Tentang sertifikat Azure Key Vault

Azure Key Vault dukungan sertifikat menyediakan manajemen sertifikat X.509 Anda dan perilaku berikut:

Memungkinkan pemilik sertifikat untuk membuat sertifikat melalui proses pembuatan key vault atau melalui impor sertifikat yang sudah ada. Sertifikat yang diimpor mencakup baik sertifikat yang ditandatangani sendiri maupun sertifikat yang dihasilkan dari otoritas sertifikat (CA).
Memungkinkan pemilik sertifikat Key Vault menerapkan penyimpanan dan manajemen sertifikat X.509 yang aman tanpa berinteraksi dengan materi kunci privat.
Memungkinkan pemilik sertifikat membuat kebijakan yang mengarahkan Key Vault untuk mengelola siklus hidup sertifikat.
Memungkinkan pemilik sertifikat untuk memberikan informasi kontak untuk pemberitahuan tentang peristiwa siklus hidup kedaluwarsa dan perpanjangan.
Mendukung perpanjangan otomatis dengan penerbit yang dipilih: penyedia sertifikat mitra Key Vault dan CA X.509.

Nota

Penyedia dan otoritas non-mitra juga diizinkan tetapi tidak mendukung perpanjangan otomatis.

Untuk detail tentang pembuatan sertifikat, lihat Metode pembuatan sertifikat.

Komposisi sebuah sertifikat

Saat sertifikat Key Vault dibuat, kunci dan rahasia yang dapat diatasi juga dibuat dengan nama yang sama. Kunci Key Vault memungkinkan operasi kunci, dan rahasia di Key Vault memungkinkan pengambilan nilai sertifikat sebagai rahasia. Sertifikat Key Vault juga berisi metadata sertifikat X.509 publik.

Pengidentifikasi dan versi sertifikat mirip dengan kunci dan rahasia. Versi tertentu dari kunci dan rahasia yang dapat diatasi yang dibuat dengan versi sertifikat Key Vault tersedia dalam respons sertifikat Key Vault.

Diagram yang memperlihatkan peran sertifikat dalam brankas kunci.

Kunci yang dapat diekspor atau tidak dapat diekspor

Ketika sertifikat Key Vault dibuat, sertifikat dapat diambil dari rahasia yang dapat diatasi dengan kunci privat dalam format PFX atau PEM. Kebijakan yang digunakan untuk membuat sertifikat harus menunjukkan bahwa kunci dapat diekspor. Jika kebijakan menunjukkan bahwa kunci tidak dapat diekspor, kunci privat bukan bagian dari nilai saat diambil sebagai rahasia.

Kunci yang dapat dialokasi menjadi lebih relevan dengan sertifikat Key Vault yang tidak dapat diekspor. Operasi kunci Key Vault yang dapat diakses dipetakan dari bagian keyusage kebijakan sertifikat Key Vault yang digunakan untuk membuat sertifikat Key Vault.

Untuk daftar lengkap jenis kunci yang didukung, lihat Tentang kunci: Jenis kunci dan metode perlindungan. Kunci yang dapat diekspor hanya diperbolehkan dengan RSA dan EC. Kunci HSM tidak dapat diekspor.

Atribut dan tag sertifikat

Selain metadata sertifikat, kunci yang dapat diatasi, dan rahasia yang dapat diatasi, sertifikat Key Vault berisi atribut dan tag.

Atributs

Atribut sertifikat mengalami pencerminan ke atribut kunci dan rahasia yang dapat diakses yang dibuat saat sertifikat Key Vault dibuat.

Sertifikat Key Vault memiliki atribut berikut:

enabled: Atribut Boolean ini bersifat opsional. Defaultnya adalah true. Ini dapat ditentukan untuk menunjukkan apakah data sertifikat dapat diambil sebagai rahasia atau dapat dioperasikan sebagai kunci.

Atribut ini juga digunakan dengan nbf dan exp ketika operasi terjadi antara nbf dan exp, tetapi hanya jika enabled diatur ke true. Operasi di luar jendela nbf dan exp secara otomatis tidak diizinkan.

Respons mencakup atribut-atribut baca-saja tambahan ini:

created: IntDate menunjukkan kapan versi sertifikat ini dibuat.
updated: IntDate menunjukkan kapan versi sertifikat ini diperbarui.
exp: IntDate berisi nilai tanggal kedaluwarsa sertifikat X.509.
nbf: IntDate berisi nilai tanggal "tidak sebelum" sertifikat X.509.

Nota

Jika sertifikat Key Vault kedaluwarsa, sertifikat masih dapat diambil, tetapi sertifikat mungkin menjadi tidak dapat dioperasikan dalam skenario seperti perlindungan TLS di mana kedaluwarsa sertifikat divalidasi.

Kebijakan sertifikat

Kebijakan sertifikat berisi informasi tentang cara membuat dan mengelola siklus hidup sertifikat Key Vault. Ketika sertifikat dengan kunci privat diimpor ke key vault, layanan Key Vault membuat kebijakan default dengan membaca sertifikat X.509.

Ketika sertifikat Key Vault dibuat dari awal, kebijakan perlu disediakan. Kebijakan menentukan cara membuat versi sertifikat Key Vault ini atau versi sertifikat Key Vault berikutnya. Setelah kebijakan ditetapkan, kebijakan tidak diperlukan pada operasi pembuatan berikutnya untuk versi mendatang. Hanya ada satu entri kebijakan untuk semua versi sertifikat Key Vault.

Pada tingkat tinggi, kebijakan sertifikat berisi informasi berikut:

Properti sertifikat X.509, yang mencakup nama subjek, nama alternatif subjek, dan properti lain yang digunakan untuk membuat permintaan sertifikat X.509.
Properti utama, yang mencakup jenis kunci, panjang kunci, dapat diekspor, dan ReuseKeyOnRenewal bidang. Bidang-bidang ini menginstruksikan Key Vault tentang cara menghasilkan kunci.

Jenis kunci yang didukung adalah RSA, RSA-HSM, EC, EC-HSM, dan okt.
Properti rahasia, seperti jenis konten rahasia yang dapat diakses untuk menghasilkan nilai rahasia, untuk mengambil sertifikat dalam bentuk rahasia.
Tindakan seumur hidup untuk sertifikat Key Vault. Setiap tindakan seumur hidup berisi:
- Pemicu: Ditentukan sebagai hari sebelum kedaluwarsa atau persentase rentang masa pakai.
- Tindakan: emailContacts atau autoRenew.
Jenis validasi sertifikat: organisasi divalidasi (OV-SSL) dan validasi diperpanjang (EV-SSL) untuk penerbit DigiCert dan GlobalSign.
Parameter tentang penerbit sertifikat yang akan digunakan untuk menerbitkan sertifikat X.509.
Atribut yang terkait dengan kebijakan.

Untuk informasi selengkapnya, lihat Set-AzKeyVaultCertificatePolicy.

Memetakan penggunaan X.509 ke operasi utama

Tabel berikut menunjukkan pemetaan kebijakan penggunaan kunci X.509 untuk operasi kunci yang efektif dari kunci yang dibuat sebagai bagian dari pembuatan sertifikat Key Vault.

Bendera penggunaan kunci X.509	operasi kunci Key Vault	Perilaku bawaan
`DataEncipherment`	`encrypt`, `decrypt`	Tidak berlaku
`DecipherOnly`	`decrypt`	Tidak berlaku
`DigitalSignature`	`sign`, `verify`	Key Vault default tanpa spesifikasi penggunaan pada waktu pembuatan sertifikat
`EncipherOnly`	`encrypt`	Tidak berlaku
`KeyCertSign`	`sign`, `verify`	Tidak berlaku
`KeyEncipherment`	`wrapKey`, `unwrapKey`	Key Vault default tanpa spesifikasi penggunaan pada waktu pembuatan sertifikat
`NonRepudiation`	`sign`, `verify`	Tidak berlaku
`crlsign`	`sign`, `verify`	Tidak berlaku

Penerbit sertifikat

Objek sertifikat Key Vault menyimpan konfigurasi yang digunakan untuk berkomunikasi dengan penyedia penerbit sertifikat yang dipilih untuk memesan sertifikat X.509.

Key Vault bermitra dengan penyedia penerbit sertifikat berikut untuk sertifikat TLS/SSL.

Nama penyedia	Lokasi
DigiCert	Didukung di semua lokasi layanan Key Vault di cloud publik dan Azure Government
GlobalSign	Didukung di semua lokasi layanan Key Vault di cloud publik dan Azure Government

Sebelum penerbit sertifikat dapat dibuat di brankas kunci, administrator harus mengambil langkah-langkah prasyarat berikut:

Integrasikan organisasi dengan setidaknya satu penyedia Otoritas Sertifikat (CA).
Buat kredensial pemohon untuk Key Vault mendaftarkan (dan memperbarui) sertifikat TLS/SSL. Langkah ini menyediakan konfigurasi untuk membuat objek penerbit dari penyedia di lemari kunci.

Untuk informasi selengkapnya tentang membuat objek pengeluar sertifikat dari portal sertifikat, lihat Mengintegrasikan Key Vault dengan otoritas sertifikat.

Key Vault memungkinkan pembuatan beberapa objek penerbit dengan konfigurasi penyedia penerbit yang berbeda. Setelah objek pengeluar sertifikat dibuat, namanya dapat direferensikan dalam satu atau beberapa kebijakan sertifikat. Merujuk objek pengeluar sertifikat menginstruksikan Key Vault untuk menggunakan konfigurasi seperti yang ditentukan dalam objek pengeluar sertifikat saat meminta sertifikat X.509 dari penyedia CA selama pembuatan dan perpanjangan sertifikat.

Objek pengeluar sertifikat dibuat di vault. Mereka hanya dapat digunakan dengan sertifikat Key Vault di vault yang sama.

Nota

Sertifikat yang dipercayai publik dikirim ke CA dan log transparansi sertifikat (CT) di luar batas Azure selama pendaftaran. Mereka tercakup dalam kebijakan GDPR entitas tersebut.

Kontak terkait sertifikat

Kontak sertifikat berisi informasi kontak untuk mengirim pemberitahuan yang dipicu oleh peristiwa dalam siklus hidup sertifikat. Semua sertifikat di brankas kunci berbagi informasi kontak.

Pemberitahuan dikirim ke semua kontak yang ditentukan untuk peristiwa untuk sertifikat apa pun di brankas kunci. Untuk informasi tentang cara mengatur kontak sertifikat, lihat Membuat sertifikat Azure Key Vault Anda.

Kontrol akses sertifikat

Key Vault mengelola kontrol akses untuk sertifikat. Brankas kunci yang berisi sertifikat tersebut menyediakan kontrol akses. Kebijakan kontrol akses untuk sertifikat berbeda dari kebijakan kontrol akses untuk kunci dan rahasia di brankas kunci yang sama.

Pengguna dapat membuat satu atau beberapa vault untuk menyimpan sertifikat, untuk mempertahankan segmentasi dan manajemen sertifikat yang sesuai skenario. Untuk informasi selengkapnya, lihat Kontrol akses sertifikat.

Kasus penggunaan sertifikat

Komunikasi dan autentikasi yang aman

Sertifikat TLS dapat membantu mengenkripsi komunikasi melalui internet dan membangun identitas situs web. Enkripsi ini membuat titik masuk dan mode komunikasi lebih aman. Selain itu, sertifikat berantai yang ditandatangani oleh CA publik dapat membantu memverifikasi bahwa entitas yang memegang sertifikat sah.

Sebagai contoh, berikut adalah beberapa kasus penggunaan sertifikat untuk mengamankan komunikasi dan mengaktifkan autentikasi:

Situs web intranet/internet: Lindungi akses ke situs intranet Anda dan pastikan transfer data terenkripsi melalui internet melalui sertifikat TLS.
Perangkat IoT dan jaringan: Lindungi dan amankan perangkat Anda dengan menggunakan sertifikat untuk autentikasi dan komunikasi.
Cloud/multicloud: Mengamankan aplikasi berbasis cloud lokal, lintas cloud, atau di penyewa penyedia cloud Anda.

Langkah berikutnya

Saran dan Komentar

Apakah halaman ini membantu?

Last updated on 2026-04-10