チュートリアル:Key Vault における証明書の自動ローテーションを構成する

Azure Key Vault を使用すると、デジタル証明書のプロビジョニング、管理、およびデプロイを簡単に行うことができます。 証明機関 (CA) によって署名された、パブリックおよびプライベートの Secure Sockets Layer (SSL)/Transport Layer Security (TLS) 証明書、または自己署名証明書を使用できます。 Key Vault は、CA とのパートナーシップを通じて証明書を要求したり更新したりすることもでき、証明書のライフサイクル管理のための堅牢なソリューションを実現します。 このチュートリアルでは、証明書の有効期間、自動ローテーション頻度、および CA 属性を更新します。

このチュートリアルでは、次の操作方法について説明します。

• Azure portal を使用して証明書を管理する。
• CA プロバイダー アカウントを追加する。
• 証明書の有効期間を更新する。
• 証明書の自動ローテーション頻度を更新する。
• Azure PowerShell を使用して証明書の属性を更新する。

始める前に、Key Vault の基本的な概念を確認してください。

Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。

Azure へのサインイン

Azure portal にサインインします。

コンテナーの作成

次の 3 つの方法のいずれかを使用して、キー コンテナーを作成します。

• Azure portal を使用してキー コンテナーを作成する
• Azure CLI を使用してキー コンテナーを作成する
• Azure PowerShell を使用してキー コンテナーを作成する

Key Vault に証明書を作成する

証明書を作成するか、証明書をキー コンテナーにインポートします (Key Vault で証明書を作成する手順に関するページを参照してください)。 この例では、ExampleCertificate という証明書を操作します。

証明書のライフサイクル属性を更新する

Azure Key Vault では、証明書の作成時と作成後の両方のタイミングで証明書のライフサイクル属性を更新できます。

Key Vault には、次の証明書を作成できます。

• 自己署名証明書。
• Key Vault と提携している CA で作成された証明書。
• Key Vault と提携していない CA による証明書。

次の CA は、現在 Key Vault と提携しているプロバイダーです。

• DigiCert: Key Vault には、OV または EV TLS/SSL 証明書が用意されています。
• GlobalSign: Key Vault には、OV または EV TLS/SSL 証明書が用意されています。

Key Vault では、CA との確立されたパートナーシップを通じて証明書が自動的にローテーションされます。 Key Vault はパートナーシップを通じて証明書を自動的に要求および更新するため、Key Vault と提携していない CA で作成された証明書には、自動ローテーション機能が適用されません。

Note

CA プロバイダーのアカウント管理者は、Key Vault が TLS/SSL 証明書を作成、更新、および使用するために使用する資格情報を作成します。

作成時に証明書のライフサイクル属性を更新する

1. Key Vault のプロパティ ページで、 [証明書] を選択します。

2. [Generate/Import](生成/インポート) を選択します。

3. [証明書の作成] 画面で、次の値を更新します。

   • [有効期間]: 月単位の値を入力します。 セキュリティ プラクティスとして、作成する証明書の有効期間は短くすることをお勧めします。 新しく作成された証明書の有効期間は、既定では 12 か月です。

   • 有効期間のアクション タイプ: 証明書の自動更新とアラート アクションを選択し、 [有効期間の割合] または [有効期限までの日数] を更新します。 既定では、証明書の自動更新が、その有効期間の 80% に設定されます。 ドロップダウン メニューから次のいずれかのオプションを選択します。

     特定のタイミングで自動的に更新する	特定のタイミングですべての連絡先にメールを送信する
     このオプションを選択すると、自動ローテーションが "オンになります"。	このオプションを選択すると、自動ローテーションが "実行されません"。連絡先にアラートが送信されるだけです。

     メールの連絡先を設定する方法については、こちらを参照してください

4. ［作成］ を選択します

格納されている証明書のライフサイクル属性を更新する

1. キー コンテナーを選択します。

2. Key Vault のプロパティ ページで、 [証明書] を選択します。

3. 更新する証明書を選択します。 この例では、ExampleCertificate という証明書を操作します。

4. 上部のメニュー バーから [発行ポリシー] を選択します。

   

5. [発行ポリシー] 画面で、次の値を更新します。

   • [有効期間]: 月単位の値を更新します。
   • 有効期間のアクション タイプ: 証明書の自動更新とアラート アクションを選択し、 [有効期間の割合] または [有効期限までの日数] を更新します。

   

6. [保存] を選択します。

重要

証明書の有効期間のアクション タイプを変更すると、既存の証明書の変更がすぐに記録されます。

PowerShell を使用して証明書の属性を更新する

Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName 
                                   -Name $certificateName 
                                   -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]

ヒント

一連の証明書に対する更新ポリシーを変更するには、次の例のように VaultName,CertName が含まれた File.csv を入力します。
vault1,Cert1​
vault2,Cert2​

$file = Import-CSV C:\Users\myfolder\ReadCSVUsingPowershell\File.csv ​
foreach($line in $file)​
{​
Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName -Name $certificateName -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]
}

パラメーターの詳細については、az keyvault certificate に関するページを参照してください。

リソースをクリーンアップする

Key Vault に関する他のチュートリアルは、このチュートリアルに基づいています。 これらのチュートリアルを実行する場合は、これらの既存のリソースをそのまま残しておくことをお勧めします。 不要になったら、リソース グループを削除します。これにより、キー コンテナーと関連リソースが削除されます。

ポータルを使用してリソース グループを削除するには:

1. ポータルの上部にある検索ボックスにリソース グループの名前を入力します。 このクイックスタートで使用されているリソース グループが検索結果に表示されたら、それを選択します。
2. [リソース グループの削除] を選択します。
3. [リソース グループ名を入力してください:] ボックスにリソース グループの名前を入力し、 [削除] を選択します。

次のステップ

このチュートリアルでは、証明書のライフサイクル属性を更新しました。 Key Vault およびアプリケーションとの統合方法の詳細については、引き続き以下の記事を参照してください。

• Azure Key Vault での証明書作成の管理の詳細をご覧ください。
• Key Vault の概要を確認してください。