalSignature sign, verify Key Vault alapértelmezett használati specifikáció nélkül a tanúsítvány létrehozásakor
EncipherOnly encrypt Nem alkalmazható
KeyCertSign sign, verify Nem alkalmazható
KeyEncipherment wrapKey, unwrapKey Key Vault alapértelmezett használati specifikáció nélkül a tanúsítvány létrehozásakor
NonRepudiation sign, verify Nem alkalmazható
crlsign sign, verify Nem alkalmazható

Tanúsítványkibocsátó

A Key Vault tanúsítványobjektum olyan konfigurációt tartalmaz, amely az X.509-tanúsítványok rendelésére szolgáló kiválasztott tanúsítványkibocsátó szolgáltatóval való kommunikációra szolgál.

Key Vault TLS-/SSL-tanúsítványokhoz a következő tanúsítványkibocsátó szolgáltatókkal rendelkező partnereket.

Szolgáltató neve Helyek
DigiCert A nyilvános felhőben és a Azure Government Key Vault szolgáltatás minden helyén támogatott
Globalsign A nyilvános felhőben és a Azure Government Key Vault szolgáltatás minden helyén támogatott

Ahhoz, hogy a tanúsítványkibocsátó létrejönjön egy kulcstartóban, a rendszergazdának el kell végeznie a következő előfeltétel-lépéseket:

  1. A szervezet előkészítése legalább egy hitelesítésszolgáltatóval.

  2. TLS-/SSL-tanúsítványok regisztrálásához (és megújításához) hozzon létre hitelesítő adatokat Key Vault. Ez a lépés a szolgáltató kiállítói objektumának kulcstartóban való létrehozásához nyújt konfigurációt.

A kiállítóobjektumok tanúsítványportálról történő létrehozásáról a Key Vault csapat blogjában talál további információt.

Key Vault lehetővé teszi több kiállítóobjektum létrehozását különböző kiállítószolgáltatói konfigurációkkal. A kiállítóobjektum létrehozása után a neve egy vagy több tanúsítványszabályzatban hivatkozható rá. A kiállító objektumra való hivatkozás arra utasítja Key Vault, hogy a tanúsítvány létrehozása és megújítása során a kiállító objektumában megadott konfigurációt használja, amikor az X.509-tanúsítványt kéri a hitelesítésszolgáltatótól.

A kiállítói objektumok a tárolóban jönnek létre. Csak Key Vault tanúsítványokkal használhatók ugyanabban a tárolóban.

Megjegyzés

A rendszer a regisztráció során elküldi a nyilvánosan megbízható tanúsítványokat a hitelesítésszolgáltatóknak és a tanúsítványátláthatósági (CT)-naplóknak az Azure határain kívülre. Ezekre az entitások GDPR-szabályzatai vonatkoznak.

Tanúsítvány névjegyei

A tanúsítvány névjegyei névjegyadatokat tartalmaznak a tanúsítványélettartam eseményei által aktivált értesítések küldéséhez. A key vault összes tanúsítványa megosztja a kapcsolattartási adatokat.

A rendszer értesítést küld a kulcstartóban található bármely tanúsítvány eseményéhez megadott összes névjegynek. A tanúsítványkapcsolatok beállításáról további információt az Azure-Key Vault-tanúsítványok megújítása című témakörben talál.

Tanúsítvány hozzáférés-vezérlése

Key Vault kezeli a tanúsítványok hozzáférés-vezérlését. A tanúsítványokat tartalmazó kulcstartó hozzáférés-vezérlést biztosít. A tanúsítványok hozzáférés-vezérlési szabályzata eltér az ugyanabban a kulcstartóban található kulcsok és titkos kulcsok hozzáférés-vezérlési házirendjeitől.

A felhasználók létrehozhatnak egy vagy több tárolót a tanúsítványok tárolásához, hogy fenntartsák a forgatókönyvnek megfelelő szegmentálást és a tanúsítványok kezelését. További információ: Tanúsítványhozzáférés-vezérlés.

Tanúsítványhasználati esetek

Biztonságos kommunikáció és hitelesítés

A TLS-tanúsítványok segíthetnek az interneten keresztüli kommunikáció titkosításában és a webhelyek identitásának kialakításában. Ez a titkosítás biztonságosabbá teszi a belépési pontot és a kommunikációs módot. Emellett a nyilvános hitelesítésszolgáltató által aláírt láncolt tanúsítványok segíthetnek ellenőrizni, hogy a tanúsítványokat tároló entitások jogszerűek-e.

Példaként íme néhány használati eset, amikor tanúsítványokat használ a kommunikáció biztonságossá tételéhez és a hitelesítés engedélyezéséhez:

  • Intranetes/internetes webhelyek: Védje az intranetes webhelyhez való hozzáférést, és TLS-tanúsítványokon keresztül biztosítsa az interneten keresztüli titkosított adatátvitelt.
  • IoT- és hálózati eszközök: Az eszközök védelme és védelme tanúsítványok használatával a hitelesítéshez és a kommunikációhoz.
  • Felhő/többfelhős: Biztonságossá teheti a felhőalapú alkalmazásokat a helyszínen, a felhők között vagy a felhőszolgáltató bérlőjében.

Kódaláírás

A tanúsítványok segíthetnek a szoftver kódjának/szkriptjének védelmében, hogy a szerző az interneten keresztül, rosszindulatú entitások beavatkozása nélkül meg tudja osztani a szoftvert. Miután a szerző aláírja a kódot egy tanúsítvánnyal, és kihasználta a kódaláírási technológiát, a szoftver egy hitelesítési bélyeggel van megjelölve, amely megjeleníti a szerzőt és a webhelyét. A kódaláíráshoz használt tanúsítvány segít ellenőrizni a szoftver hitelességét, és elősegíti a végpontok közötti biztonságot.

Következő lépések