Gestire certificati, segreti e chiavi
Il supporto dei certificati di Azure Key Vault offre la gestione dei certificati X.509 e consente di eseguire le operazioni seguenti:
- Il proprietario di un certificato può creare un certificato tramite un processo di creazione Key Vault o tramite l'importazione di un certificato esistente. I certificati importati includono certificati autofirmati e certificati generati da un'autorità di certificazione (CA).
- Il proprietario di un certificato di Key Vault può implementare l'archiviazione sicura e la gestione di certificati X509 senza interagire con materiale della chiave privata.
- Il proprietario di un certificato può creare un criterio che guida Key Vault nella gestione del ciclo di vita di un certificato.
- Il proprietario di un certificato può specificare informazioni sul contatto per notificare eventi sul ciclo di vita, come la scadenza e il rinnovo.
- È supportato il rinnovo automatico con autorità di certificazione selezionate, ad esempio provider di certificati X509 e autorità di certificazione partner di Key Vault.
Componenti di un certificato
Quando viene creato un certificato Key Vault, vengono creati anche una chiave indirizzabile e un segreto con lo stesso nome. La chiave di Key Vault consente le operazioni relative alle chiavi e il segreto di Key Vault consente il recupero del valore del certificato come segreto. Un certificato di Key Vault contiene anche metadati del certificato x509 pubblico.
L'identificatore e la versione dei certificati sono simili a quelli delle chiavi e dei segreti. Una versione specifica di una chiave indirizzabile e di un segreto creati con la versione del certificato di Key Vault è disponibile nella risposta del certificato di Key Vault.
Chiave esportabile o non esportabile
Quando viene creato un certificato di Key Vault, questo può essere recuperato dal segreto indirizzabile con la chiave privata in formato PFX o PEM. Il criterio usato per creare il certificato deve indicare che la chiave è esportabile. Se il criterio indica che non è esportabile, la chiave privata non farà parte del valore recuperato come segreto.
La chiave indirizzabile diventa più utile con i certificati Key Vault non esportabili. Le operazioni della chiave di Key Vault indirizzabile vengono mappate dal campo di utilizzo della chiave del criterio per il certificato di Key Vault usato per creare il certificato di Key Vault.
La tabella seguente elenca i tipi di chiavi supportate.
| Tipo di chiave | Informazioni su | Sicurezza |
|---|---|---|
| RSA | Chiave RSA con protezione software | FIPS 140-2 livello 1 |
| RSA-HSM | Chiave RSA con protezione HSM (solo SKU Premium) | Modulo di protezione hardware FIPS 140-2 livello 2 |
| EC | Chiave a curva ellittica protetta tramite software | FIPS 140-2 livello 1 |
| EC-HSM | Chiave a curva ellittica con protezione HSM (solo SKU Premium) | Modulo di protezione hardware FIPS 140-2 livello 2 |
| ottetto | Chiave ottetto protetta tramite software | FIPS 140-2 livello 1 |
Le chiavi esportabili sono consentite solo con RSA ed EC. Le chiavi HSM non sono esportabili.
Tag e attributi dei certificati
Oltre ai metadati del certificato, a una chiave indirizzabile e a un segreto indirizzabile, un certificato di Key Vault contiene anche attributi e tag.
Attributi
Gli attributi del certificato si riflettono negli attributi della chiave e del segreto indirizzabili creati al momento della creazione del certificato di Key Vault.
Un certificato di Key Vault ha l'attributo seguente:
enabled: Questo attributo booleano è facoltativo. Il valore predefinito è true. Può essere specificato per indicare se i dati del certificato possono essere recuperati come segreti o sono eseguibili come chiave.
- Questo attributo viene utilizzato anche con nbf ed exp quando si verifica un'operazione tra nbf ed exp, ma solo se enabled è impostato su true. Le operazioni all'esterno della finestra di nbf ed exp non sono consentite automaticamente.
Una risposta include questi attributi di sola lettura aggiuntivi:
- created: IntDate indica quando è stata creata questa versione del certificato.
- updated: IntDate indica quando è stata aggiornata questa versione del certificato.
- exp: IntDate contiene il valore della data di scadenza del certificato X.509.
- nbf: IntDate contiene il valore della data "non precedente" del certificato X.509.
Nota
Se un certificato di Key Vault scade, è comunque possibile recuperarlo, ma il certificato potrebbe diventare inutilizzabile in scenari come la protezione Transport Layer Security, in cui la scadenza del certificato viene convalidata.
Tag
I tag per i certificati sono un dizionario specificato dal client di coppie chiave-valore, simile ai tag delle chiavi e dei segreti.
Nota
Un chiamante può leggere i tag se dispone dell'elenco o ottiene l'autorizzazione per quel tipo di oggetto (chiavi, segreti o certificati).
Criteri dei certificati
Un criterio del certificato contiene informazioni su come creare e gestire il ciclo di vita di un certificato di Key Vault. Quando viene importato un certificato con chiave privata, il servizio Key Vault crea un criterio predefinito leggendo il certificato x509.
Quando un certificato di Key Vault viene creato da zero, è necessario specificare un criterio. Il criterio specifica come creare questa versione o la versione successiva del certificato di Key Vault. Dopo aver definito un criterio, non sarà necessario ripetere la procedura per le successive operazioni di creazione delle versioni future. Esiste una sola istanza di un criterio per tutte le versioni di un certificato di Key Vault.
In generale, i criteri dei certificati contengono le informazioni seguenti:
Proprietà del certificato X509, che includono il nome del soggetto, i nomi alternativi del soggetto e altre proprietà usate per creare una richiesta di certificato x509.
Proprietà della chiave, che includono i campi su tipo di chiave, lunghezza della chiave, esportabilità e
ReuseKeyOnRenewal. Questi campi indicano a Key Vault come generare una chiave.- I tipi di chiave supportati sono RSA, RSA-HSM, EC, EC-HSM e ottetto.
Proprietà del segreto, ad esempio il tipo di contenuto di un segreto indirizzabile per generare il valore del segreto, al fine di recuperare il certificato come segreto.
Azioni di durata per il certificato di Key Vault. Ogni azione di durata contiene:
Trigger: specificato come giorni precedenti alla scadenza o percentuale dell'intervallo di durata.
Azione:
emailContactsoautoRenew.Tipo di convalida dei certificati: convalida dell'organizzazione (Organization Validated-Secure Socket Layer) e convalida estesa (Extended Validation-Secure Socket Layer) per gli emittenti DigiCert e GlobalSign.
Parametri relativi all'autorità di certificazione da usare per l'emissione dei certificati x509.
Attributi associati al criterio.
Mapping dell'utilizzo di X.509 alle operazioni chiave
La tabella seguente rappresenta il mapping dei criteri di utilizzo delle chiavi X.509 con le effettive operazioni di una chiave creata nell'ambito della creazione di un certificato di Key Vault.
| Flag utilizzo chiave X.509 | Operazioni delle chiavi di Key Vault | Comportamento predefinito |
|---|---|---|
| DataEncipherment | crittografa, decrittografa | Non applicabile |
| DecipherOnly | decrypt | Non applicabile |
| DigitalSignature | firma, verifica | Valore predefinito Key Vault senza una specifica di utilizzo al momento della creazione di certificati |
| EncipherOnly | crittografare | Non applicabile |
| KeyCertSign | firma, verifica | Non applicabile |
| KeyEncipherment | esegui/non eseguire il wrapping della chiave | Valore predefinito Key Vault senza una specifica di utilizzo al momento della creazione di certificati |
| NonRepudiation | firma, verifica | Non applicabile |
| crlsign | firma, verifica | Non applicabile |
Autorità di certificazione
Un oggetto certificato di Key Vault contiene una configurazione usata per comunicare con un provider CA selezionato per ordinare certificati x509.
Key Vault collabora con i provider di autorità di certificazione seguenti per i certificati Transport Layer Security/Secure Sockets Layer.
| Nome provider | Posizioni |
|---|---|
| DigiCert | Supportata in tutte le posizioni del servizio Key Vault nel cloud pubblico e in Azure per enti pubblici |
| GlobalSign | Supportata in tutte le posizioni del servizio Key Vault nel cloud pubblico e in Azure per enti pubblici |
Prima che sia possibile creare un'autorità di certificazione in Key Vault, un amministratore deve completare questi passaggi:
- Eseguire l'onboarding di almeno un provider CA nell'organizzazione.
- Creare le credenziali del richiedente per Key Vault in modo da iscrivere e rinnovare i certificati Transport Layer Security/Secure Sockets Layer. Questo passaggio fornisce la configurazione per creare un oggetto autorità di certificazione del provider in Key Vault.
Key Vault consente di creare più oggetti autorità di certificazione con configurazioni del provider CA diverse. Dopo aver creato un oggetto autorità di certificazione, è possibile fare riferimento al suo nome in uno o più criteri del certificato. Fare riferimento all'oggetto autorità di certificazione indica a Key Vault di usare la configurazione specificata nell'oggetto autorità di certificazione quando si richiede il certificato x509 dal provider CA durante la creazione e il rinnovo di certificati.
Gli oggetti autorità di certificazione vengono creati nell'istanza di Key Vault. Possono essere usati solo con i certificati di Key Vault nella stessa istanza.
Contatti relativi al certificato
I contatti relativi al certificato contengono le informazioni di contatto per inviare notifiche attivate da eventi di durata dei certificati. Le informazioni dei contatti sono condivise da tutti i certificati presenti nell'istanza di Key Vault.
Viene inviata una notifica a tutti i contatti specificati per un evento per qualsiasi certificato presente nell'insieme di credenziali delle chiavi.
Controllo di accesso per i certificati
Key Vault gestisce il controllo di accesso per i certificati. L'istanza di Key Vault che contiene tali certificati fornisce il controllo di accesso. I criteri di controllo di accesso per i certificati sono diversi da quelli per le chiavi e i segreti presenti nella stessa istanza di Key Vault.
Gli utenti possono creare uno o più istanze di Key Vault in cui conservare i certificati, per mantenere una segmentazione e una gestione dei certificati appropriate in base allo scenario.
Casi d'uso dei certificati
Proteggere la comunicazione e l'autenticazione
I certificati Transport Layer Security consentono di crittografare le comunicazioni su Internet e di stabilire l'identità dei siti Web. Questa crittografia rende più sicuro il punto di ingresso e la modalità di comunicazione. Inoltre, un certificato concatenato firmato da una CA pubblica può aiutare a verificare che le entità che detengono i certificati siano legittime.
Di seguito sono riportati alcuni casi d'uso per proteggere la comunicazione e abilitare l'autenticazione:
- Siti Web Intranet/Internet: Proteggere l'accesso al sito Intranet e garantire il trasferimento crittografato dei dati tramite Internet attraverso i certificati Transport Layer Security.
- Dispositivi IoT e di rete: proteggere i dispositivi usando i certificati per l'autenticazione e la comunicazione.
- Cloud/multi-cloud: proteggere le applicazioni basate sul cloud locali, tra cloud o nel tenant del provider di servizi cloud.
Firma del codice
Un certificato consente di proteggere il codice/script del software, per garantire che l'autore possa condividere il software tramite Internet senza interferenze da parte di entità dannose. Dopo aver firmato il codice usando un certificato e sfruttando la tecnologia di firma del codice, il software viene contrassegnato con un timbro di autenticazione che indica l'autore e il relativo sito Web. Il certificato usato nella firma del codice consente di convalidare l'autenticità del software, promuovendo la sicurezza end-to-end.