Az Azure Key Vault-tanúsítványok megújítása

Az Azure Key Vaulttal egyszerűen építhet ki, felügyelhet és helyezhet üzembe digitális tanúsítványokat a hálózatához, és biztonságos kommunikációt tehet lehetővé az alkalmazásai számára. További információ a tanúsítványokról: Az Azure Key Vault-tanúsítványok ismertetése.

Rövid időtartamú tanúsítványok használatával, illetve a tanúsítványrotálás gyakoriságának növelésével megelőzheti, hogy jogosulatlan felhasználók férhessenek az alkalmazásaihoz.

Ez a cikk az Azure Key Vault-tanúsítványok megújítását ismerteti.

Értesítés kérése a tanúsítvány lejáratáról

Ha értesítést szeretne kapni a tanúsítványélet eseményekről, fel kell vennie a tanúsítvány-kapcsolattartót. A tanúsítvány névjegyei névjegyadatokat tartalmaznak a tanúsítványélettartam eseményei által aktivált értesítések küldéséhez. A névjegyadatokat a kulcstartó összes tanúsítványa megosztja. A rendszer értesítést küld a kulcstartóban lévő bármely tanúsítvány eseményéhez megadott összes névjegynek.

A tanúsítványértesítések beállításának lépései

Először vegyen fel egy tanúsítványkapcsolatot a kulcstartóba. A Azure Portal vagy az Add-AzKeyVaultCertificateContact PowerShell-parancsmaggal adhatja hozzá.

Másodszor, konfigurálja, hogy mikor szeretne értesítést kapni a tanúsítvány lejáratáról. A tanúsítvány életciklus-attribútumainak konfigurálásához lásd: Tanúsítvány autorotation konfigurálása Key Vault.

Ha egy tanúsítvány szabályzata automatikus megújításra van beállítva, a rendszer értesítést küld a következő eseményekről:

• Tanúsítvány megújítása előtt
• A tanúsítvány megújítása után, jelezve, hogy a tanúsítvány sikeresen meg lett-e újítva, vagy hiba történt, amely a tanúsítvány manuális megújítását követeli meg.

Ha egy tanúsítványházirend manuális megújításra van beállítva (csak e-mailben), a rendszer értesítést küld, ha ideje megújítani a tanúsítványt.

A Key Vault a tanúsítványoknak három kategóriája van:

• Integrált hitelesítésszolgáltatóval (CA) létrehozott tanúsítványok, például DigiCert vagy GlobalSign.
• Nem minősített hitelesítésszolgáltatóval létrehozott tanúsítványok.
• Önaláírt tanúsítványok.

Integrált hitelesítésszolgáltatói tanúsítvány megújítása

Az Azure Key Vault kezeli a Megbízható Microsoft-hitelesítésszolgáltatók, a DigiCert és a GlobalSign által kibocsátott tanúsítványok teljes körű karbantartását. Megtudhatja, hogyan integrálhat megbízható hitelesítésszolgáltatót Key Vault. A tanúsítvány megújítása után egy új titkos verzió jön létre egy új Key Vault azonosítóval.

Nem minősített hitelesítésszolgáltatói tanúsítvány megújítása

Az Azure Key Vault használatával bármilyen hitelesítésszolgáltatótól importálhat tanúsítványokat, így több Azure-erőforrással is integrálható, és megkönnyíti az üzembe helyezést. Ha aggódik amiatt, hogy elveszíti a tanúsítvány lejárati dátumainak nyomon követését, vagy ami még rosszabb, azt észlelte, hogy egy tanúsítvány már lejárt, a kulcstartó segíthet naprakészen tartani. A nem minősített hitelesítésszolgáltatói tanúsítványok esetében a kulcstartó lehetővé teszi a lejárat előtti e-mail-értesítések beállítását. Az ilyen értesítések több felhasználóhoz is beállíthatók.

Fontos

A tanúsítvány verziószámozott objektum. Ha az aktuális verzió lejár, létre kell hoznia egy új verziót. Elméletileg minden új verzió egy új tanúsítvány, amely egy kulcsból és egy blobból áll, amely a kulcsot egy identitáshoz köti. Ha nem partneralapú hitelesítésszolgáltatót használ, a kulcstartó létrehoz egy kulcs/érték párot, és visszaad egy tanúsítvány-aláírási kérést (CSR).

Nem minősített hitelesítésszolgáltatói tanúsítvány megújítása:

Azure Portal

1. Jelentkezzen be a Azure Portal, majd nyissa meg a megújítani kívánt tanúsítványt.
2. A tanúsítványpanelen válassza az Új verzió lehetőséget.
3. A Tanúsítvány létrehozása lapon győződjön meg arról, hogy a Létrehozás lehetőség be van jelölve a Tanúsítvány létrehozásának módja területen.
4. Ellenőrizze a tulajdonost és a tanúsítvány egyéb adatait, majd válassza a Létrehozás lehetőséget.
5. Ekkor megjelenik a Tanúsítványnév <<>> létrehozása folyamatban lévő üzenet. Kattintson ide a tanúsítványművelet megtekintéséhez a folyamat figyeléséhez
6. Válassza ki az üzenetet, és meg kell jelennie egy új panelnek. A panelen a "Folyamatban" állapotnak kell megjelennie. Ezen a ponton Key Vault létrehozott egy CSR-t, amelyet a CSR letöltése lehetőséggel tölthet le.
7. A CSR-fájl helyi meghajtóra való letöltéséhez válassza a CSR letöltése lehetőséget.
8. Küldje el a CSR-t az Ön által választott hitelesítésszolgáltatónak a kérés aláírásához.
9. Hozza vissza az aláírt kérést, és válassza az Aláírt kérelem egyesítése elemet ugyanazon a tanúsítványműveleti panelen.
10. Az egyesítés utáni állapot a Kész állapotot jeleníti meg, és a főtanúsítvány panelen a Frissítés gombra kattintva megtekintheti a tanúsítvány új verzióját.

Azure CLI

Használja az Azure CLI az keyvault certificate create parancsot, és adja meg a megújítani kívánt tanúsítvány nevét:

az keyvault certificate create --vault-name "<your-unique-keyvault-name>" -n "<name-of-certificate-to-renew>" -p "$(az keyvault certificate get-default-policy)"

A tanúsítvány megújítása után megtekintheti a tanúsítvány összes verzióját az Azure CLI az keyvault certificate list-versions paranccsal:

az keyvault certificate list-versions --vault-name "<your-unique-keyvault-name>" -n "<name-of-renewed-certificate>"

Azure PowerShell

Használja az Azure PowerShell New-AzKeyVaultCertificatePolicy parancsmagot, megadva a megújítani kívánt tanúsítvány nevét:

$Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "Self" -ValidityInMonths 6 -ReuseKeyOnRenewal

Add-AzKeyVaultCertificate -VaultName "<your-unique-keyvault-name>" -Name "<name-of-certificate-to-renew>" -CertificatePolicy $Policy

A tanúsítvány megújítása után a Get-AzKeyVaultCertificate Azure PowerShell parancsmaggal megtekintheti a tanúsítvány összes verzióját:

Get-AzKeyVaultCertificate "<your-unique-keyvault-name>" -Name "<name-of-renewed-certificate>" -IncludeVersions

Megjegyzés

Fontos, hogy az aláírt CSR-t a létrehozott CSR-kéréssel egyesítse. Ellenkező esetben a kulcs nem egyezik.

További információ az új CSR létrehozásáról: CSR létrehozása és egyesítése Key Vault.

Önaláírt tanúsítvány megújítása

Az Azure Key Vault az önaláírt tanúsítványok automatikus megújítását is kezeli. A kiállítási szabályzat módosításával és a tanúsítvány életciklus-attribútumainak frissítésével kapcsolatos további információkért lásd: Tanúsítvány autorotation konfigurálása Key Vault.

Következő lépések

• Az Azure Key Vault tanúsítványmegújítással kapcsolatos gyakori kérdések
• Key Vault integrálása a DigiCert hitelesítésszolgáltatóval
• Oktatóanyag: Tanúsítvány automatikus hitelesítésének konfigurálása Key Vault