Odnawianie certyfikatów usługi Azure Key Vault

  • Artykuł

Usługa Azure Key Vault umożliwia łatwe aprowizowanie i wdrażanie certyfikatów cyfrowych dla sieci, zarządzanie nimi oraz włączanie bezpiecznej komunikacji dla aplikacji. Aby uzyskać więcej informacji na temat certyfikatów, zobacz About Azure Key Vault certificates (Informacje o certyfikatach platformy Azure Key Vault).

Dzięki korzystaniu z certyfikatów krótkotrwałych lub zwiększeniu częstotliwości rotacji certyfikatów można lepiej zapobiegać dostępowi do aplikacji przez nieautoryzowanych użytkowników.

W tym artykule omówiono sposób odnawiania certyfikatów usługi Azure Key Vault.

Otrzymywanie powiadomień o wygaśnięciu certyfikatu

Aby otrzymywać powiadomienia o zdarzeniach dotyczących życia certyfikatu, należy dodać kontakt z certyfikatem. Kontakty certyfikatów zawierają informacje kontaktowe do wysyłania powiadomień wyzwalanych przez zdarzenia okresu istnienia certyfikatu. Informacje o kontaktach są udostępniane przez wszystkie certyfikaty w magazynie kluczy. Powiadomienie jest wysyłane do wszystkich określonych kontaktów dla zdarzenia dla dowolnego certyfikatu w magazynie kluczy.

Kroki konfigurowania powiadomień o certyfikatach

Najpierw dodaj kontakt certyfikatu do magazynu kluczy. Możesz dodać za pomocą Azure Portal lub polecenia cmdlet programu PowerShell Add-AzKeyVaultCertificateContact.

Po drugie skonfiguruj, kiedy chcesz otrzymywać powiadomienia o wygaśnięciu certyfikatu. Aby skonfigurować atrybuty cyklu życia certyfikatu, zobacz Konfigurowanie autorotation certyfikatu w Key Vault.

Jeśli zasady certyfikatu są ustawione na automatyczne odnawianie, powiadomienie jest wysyłane na następujące zdarzenia:

  • Przed odnowieniem certyfikatu
  • Po odnowieniu certyfikatu, stwierdzając, czy certyfikat został pomyślnie odnowiony, lub jeśli wystąpił błąd, wymagając ręcznego odnowienia certyfikatu.

Po ustawieniu zasad certyfikatu na ręczne odnawianie (tylko wiadomość e-mail) zostanie wysłane powiadomienie, gdy nadszedł czas na odnowienie certyfikatu.

W Key Vault istnieją trzy kategorie certyfikatów:

  • Certyfikaty utworzone przy użyciu zintegrowanego urzędu certyfikacji, takiego jak DigiCert lub GlobalSign.
  • Certyfikaty utworzone przy użyciu nieintegrowego urzędu certyfikacji.
  • Certyfikaty z podpisem własnym.

Odnawianie zintegrowanego certyfikatu urzędu certyfikacji

Usługa Azure Key Vault obsługuje kompleksową konserwację certyfikatów wystawionych przez zaufane urzędy certyfikacji firmy Microsoft DigiCert i GlobalSign. Dowiedz się, jak zintegrować zaufany urząd certyfikacji z Key Vault. Po odnowieniu certyfikatu zostanie utworzona nowa wersja wpisu tajnego z nowym identyfikatorem Key Vault.

Odnawianie nieintegracyjnego certyfikatu urzędu certyfikacji

Korzystając z usługi Azure Key Vault, można importować certyfikaty z dowolnego urzędu certyfikacji, co umożliwia integrację z kilkoma zasobami platformy Azure i ułatwianie wdrażania. Jeśli martwisz się o utratę dat wygaśnięcia certyfikatu lub, co gorsza, odkryliśmy, że certyfikat już wygasł, magazyn kluczy może pomóc w aktualizowaniu. W przypadku nieintegracyjnych certyfikatów urzędu certyfikacji magazyn kluczy umożliwia skonfigurowanie powiadomień e-mail o niemal wygaśnięciu. Takie powiadomienia można również ustawić dla wielu użytkowników.

Ważne

Certyfikat jest obiektem w wersji. Jeśli bieżąca wersja wygasa, musisz utworzyć nową wersję. Koncepcyjnie każda nowa wersja to nowy certyfikat składający się z klucza i obiektu blob, który łączy ten klucz z tożsamością. W przypadku korzystania z niepartnerowanego urzędu certyfikacji magazyn kluczy generuje parę klucz/wartość i zwraca żądanie podpisania certyfikatu (CSR).

Aby odnowić nieintegryjny certyfikat urzędu certyfikacji:

  1. Zaloguj się do Azure Portal, a następnie otwórz certyfikat, który chcesz odnowić.
  2. W okienku certyfikatu wybierz pozycję Nowa wersja.
  3. Na stronie Tworzenie certyfikatu upewnij się, że w obszarze Metoda tworzenia certyfikatu wybrano opcję Generuj.
  4. Sprawdź temat i inne szczegóły dotyczące certyfikatu, a następnie wybierz pozycję Utwórz.
  5. Powinien zostać wyświetlony komunikat Tworzenie nazwy >> certyfikatu << jest obecnie oczekujące. Kliknij tutaj, aby przejść do operacji certyfikatu, aby monitorować postęp
  6. Wybierz komunikat i powinno zostać wyświetlone nowe okienko. Okienko powinno wyświetlić stan "W toku". W tym momencie Key Vault wygenerował csr, który można pobrać przy użyciu opcji Pobierz CSR.
  7. Wybierz pozycję Pobierz csr, aby pobrać plik CSR na dysk lokalny.
  8. Wyślij żądanie CSR do wybranego urzędu certyfikacji, aby podpisać żądanie.
  9. Wróć do podpisanego żądania i wybierz pozycję Scal podpisane żądanie w tym samym okienku operacji certyfikatu.
  10. Stan po scaleniu będzie wyświetlany w okienku Ukończono i w głównym okienku certyfikatu można nacisnąć pozycję Odśwież , aby wyświetlić nową wersję certyfikatu.

Uwaga

Ważne jest, aby scalić podpisane żądanie CSR z tym samym utworzonym żądaniem CSR. W przeciwnym razie klucz nie będzie zgodny.

Aby uzyskać więcej informacji na temat tworzenia nowego csr, zobacz Tworzenie i scalanie csr w Key Vault.

Odnawianie certyfikatu z podpisem własnym

Usługa Azure Key Vault obsługuje również autorenewal certyfikatów z podpisem własnym. Aby dowiedzieć się więcej na temat zmieniania zasad wystawiania i aktualizowania atrybutów cyklu życia certyfikatu, zobacz Konfigurowanie autorotation certyfikatu w Key Vault.

Następne kroki