Esercitazione: Configurare la rotazione automatica dei certificati in Key Vault

Azure Key Vault consente di effettuare facilmente il provisioning, la gestione e la distribuzione di certificati digitali. Questi possono essere certificati SSL (Secure Sockets Layer)/TLS (Transport Layer Security) privati e pubblici firmati da un'autorità di certificazione (CA) oppure certificati autofirmati. Key Vault può anche richiedere e rinnovare i certificati tramite partnership con autorità di certificazione, offrendo una soluzione affidabile per la gestione del ciclo di vita dei certificati. In questa esercitazione si aggiorneranno il periodo di validità, la frequenza di rotazione automatica e gli attributi dell'autorità di certificazione del certificato.

L'esercitazione illustra come:

• Gestire un certificato con il portale di Azure.
• Aggiungere un account di un provider CA.
• Aggiornare il periodo di validità del certificato.
• Aggiornare la frequenza di rotazione automatica del certificato.
• Aggiornare gli attributi del certificato con Azure PowerShell.

Prima di iniziare, leggere i concetti di base di Key Vault.

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Accedere ad Azure

Accedere al portale di Azure.

Creare un insieme di credenziali

Creare un insieme di credenziali delle chiavi usando uno dei tre metodi seguenti:

• Creare un insieme di credenziali delle chiavi usando il portale di Azure
• Creare un insieme di credenziali delle chiavi usando l'interfaccia della riga di comando di Azure
• Creare un insieme di credenziali delle chiavi con Azure PowerShell

Creare un certificato in Key Vault

Creare un certificato o importarne uno nell'insieme di credenziali delle chiavi. Vedere la procedura per creare un certificato in Key Vault. In questo caso si userà un certificato denominato ExampleCertificate.

Aggiornare gli attributi del ciclo di vita del certificato

In Azure Key Vault, è possibile aggiornare gli attributi del ciclo di vita di un certificato sia prima che dopo la creazione del certificato.

Un certificato creato in Key Vault può essere:

• Un certificato autofirmato.
• Un certificato creato con un'autorità di certificazione partner di Key Vault.
• Un certificato con un'autorità di certificazione non partner di Key Vault.

Attualmente, i provider partner di Key Vault sono le autorità di certificazione seguenti.

• DigiCert: Key Vault offre certificati OV o EV TLS/SSL.
• GlobalSign: Key Vault offre certificati OV o EV TLS/SSL.

Key Vault esegue la rotazione automatica dei certificati tramite le partnership stabilite con le autorità di certificazione. Dato che Key Vault richiede e rinnova automaticamente i certificati tramite la partnership, la funzionalità di rotazione automatica non è applicabile per i certificati creati con autorità di certificazione non partner di Key Vault.

Nota

Un amministratore account per un provider CA crea le credenziali usate da Key Vault per la creazione, il rinnovo e l'uso di certificati TLS/SSL.

Aggiornare gli attributi del ciclo di vita del certificato al momento della creazione

1. Nella pagina delle proprietà dell'insieme di credenziali delle chiavi selezionare Certificati.

2. Seleziona Genera/Importa.

3. Nella schermata Crea un certificato aggiornare i valori seguenti.

   • Periodo di validità: immettere il valore (in mesi). La creazione di certificati di breve durata è una procedura di sicurezza consigliata. Per impostazione predefinita, il valore di validità di un certificato appena creato è 12 mesi.

   • Tipo di azione relativa alla durata: selezionare l'azione di rinnovo automatico e di avviso del certificato e quindi aggiornare Percentuale della durata o Numero di giorni prima della scadenza. Per impostazione predefinita, il rinnovo automatico di un certificato è impostato sull'80% della durata. Selezionare una delle opzioni seguenti nel menu a discesa.

     Rinnova automaticamente in un determinato momento	Invia un messaggio di posta elettronica a tutti i contatti in un determinato momento
     Selezionando questa opzione si attiverà la rotazione automatica.	Selezionando questa opzione non verrà eseguita la rotazione automatica e verranno solo avvisati i contatti.

     Per informazioni sulla configurazione del contatto di posta elettronica, vedere qui

4. Seleziona Crea.

Aggiornare gli attributi del ciclo di vita di un certificato archiviato

1. Selezionare l'insieme di credenziali delle chiavi.

2. Nella pagina delle proprietà dell'insieme di credenziali delle chiavi selezionare Certificati.

3. Selezionare il certificato da aggiornare. In questo caso si userà un certificato denominato ExampleCertificate.

4. Selezionare Criterio di rilascio nella barra dei menu superiore.

   

5. Nella schermata Criterio di rilascio aggiornare i valori seguenti:

   • Periodo di validità: aggiornare il valore (in mesi).
   • Tipo di azione relativa alla durata: selezionare l'azione di rinnovo automatico e di avviso del certificato e quindi aggiornare Percentuale della durata o Numero di giorni prima della scadenza.

   

6. Seleziona Salva.

Importante

La modifica del tipo di azione relativa alla durata per un certificato registrerà immediatamente le modifiche per i certificati esistenti.

Aggiornare gli attributi del certificato con PowerShell

Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName 
                                   -Name $certificateName 
                                   -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]

Suggerimento

Per modificare i criteri di rinnovo per un elenco di certificati, immettere File.csv contenente VaultName,CertName come nell'esempio seguente:
vault1,Cert1​
vault2,Cert2​

$file = Import-CSV C:\Users\myfolder\ReadCSVUsingPowershell\File.csv ​
foreach($line in $file)​
{​
Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName -Name $certificateName -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]
}

Per altre informazioni sui parametri, vedere az keyvault certificate.

Pulire le risorse

Altre esercitazioni su Key Vault si basano su questa esercitazione. Se si prevede di usare tali esercitazioni, potrebbe essere opportuno mantenere le risorse esistenti. Quando non sono più necessarie, eliminare il gruppo di risorse per eliminare l'insieme di credenziali delle chiavi e le risorse correlate.

Per eliminare il gruppo di risorse con il portale:

1. Immettere il nome del gruppo di risorse nella casella Cerca nella parte superiore del portale. Quando nei risultati della ricerca viene visualizzato il gruppo di risorse usato in questa guida di avvio rapido, selezionarlo.
2. Selezionare Elimina gruppo di risorse.
3. Nella casella DIGITARE IL NOME DEL GRUPPO DI RISORSE digitare il nome del gruppo di risorse e quindi selezionare Elimina.

Passaggi successivi

In questa esercitazione si sono aggiornati gli attributi del ciclo di vita di un certificato. Per altre informazioni su Key Vault e su come integrarlo nelle applicazioni, continuare con gli articoli seguenti:

• Vedere altre informazioni sulla gestione della creazione di certificati in Azure Key Vault.
• Vedere la panoramica di Key Vault.