Odnawianie certyfikatów usługi Azure Key Vault
Usługa Azure Key Vault umożliwia łatwe aprowizowanie i wdrażanie certyfikatów cyfrowych dla sieci, zarządzanie nimi oraz włączanie bezpiecznej komunikacji dla aplikacji. Aby uzyskać więcej informacji na temat certyfikatów, zobacz About Azure Key Vault certificates (Informacje o certyfikatach platformy Azure Key Vault).
Dzięki korzystaniu z certyfikatów krótkotrwałych lub zwiększeniu częstotliwości rotacji certyfikatów można lepiej zapobiegać dostępowi do aplikacji przez nieautoryzowanych użytkowników.
W tym artykule omówiono sposób odnawiania certyfikatów usługi Azure Key Vault.
Otrzymywanie powiadomień o wygaśnięciu certyfikatu
Aby otrzymywać powiadomienia o zdarzeniach dotyczących życia certyfikatu, należy dodać kontakt z certyfikatem. Kontakty certyfikatów zawierają informacje kontaktowe do wysyłania powiadomień wyzwalanych przez zdarzenia okresu istnienia certyfikatu. Informacje o kontaktach są udostępniane przez wszystkie certyfikaty w magazynie kluczy. Powiadomienie jest wysyłane do wszystkich określonych kontaktów dla zdarzenia dla dowolnego certyfikatu w magazynie kluczy.
Kroki konfigurowania powiadomień o certyfikatach
Najpierw dodaj kontakt certyfikatu do magazynu kluczy. Możesz dodać za pomocą Azure Portal lub polecenia cmdlet programu PowerShell Add-AzKeyVaultCertificateContact.
Po drugie skonfiguruj, kiedy chcesz otrzymywać powiadomienia o wygaśnięciu certyfikatu. Aby skonfigurować atrybuty cyklu życia certyfikatu, zobacz Konfigurowanie autorotation certyfikatu w Key Vault.
Jeśli zasady certyfikatu są ustawione na automatyczne odnawianie, powiadomienie jest wysyłane na następujące zdarzenia:
- Przed odnowieniem certyfikatu
- Po odnowieniu certyfikatu, stwierdzając, czy certyfikat został pomyślnie odnowiony, lub jeśli wystąpił błąd, wymagając ręcznego odnowienia certyfikatu.
Po ustawieniu zasad certyfikatu na ręczne odnawianie (tylko wiadomość e-mail) zostanie wysłane powiadomienie, gdy nadszedł czas na odnowienie certyfikatu.
W Key Vault istnieją trzy kategorie certyfikatów:
- Certyfikaty utworzone przy użyciu zintegrowanego urzędu certyfikacji, takiego jak DigiCert lub GlobalSign.
- Certyfikaty utworzone przy użyciu nieintegrowego urzędu certyfikacji.
- Certyfikaty z podpisem własnym.
Odnawianie zintegrowanego certyfikatu urzędu certyfikacji
Usługa Azure Key Vault obsługuje kompleksową konserwację certyfikatów wystawionych przez zaufane urzędy certyfikacji firmy Microsoft DigiCert i GlobalSign. Dowiedz się, jak zintegrować zaufany urząd certyfikacji z Key Vault. Po odnowieniu certyfikatu zostanie utworzona nowa wersja wpisu tajnego z nowym identyfikatorem Key Vault.
Odnawianie nieintegracyjnego certyfikatu urzędu certyfikacji
Korzystając z usługi Azure Key Vault, można importować certyfikaty z dowolnego urzędu certyfikacji, co umożliwia integrację z kilkoma zasobami platformy Azure i ułatwianie wdrażania. Jeśli martwisz się o utratę dat wygaśnięcia certyfikatu lub, co gorsza, odkryliśmy, że certyfikat już wygasł, magazyn kluczy może pomóc w aktualizowaniu. W przypadku nieintegracyjnych certyfikatów urzędu certyfikacji magazyn kluczy umożliwia skonfigurowanie powiadomień e-mail o niemal wygaśnięciu. Takie powiadomienia można również ustawić dla wielu użytkowników.
Ważne
Certyfikat jest obiektem w wersji. Jeśli bieżąca wersja wygasa, musisz utworzyć nową wersję. Koncepcyjnie każda nowa wersja to nowy certyfikat składający się z klucza i obiektu blob, który łączy ten klucz z tożsamością. W przypadku korzystania z niepartnerowanego urzędu certyfikacji magazyn kluczy generuje parę klucz/wartość i zwraca żądanie podpisania certyfikatu (CSR).
Aby odnowić nieintegryjny certyfikat urzędu certyfikacji:
- Zaloguj się do Azure Portal, a następnie otwórz certyfikat, który chcesz odnowić.
- W okienku certyfikatu wybierz pozycję Nowa wersja.
- Na stronie Tworzenie certyfikatu upewnij się, że w obszarze Metoda tworzenia certyfikatu wybrano opcję Generuj.
- Sprawdź temat i inne szczegóły dotyczące certyfikatu, a następnie wybierz pozycję Utwórz.
- Powinien zostać wyświetlony komunikat Tworzenie nazwy >> certyfikatu << jest obecnie oczekujące. Kliknij tutaj, aby przejść do operacji certyfikatu, aby monitorować postęp
- Wybierz komunikat i powinno zostać wyświetlone nowe okienko. Okienko powinno wyświetlić stan "W toku". W tym momencie Key Vault wygenerował csr, który można pobrać przy użyciu opcji Pobierz CSR.
- Wybierz pozycję Pobierz csr, aby pobrać plik CSR na dysk lokalny.
- Wyślij żądanie CSR do wybranego urzędu certyfikacji, aby podpisać żądanie.
- Wróć do podpisanego żądania i wybierz pozycję Scal podpisane żądanie w tym samym okienku operacji certyfikatu.
- Stan po scaleniu będzie wyświetlany w okienku Ukończono i w głównym okienku certyfikatu można nacisnąć pozycję Odśwież , aby wyświetlić nową wersję certyfikatu.
Uwaga
Ważne jest, aby scalić podpisane żądanie CSR z tym samym utworzonym żądaniem CSR. W przeciwnym razie klucz nie będzie zgodny.
Aby uzyskać więcej informacji na temat tworzenia nowego csr, zobacz Tworzenie i scalanie csr w Key Vault.
Odnawianie certyfikatu z podpisem własnym
Usługa Azure Key Vault obsługuje również autorenewal certyfikatów z podpisem własnym. Aby dowiedzieć się więcej na temat zmieniania zasad wystawiania i aktualizowania atrybutów cyklu życia certyfikatu, zobacz Konfigurowanie autorotation certyfikatu w Key Vault.
Następne kroki
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla