Tutorial: Mengonfigurasi rotasi otomatis sertifikat di Key Vault
Anda dapat dengan mudah menyediakan, mengelola, dan menggunakan sertifikat digital dengan menggunakan Azure Key Vault. Sertifikat dapat menjadi sertifikat Secure Sockets Layer (SSL)/Transport Layer Security (TLS) publik dan pribadi yang ditandatangani oleh otoritas sertifikat (CA), atau sertifikat yang ditandatangani sendiri. Vault Utama juga dapat meminta dan memperbarui sertifikat melalui kemitraan dengan CAs, memberikan solusi yang kuat untuk manajemen siklus hidup sertifikat. Dalam tutorial ini, Anda akan memperbarui periode validitas sertifikat, frekuensi rotasi otomatis, dan atribut CA.
Tutorial menunjukkan kepada Anda cara:
- Kelola sertifikat dengan menggunakan portal Microsoft Azure.
- Tambahkan akun penyedia CA.
- Memperbarui masa berlaku sertifikat.
- Perbarui frekuensi rotasi otomatis sertifikat.
- Perbarui atribut sertifikat dengan menggunakan Azure PowerShell.
Sebelum Anda memulai, baca konsep dasar Key Vault.
Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.
Masuk ke Azure
Masuk ke portal Microsoft Azure.
Membuat vault
Buat brankas kunci menggunakan salah satu dari tiga metode berikut:
- Membuat brankas kunci menggunakan portal Microsoft Azure
- Membuat brankas kunci menggunakan Azure CLI
- Membuat brankas kunci menggunakan Azure PowerShell
Membuat sertifikat di Key Vault
Membuat sertifikat atau mengimpor sertifikat ke dalam brankas kunci (lihat Langkah-langkah untuk membuat sertifikat di Key Vault). Dalam hal ini, Anda akan mengerjakan sertifikat yang disebut ExampleCertificate.
Mengelola atribut siklus hidup sertifikat
Di Azure Key Vault, Anda dapat memperbarui atribut siklus hidup sertifikat baik pada saat pembuatan sertifikat atau setelahnya.
Sertifikat yang dibuat di Key Vault dapat:
- Sertifikat yang ditandatangani sendiri
- Sertifikat yang dibuat dengan CA yang bermitra dengan Key Vault.
- Sertifikat yang dibuat dengan CA yang bermitra dengan Key Vault.
CAs berikut saat ini adalah penyedia yang bermitra dengan Key Vault:
- DigiCert: Key Vault menawarkan sertifikat OV atau EV TLS/SSL.
- GlobalSign: Key Vault menawarkan sertifikat OV atau EV TLS/SSL.
Vault Utama memutar sertifikat secara otomatis melalui kemitraan yang terjalin dengan CAs. Karena Key Vault secara otomatis meminta dan memperbarui sertifikat melalui kemitraan, kemampuan rotasi otomatis tidak berlaku untuk sertifikat yang dibuat dengan CA yang tidak bermitra dengan Key Vault.
Catatan
Admin akun untuk penyedia CA membuat mandat yang digunakan Key Vault untuk membuat, memperpanjang, dan menggunakan sertifikat TLS/SSL.
Memperbarui atribut siklus hidup sertifikat pada saat pembuatan
Pada halaman properti Key Vault, pilih Sertifikat.
Pilih Hasilkan/Impor.
Pada layar Buat sertifikat pilih nilai berikut ini:
Periode Validitas: Masukkan nilai (dalam bulan). Membuat sertifikat berumur pendek adalah praktik keamanan yang direkomendasikan. Secara default, nilai validitas sertifikat yang baru dibuat adalah 12 bulan.
Jenis Tindakan SeumurHidup : Pilih tindakan perpanjangan dan peringatan otomatis sertifikat lalu perbarui persentase masa pakai atau Jumlah hari sebelum kedaluwarsa. Secara default, perpanjangan otomatis sertifikat ditetapkan pada 80 persen masa pakainya. Dari menu turun bawah, pilih salah satu opsi berikut.
Memperbarui secara otomatis pada waktu tertentu Mengirim email ke semua kontak pada waktu tertentu Memilih opsi ini akan mengaktifkan autorotasi. Memilih opsi ini tidak akan diputar otomatis tetapi hanya akan memperingatkan kontak. Anda bisa mempelajari tentang menyiapkan kontak Email di sini
Pilih Buat.
Memperbarui atribut siklus hidup sertifikat yang disimpan
Pilih brankas kunci.
Pada halaman properti Key Vault, pilih Sertifikat.
Pilih sertifikat yang ingin Anda perbarui. Dalam hal ini, Anda akan mengerjakan sertifikat yang disebut ExampleCertificate.
Pilih Kebijakan Penerbitan dari bilah menu atas.
Pada layar Kebijakan Penerbitan, perbarui nilai berikut ini:
- Periode Validitas: Perbarui nilainya (dalam bulan).
- Jenis Tindakan SeumurHidup : Pilih tindakan perpanjangan dan peringatan otomatis sertifikat lalu perbarui persentase masa pakai atau Jumlah hari sebelum kedaluwarsa.
Pilih Simpan.
Penting
Mengubah Jenis Tindakan Seumur Hidup untuk sertifikat akan segera merekam modifikasi untuk sertifikat yang ada.
Memperbarui atribut sertifikat dengan menggunakan PowerShell
Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName
-Name $certificateName
-RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]
Tip
Untuk mengubah kebijakan perpanjangan daftar sertifikat, masukkan File.csv yang berisi VaultName,CertName seperti pada contoh berikut:
vault1,Cert1
vault2,Cert2
$file = Import-CSV C:\Users\myfolder\ReadCSVUsingPowershell\File.csv
foreach($line in $file)
{
Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName -Name $certificateName -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]
}
Untuk mempelajari lebih lanjut tentang parameter, lihat sertifikat keyvault az.
Membersihkan sumber daya
Tutorial Key Vault lainnya dibangun berdasarkan tutorial ini. Jika Anda berencana untuk bekerja dengan tutorial ini, Anda mungkin ingin meninggalkan sumber daya yang ada ini di tempat. Setelah tidak lagi diperlukan, hapus grup sumber daya, yang akan menghapus juga Key Vault dan sumber daya terkait.
Untuk menghapus grup sumber daya dengan menggunakan portal:
- Masukkan nama grup sumber daya Anda di kotakPencarian di bagian atas portal. Pilih grup sumber daya yang digunakan dalam mulai cepat ini di hasil pencarian yang Anda lihat.
- Pilih Hapus grup sumber daya.
- Dalam kotak KETIK NAMA GRUP SUMBER DAYA: ketik nama grup sumber daya dan pilih Hapus.
Langkah berikutnya
Dalam tutorial ini, Anda memperbarui atribut siklus hidup sertifikat. Untuk mempelajari lebih lanjut tentang Key Vault dan cara mengintegrasikannya dengan aplikasi Anda, lanjutkan ke artikel di bawah ini.
- Baca selengkapnya tentang Mengelola pembuatan sertifikat di Azure Key Vault.
- Tinjau Gambaran Umum Kubah Utama.