Em segurança cibernética, a configuração da renovação de certificado automática é importante para manter um ambiente seguro e confiável. A falha na atualização ou na renovação de certificados em tempo hábil expõe sistemas a vulnerabilidades. Entre as áreas potencialmente vulneráveis estão:
- Certificados SSL/TLS que expiraram.
- Redes sujeitas a violações em potencial.
- Dados confidenciais não protegidos.
- Serviços que ficam inativos para processos entre empresas.
- Perda de reputação da marca que compromete a integridade e a confidencialidade de transações digitais.
O Cofre de Chaves do Azure dá suporte à renovação automática de certificado emitido por uma autoridade de certificação (CA) integrada, como DigiCert ou GlobalSign. Para uma autoridade de certificação não integrada, uma abordagem manual é necessária.
Este artigo preenche a lacuna oferecendo um processo de renovação automática personalizado para certificados de autoridades de certificação não integradas. Este processo armazena perfeitamente os novos certificados no Cofre da Chave, aumenta a eficiência, melhora a segurança e simplifica a implantação integrando-se a vários recursos do Azure.
Um processo de renovação automática reduz o erro humano e minimiza as interrupções de serviço. Quando você automatiza a renovação de certificados, isso não apenas agiliza o processo de renovação, mas diminui a probabilidade de erros que podem ocorrer durante o manuseio manual. Ao usar as capacidades do Cofre de Chaves e as extensões, você pode compilar um processo automático eficiente para otimizar as operações e a confiabilidade.
Embora a renovação automática de certificado seja o foco inicial, um objetivo mais amplo é aumentar a segurança em todas as áreas do processo. Esse esforço inclui como implementar o princípio de privilégio mínimo (PoLP) ou controles de acesso semelhantes usando o Cofre de Chaves. Ele também enfatiza a importância de práticas do log de eventos e do monitoramento robustos para o Cofre de Chaves. Este artigo realça a importância de usar o Cofre de Chaves para fortalecer todo o ciclo de vida do gerenciamento de certificado e demonstra que os benefícios da segurança não se limitam ao armazenamento de certificados.
Você pode usar o Cofre de Chaves e o processo de renovação automática para atualizar continuamente os certificados. A renovação automática desempenha um papel importante no processo de implantação e ajuda os serviços do Azure que se integram ao Cofre de Chaves a se beneficiarem de certificados atualizados. Este artigo apresenta insight sobre como a renovação contínua e a acessibilidade favorecem a eficiência e a confiabilidade gerais da implantação dos serviços do Azure.
Arquitetura
Aqui está uma visão geral breve da arquitetura subjacente que alimenta essa solução.
Baixe um Arquivo Visio dessa arquitetura.
O ambiente do Azure compreende os seguintes recursos da plataforma como serviço (PaaS): um Cofre de Chaves dedicado a armazenar certificados só emitidos pela mesma autoridade de certificação não integrada, um tópico do sistema da Grade de Eventos do Azure, uma fila de contas de armazenamento e uma conta de Automação do Azure que expõe um webhook direcionado pela Grade de Eventos.
Este cenário pressupõe que uma infraestrutura de chave pública (PKI) existente já esteja em vigor e consiste em uma autoridade de certificação Microsoft Enterprise associada a um domínio no Microsoft Entra ID. A PKI e o domínio do Active Directory podem residir no Azure ou no local e nos servidores que devem ser configurados para renovação de certificado.
As máquinas virtuais (VMs) com certificados para monitorar a renovação não precisam ser unidas ao Active Directory ou ao Microsoft Entra ID. O único requisito é que a autoridade de certificação e o trabalho híbrido, se localizados em uma VM diferente da autoridade de certificação, sejam associados ao Active Directory.
As seções a seguir dão detalhes do processo de renovação automática.
Workflow
Esta imagem mostra o workflow automático da renovação de certificado no ecossistema do Azure.
Configuração do Cofre de Chaves: a fase inicial do processo de renovação envolve o armazenamento do objeto de certificado na seção Certificados designada do cofre de chaves.
Embora não seja obrigatório, você pode configurar notificações de email personalizadas marcando o certificado com o endereço de email do destinatário. A marcação do certificado garante notificações oportunas quando o processo de renovação for concluído. Se vários destinatários forem necessários, separe os endereços de email por vírgula ou ponto-e-vírgula. O nome da marcação com essa finalidade é Destinatário, e o valor é um ou mais endereços de email dos administradores designados.
Ao usar marcas, em vez de notificações de certificado internas, você pode aplicar notificações a um certificado específico com um destinatário designado. As notificações de certificado internas se aplicam indiscriminadamente a todos os certificados dentro do cofre de chaves e usam o mesmo destinatário para todos.
Você pode integrar notificações internas à solução, mas usar uma abordagem diferente. Embora as notificações internas só possam notificar sobre uma expiração de certificado futura, as marcações poderão enviar notificações quando o certificado for renovado na autoridade de certificação interna e quando estiver disponível no Cofre de Chaves.
Configuração da extensão do Cofre de Chaves: você deve equipar os servidores que precisam usar os certificados com a extensão do Cofre de Chaves, uma ferramenta versátil compatível com sistemas Windows e Linux. Os servidores da infraestrutura como serviço (IaaS) do Azure e os servidores locais ou outros servidores de nuvem integrados por meio do Azure Arc. Configure a extensão do Cofre de Chaves para pesquisar periodicamente o Cofre de Chaves em busca de certificados atualizados. O intervalo de sondagem é personalizável e flexível, de maneira que possa ser alinhado com requisitos operacionais específicos.
Integração da Grade de Eventos: à medida que um certificado se aproxima da expiração, duas assinaturas da Grade de Eventos interceptam esse importante evento vitalício do cofre de chaves.
Gatilhos da Grade de Eventos: uma assinatura da Grade de Eventos envia informações de renovação do certificado para uma fila de contas de armazenamento. A outra assinatura dispara a inicialização de um runbook por meio do webhook configurado na conta de automação. Se o runbook falhar durante a renovação do certificado ou se a autoridade de certificação não estiver disponível, um processo agendado vai tentar renovar o runbook a partir desse ponto até que a fila seja apagada. Esse processo deixa a solução robusta.
Para aumentar a resiliência da solução, configure um mecanismo de localização de mensagens mortas. Ele gerencia erros em potencial que possam ocorrer durante o trânsito de mensagens da Grade de Eventos para os destinos de assinatura, a fila de armazenamento e o webhook.
Fila de contas de armazenamento: o runbook é iniciado no servidor da autoridade de certificação configurado como um trabalho de runbook híbrido de automação. Ele recebe todas as mensagens na fila da conta de armazenamento que contenham o nome do certificado que está expirando e o cofre de chaves que hospeda o runbook. As etapas a seguir ocorrem para cada mensagem na fila.
Renovação do certificado: o script no runbook se conecta ao Azure para recuperar o nome do modelo do certificado que você configurou durante a geração. O modelo é o componente de configuração da autoridade de certificação que define os atributos e a finalidade dos certificados a serem gerados.
Depois de fazer interface com o Cofre de Chaves, o script inicia uma solicitação de renovação do certificado. Essa solicitação dispara o Cofre de Chaves para gerar uma solicitação de assinatura do certificado (CSR) e aplica o mesmo modelo que gerou o certificado original. Esse processo garante que o certificado renovado esteja se alinhe com as políticas de segurança predefinidas. Para obter mais informações sobre segurança no processo de autenticação e autorização, consulte a seção Segurança.
O script baixa o CSR e o envia para a autoridade de certificação.
A autoridade de certificação gera um novo certificado x509 com base no modelo correto e o reenvia para o script. Esta etapa garante que o certificado renovado se alinhe com as políticas de segurança predefinidas.
Mesclagem do certificado e atualização do Cofre de Chaves: o script mescla novamente o certificado renovado no cofre de chaves, finalizando o processo de atualização e removendo a mensagem da fila. Ao longo de todo o processo, a chave privada do certificado jamais é extraída do cofre de chaves.
Monitoramento e notificação por email: todas as operações executadas por vários componentes do Azure, como uma conta de automação, um Cofre de Chaves, uma fila de contas do armazenamento e uma Grade de Eventos, são registradas no workspace Logs do Monitor do Azure para habilitar o monitoramento. Depois que o certificado é mesclado no cofre de chaves, o script envia uma mensagem de email aos administradores para notificá-los do resultado.
Recuperação de certificado: A extensão do Cofre de Chaves no servidor desempenha um papel importante durante essa fase. Ele baixa automaticamente a versão mais recente do certificado do cofre de chaves no repositório local do servidor que está usando o certificado. Você pode configurar vários servidores com a extensão do Cofre de Chaves para recuperar o mesmo certificado (curinga ou com vários certificados de nome alternativo da entidade [SAN]) do cofre de chaves.
Componentes
A solução usa componentes variados para suportar a renovação de certificado automática no Azure. As seções a seguir descrevem cada componente e a finalidade específica.
Extensão do Key Vault
A extensão do Cofre de Chaves desempenha um papel vital na automação da renovação de certificado e deve ser instalada em servidores que exigem a automação. Para obter mais informações sobre procedimentos de instalação em servidores Windows, consulte Extensão do Cofre de Chaves para Windows. Para obter mais informações sobre as etapas de instalação para servidores Linux, consulte Extensão do Cofre de Chaves para Linux. Para obter mais informações sobre servidores habilitados para Arc do Azure, consulte Extensão do Cofre de Chaves para servidores habilitados para Arc.
Observação
Estes são exemplos de scripts que você pode executar no Azure Cloud Shell para configurar a extensão do Cofre de Chaves:
Entre os parâmetros de configuração da extensão do Cofre de Chaves estão:
- Nome do Cofre de Chaves: O cofre de chaves que contém o certificado para renovação.
- Nome do certificado: O nome do certificado a ser renovado.
- Armazenamento de certificados, nome e local: o repositório de certificados onde o certificado está armazenado. Em servidores Windows, o valor padrão de Nome é
Mye Local éLocalMachine, que é o armazenamento de certificados pessoais do computador. Em servidores Linux, você pode especificar um caminho do sistema de arquivos, pressupondo que o valor padrão sejaAzureKeyVault, que é o repositório de certificados para o Cofre de Chaves. - linkOnRenewal: um sinalizador que indica se o certificado deve ser vinculado ao servidor na renovação. Se definido como
trueem computadores Windows, ele copia o novo certificado no repositório e o vincula ao certificado anterior, o que efetivamente revincula o certificado. O valor padrão significafalseque uma associação explícita é necessária. - pollingIntervalInS: o intervalo de sondagem da extensão do Cofre de Chaves para verificar se há atualizações de certificado. O valor padrão é
3600segundos (uma hora). - authenticationSetting: a configuração da autenticação para a extensão do Cofre de Chaves. Para servidores do Azure, você pode omitir essa configuração, o que significa que a identidade gerenciada atribuída pelo sistema da VM é usada no cofre de chaves. Para servidores locais, a especificação da definição
msiEndpoint = "http://localhost:40342/metadata/identity"indica o uso da entidade de serviço associada ao objeto de computador criado durante a integração do Azure Arc.
Observação
Só especifique os parâmetros de extensão do Cofre de Chaves durante a configuração inicial. Isso garante que eles sofram alterações ao longo de todo o processo de renovação.
Conta de automação
A conta Automação lida com o processo de renovação do certificado. Você precisa configurar a conta com um runbook usando o script do PowerShell.
Você também precisa criar um grupo de trabalhos híbrido. Associe o grupo de trabalhos híbrido a um membro do Windows Server do mesmo domínio do Active Directory da autoridade de certificação, sendo o ideal a própria autoridade de certificação, para iniciar runbooks.
O runbook deve ter um webhook associado iniciado pelo trabalho do runbook híbrido. Configure a URL do webhook na assinatura de eventos do tópico do sistema da Grade de Eventos.
Fila de contas de armazenamento
A fila da conta de armazenamentos armazena as mensagens que contêm o nome do certificado que está sendo renovado e o cofre de chaves que contém o certificado. Configure a fila da conta de armazenamento no tópico do sistema de assinatura de eventos da Grade de Eventos. A fila processa o desacoplamento do script do evento de notificação da expiração do certificado. Ela dá suporte à persistência do evento dentro de uma mensagem de fila. Essa abordagem ajuda a garantir que o processo de renovação dos certificados seja repetido por meio de trabalhos agendados, mesmo que haja problemas durante a execução do script.
Trabalho de runbook híbrido
O trabalho de runbook híbrido desempenha um papel vital no uso de runbooks. Você precisa instalar o trabalho de runbook híbrido com o método de extensão do Azure Hybrid Worker, que é o modo compatível para uma nova instalação. Você o cria e o associa a um membro do Windows Server no mesmo domínio do Active Directory da autoridade de certificação, sendo o ideal a própria autoridade de certificação.
Key Vault
O Cofre de Chaves é o repositório seguro para certificados. Na seção de eventos do cofre de chaves, associe o tópico do sistema da Grade de Eventos ao webhook da conta de automação e a uma assinatura.
Grade de Eventos
A Grade de Eventos processa a comunicação orientada a eventos no Azure. Defina a Grade de Eventos configurando o tópico do sistema e a assinatura do evento para monitorar eventos relevantes. Entre os eventos relevantes estão alertas de expiração do certificado, disparo de ações no fluxo de trabalho de automação e lançamento de mensagens na fila de contas de armazenamento. Configure o tópico do sistema da Grade de Eventos com os seguintes parâmetros:
- Fonte: o nome do cofre de chaves contendo os certificados.
- Tipo de fonte: o tipo da fonte. Por exemplo, o tipo de fonte dessa solução é
Azure Key Vault. - Tipos de evento: o tipo de evento a ser monitorado. Por exemplo, o tipo de evento para essa solução é
Microsoft.KeyVault.CertificateNearExpiry. Esse evento é disparado quando um certificado está perto da expiração. - Assinatura do webhook:
- Nome da assinatura: O nome da assinatura do evento.
- Tipo do ponto de extremidade: o tipo do ponto de extremidade a ser usado. Por exemplo, o tipo do ponto de extremidade para a solução é
Webhook. - Ponto de extremidade: a URL do webhook associado ao runbook da conta de automação. Para obter mais informações, consulte a seção Conta de automação.
- Assinatura do StorageQueue:
- Nome da assinatura: O nome da assinatura do evento.
- Tipo do ponto de extremidade: o tipo do ponto de extremidade a ser usado. Por exemplo, o tipo do ponto de extremidade para a solução é
StorageQueue. - Ponto de extremidade: a fila de contas de armazenamento.
Alternativas
Essa solução usa uma conta de automação para orquestrar o processo de renovação do certificado e usa o trabalho de runbook híbrido para oferecer a flexibilidade de integração a uma autoridade de certificação local ou em outras nuvens.
Uma abordagem alternativa é usar aplicativos lógicos. A diferença principal entre as duas abordagens é que a conta de automação é uma solução de plataforma como serviço (PaaS), e os aplicativos lógicos são uma solução de software como serviço (SaaS).
A principal vantagem dos aplicativos lógicos é que eles são serviço totalmente gerenciado. Você não precisa se preocupar com a infraestrutura subjacente. Além disso, os Aplicativos Lógicos podem se integrar facilmente a conectores externos, expandindo a linha de possibilidades de notificação, como interagir com o Microsoft Teams ou o Microsoft 365.
Os Aplicativos Lógicos não têm um recurso semelhante ao trabalho de runbook híbrido, o que resulta em uma integração menos flexível com a autoridade de certificação, logo, uma conta de automação é a abordagem preferida.
Detalhes do cenário
Toda organização exige um gerenciamento seguro e eficiente do ciclo de vida do certificado. Deixar de atualizar um certificado antes da expiração pode acarretar interrupções de serviço e incorrer em custos significativos para os negócios.
As empresas normalmente operam infraestruturas de TI complexas envolvendo várias equipes responsáveis pelo ciclo de vida do certificado. A natureza manual do processo de renovação do certificado normalmente introduz erros e consome um tempo valioso.
Esta solução resolve os desafios automatizando a renovação do certificado emitido pelo Microsoft Certificate Service. O serviço é muito usado em vários aplicativos de servidor, como servidores Web, servidores SQL e para fins de criptografia, não repúdio, assinatura e garantia de atualizações em tempo hábil e armazenamento de certificados seguro no Cofre de Chaves. A compatibilidade do serviço com servidores do Azure e servidores locais dá suporte à implantação flexível.
Possíveis casos de uso
Essa solução atende a organizações de vários setores que:
- Use o Microsoft Certificate Service na geração de certificados do servidor.
- Exija automação no processo de renovação do certificado para acelerar operações e minimizar erros, o que ajuda a evitar perda de negócios e violações de contrato de nível de serviço (SLA).
- Exija o armazenamento de certificados seguro em repositórios como o Cofre de Chaves.
Esta arquitetura funciona como uma abordagem de implantação fundamental em assinaturas da zona de destino do aplicativo.
Considerações
Essas considerações implementam os pilares do Azure Well-Architected Framework, um conjunto de princípios orientadores que você pode usar para aprimorar a qualidade de uma carga de trabalho. Para obter mais informações, confira Microsoft Azure Well-Architected Framework.
Segurança
A segurança fornece garantias contra ataques deliberados e o abuso de seus dados e sistemas valiosos. Para saber mais, confira Visão geral do pilar de segurança.
Dentro do sistema do cofre de chaves, os certificados são armazenados em segurança como segredos criptografados, protegidos pelo controle de acesso baseado em função (RBAC) do Azure.
Durante todo o processo de renovação do certificado, os componentes que usam identidades são:
- A conta do sistema do trabalho de runbook híbrido, que funciona na conta da VM.
- A extensão Cofre de Chaves, que usa a identidade gerenciada associada à VM.
- A conta de automação, que usa a identidade gerenciada designada.
O princípio do privilégio mínimo é aplicado rigorosamente em todas as identidades envolvidas no procedimento de renovação do certificado.
A conta de sistema do servidor de trabalho de runbook híbrido deve ter o direito de registrar certificados em um ou mais modelos de certificado que geram novos certificados.
No cofre de chaves que contém os certificados, a identidade da conta de automação deve ter a função Key Vault Certificate Officer. Além disso, os servidores que exigem acesso a certificados devem ter permissões Get e List dentro do armazenamento de certificados do cofre de chaves.
Na fila de contas de armazenamento, a identidade da conta de automação deve ter as funções Storage Queue Data Contributor, Reader and Data Access e Reader.
Em cenários nos quais a extensão do Cofre de Chaves é implantada em uma VM do Azure, a autenticação ocorre por meio da identidade gerenciada da VM. No entanto, quando implantada em um servidor habilitado para o Azure Arc, a autenticação é manipulada usando-se uma entidade de serviço. A identidade gerenciada e a entidade de serviço devem receber a função de usuário secreto do cofre de chaves dentro do cofre de chaves que armazena o certificado. Você deve usar uma função secreta porque o certificado é armazenado no cofre de chaves como um segredo.
Otimização de custo
A otimização de custos é a análise de maneiras de reduzir as despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, consulte Lista de verificação de revisão de design para otimização de custos.
Essa solução usa soluções de PaaS do Azure que operam em uma estrutura de pagamento conforme o uso para otimizar o custo. As despesas dependem do número de certificados que precisam de renovação e do número de servidores equipados com a extensão do Cofre de Chaves, o que acarreta baixa sobrecarga.
As despesas resultantes da extensão do Cofre de Chaves e do trabalho de runbook híbrido dependem das opções de instalação e dos intervalos de sondagem. O custo da Grade de Eventos corresponde ao volume de eventos gerados pelo Cofre de Chaves. Ao mesmo tempo, o custo da conta de automação se correlaciona com o número de runbooks usados por você.
O custo do Cofre de Chaves depende de vários fatores, inclusive o SKU (Standard ou Premium) escolhido, a quantidade de certificados armazenados e a frequência das operações realizadas nos certificados.
Considerações semelhantes às configurações descritas para o Cofre de Chaves se aplicam igualmente à conta de armazenamento. Nesse cenário, um SKU padrão com replicação de armazenamento redundante localmente é suficiente para a conta de armazenamento. Geralmente, o custo da fila de contas de armazenamento é mínimo.
Para estimar o custo de implementação dessa solução, utilize a Calculadora de preços do Azure, inserindo os serviços descritos nesse artigo.
Excelência operacional
A excelência operacional abrange os processos de operações que implantam um aplicativo e o mantêm em execução na produção. Para obter mais informações, consulte Lista de verificação de revisão de design para Excelência Operacional.
O procedimento de renovação automática do certificado armazena certificados em segurança por meio de processos padronizados aplicáveis a todos os certificados no cofre de chaves.
A integração com a Grade de Eventos dispara ações complementares, como a notificação do Microsoft Teams ou do Microsoft 365 e a simplificação do processo de renovação. Essa integração reduz significativamente o tempo de renovação do certificado e reduz o potencial de erros que podem acarretar interrupções nos negócios e violações de SLAs.
Além disso, a integração perfeita com o Azure Monitor, o Microsoft Sentinel, o Microsoft Copilot for Security e a Central de Segurança do Azure facilita o monitoramento contínuo do processo de renovação do certificado. Isso dá suporte à detecção de anomalias e garante que medidas de segurança robustas sejam mantidas.
Implantar este cenário
Selecione o botão a seguir para implantar o ambiente descrito neste artigo. A implantação demora aproximadamente dois minutos para ser concluída e cria um Cofre de Chaves, um tópico de sistema da Grade de Eventos configurado com as duas assinaturas, uma conta de armazenamento contendo a fila certlc e uma conta de Automação contendo o runbook e o webhook vinculado à Grade de Eventos.
As informações detalhadas sobre os parâmetros necessários para a implantação podem ser encontradas no portal de códigos de exemplo.
Importante
Você pode implantar um ambiente de laboratório completo para demonstrar todo o workflow de renovação automática do certificado. Use o código de exemplo para implantar os seguintes recursos:
- Controladores de domínio do Active Directory Domain (AD DS) dentro de uma VM do controlador de domínio.
- Serviços de Certificado do Active Directory (AD CS) dentro de uma VM de autoridade de certificação, associada ao domínio, configurada com um modelo, WebServerShort, para registrar os certificados a serem renovados.
- Um servidor SMTP do Windows instalado na mesma VM da autoridade de certificação para enviar notificações por email. O MailViewer também é instalado para verificar as notificações de email enviadas.
- A extensão do Cofre de Chaves instalada na VM do controlador de domínio para recuperar os certificados renovados da extensão do Cofre de Chaves.
Colaboradores
Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.
Principais autores:
- Fabio Masciotra Consultor Principal
- Angelo Mazzucchi | Arquiteto de entrega
Para ver perfis não públicos do LinkedIn, entre no LinkedIn.
Recursos relacionados
Cofre de Chaves
Extensão do Cofre de Chaves para Windows
Extensão do Cofre de Chaves para Linux
O que é Automação do Azure?
Trabalho de runbook híbrido da Automação do Azure
Grade de Eventos do Azure