次の方法で共有


Azure Key Vault の証明書の更新

Azure Key Vault を使用すると、自社ネットワーク用のデジタル証明書のプロビジョニング、管理、およびデプロイを簡単に行うことができ、アプリケーションの通信でセキュリティを確保できます。 証明書の詳細については、「Azure Key Vault の証明書について」を参照してください。

有効期限の短い証明書を使用したり、証明書のローテーション頻度を増やしたりすることで、不正なユーザーによるアプリケーションへのアクセスを防止する役に立ちます。

この記事では、Azure Key Vault の証明書を更新する方法について説明します。

証明書の有効期限を知らせる通知の受け取り

証明書の有効期限を知らせる通知を受け取るには、証明書の連絡先を追加する必要があります。 証明書の連絡先には、証明書有効期間イベントによってトリガーされる通知を送信する連絡先情報が含まれています。 連絡先情報は、キー コンテナー内のすべての証明書によって共有されます。 通知は、キー コンテナー内の任意の証明書のイベントに指定されているすべての連絡先に送信されます。

証明書の通知を設定する手順

まず、キー コンテナーに証明書の連絡先を追加します。 Azure portal または PowerShell コマンドレット Add-AzKeyVaultCertificateContact を使用して追加できます。

次に、証明書の有効期限を知らせる通知を受け取るタイミングを構成します。 証明書のライフサイクル属性の構成については、Key Vault における証明書の自動ローテーションの構成に関する記事を参照してください。

証明書のポリシーが自動更新に設定されている場合は、次のイベントで通知が送信されます。

  • 証明書更新の前
  • 証明書更新の後。証明書が正常に更新されたかどうか、またはエラーが発生して証明書の手動更新が必要かどうかを示します。

証明書のポリシーが手動更新に設定されている場合 (メールのみ)、証明書を更新する必要があるときに通知が送信されます。

Key Vault には、3 つのカテゴリの証明書があります。

  • DigiCert や GlobalSign など、統合された証明機関 (CA) によって作成される証明書。
  • 統合されていない CA によって作成される証明書。
  • 自己署名証明書。

統合された CA 証明書の更新

Azure Key Vault では、Microsoft の信頼された証明機関 (DigiCert および GlobalSign) によって発行された証明書をエンドツーエンドでメンテナンスします。 信頼された CA と Key Vault を統合する方法についてご確認ください。 証明書が更新されるとき、新しいシークレット バージョンが新しい Key Vault 識別子で作成されます。

統合されていない CA 証明書の更新

Azure Key Vault を使用すると、任意の CA から証明書をインポートできます。複数の Azure リソースと統合を行ってデプロイを容易にすることができるので便利です。 ご利用の証明書の有効期限を追跡できなくなることが心配な場合や、もっと悪いことに証明書の有効期限が既に切れているのが判明した場合、最新の状態を維持するのにキー コンテナーが役に立ちます。 統合されていない CA 証明書の場合、有効期限が近いことを知らせるメール通知をキー コンテナーで設定できます。 このような通知は、複数のユーザーに対して設定することもできます。

重要

証明書はバージョン管理されるオブジェクトです。 現在のバージョンの有効期限が近づいている場合は、新しいバージョンを作成する必要があります。 概念的には、新しい各バージョンは、キーとそのキーを ID に関連付ける BLOB で構成された新しい証明書です。 連携していない CA を使用すると、キー コンテナーによってキーと値のペアが生成され、証明書署名要求 (CSR) が返されます。

統合されていない CA 証明書を更新するには:

  1. Azure portal にサインインし、更新したい証明書を開きます。
  2. 証明書のペインで、 [新しいバージョン] を選択します。
  3. [証明書の作成] ページで、[証明書の作成方法][生成] オプションが選択されていることを確認します。
  4. 証明書に関する [サブジェクト] と他の詳細を確認し、[作成] を選択します。
  5. "証明書 <<証明書名>> の作成は現在保留中です。進行状況を監視するには、ここをクリックして証明書操作に進みます" というメッセージが表示されます
  6. メッセージを選択すると、新しいウィンドウが表示されます。 このウィンドウには、状態が "進行中" と表示されます。 この時点では、キー コンテナーによって CSR が生成されており、[CSR のダウンロード] オプションを使用してダウンロードできます。
  7. [CSR のダウンロード] を選択して、CSR ファイルを自分のローカル ドライブにダウンロードします。
  8. 選択した CA に CSR を送信して要求に署名します。
  9. 署名した要求を戻し、同じ [証明書の操作] ペインで [署名された要求をマージ] を選びます。
  10. マージ後の状態は [完了] と表示され、メインの証明書ウィンドウで [最新の情報に更新] をクリックすると、新しいバージョンの証明書を確認できます。

Note

署名した CSR を、自分が作成したのと同じ CSR 要求にマージすることが重要です。 そうしないと、キーが一致しません。

新しい CSR の作成の詳細については、Key Vault での CSR の作成とマージに関するページを参照してください。

自己署名証明書を更新する

Azure Key Vault は、自己署名証明書の自動更新にも対応しています。 発行ポリシーの変更と、証明書のライフサイクル属性の更新については、Key Vault における証明書の自動ローテーションの構成に関するページを参照してください。

次のステップ