Sobre certificados do Azure Key Vault

O suporte aos certificados do Azure Key Vault permite o gerenciamento de seus certificados X.509 e dos seguintes comportamentos:

• Permite que um proprietário de certificado crie um certificado por meio de um processo de criação de cofre de chaves ou pela importação de um certificado existente. Os certificados importados incluem certificados autoassinados e certificados gerados de uma AC (autoridade de certificação).

• Permite que um proprietário de certificado do Key Vault implemente o armazenamento seguro e o gerenciamento de certificados X509 sem interagir com o material da chave privada.

• Permite que um proprietário de certificado crie uma política que direciona o Key Vault para gerenciar o ciclo de vida de um certificado.

• Permite que um proprietário de certificado forneça informações de contato para notificações sobre os eventos de ciclo de vida de expiração e renovação.

• Dá suporte à renovação automática com emissores selecionados – autoridades de certificação e provedores de certificado X.509 de parceiros do Key Vault.

  Observação

  Provedores e autoridades não parceiros também são permitidos, mas não dão suporte à renovação automática.

Para obter detalhes sobre a criação do certificado, confira Métodos de criação de certificado.

Composição de um certificado

Quando um certificado de Cofre de Chaves é criado, uma chave endereçável e o segredo também são criados com o mesmo nome. A chave do Key Vault permite operações de chave e o segredo do Key Vault permite a recuperação do valor do certificado como um segredo. Um certificado do Key Vault também contém metadados do certificado público X.509.

O identificador e a versão dos certificados são semelhantes aos de chaves e segredos. Uma versão específica de uma chave endereçável e segredo criados com a versão de certificado do Cofre de Chaves está disponível na resposta de certificado do Cofre de Chaves.

Chave exportável ou não exportável

Quando um certificado de Key Vault é criado, ele pode ser recuperado do segredo endereçável com a chave privada no formato PFX ou PEM. A política usada para criar o certificado precisa indicar que a chave é exportável. Se a política indicar que a chave não é exportável, a chave privada não será parte do valor quando for recuperada como um segredo.

A chave endereçável se torna mais relevante com certificados de Key Vault não exportáveis. As operações de chave do Key Vault endereçáveis são mapeadas a partir do campo keyusage da política de certificado do Key Vault usada para criar o certificado do Key Vault.

Para obter a lista completa de tipos de chave com suporte, confira Sobre chaves: tipos de chave e métodos de proteção. As chaves exportáveis são permitidas somente com RSA e EC. As chaves HSM não podem ser exportadas.

Marcas e atributos de certificado

Além dos metadados do certificado, uma chave endereçável e um segredo endereçável, um certificado do Key Vault contém marcas e atributos.

Atributos

Os atributos de certificado são espelhados para atributos de chave endereçável e segredo criado quando o certificado do Key Vault é criado.

Um certificado do Key Vault tem o seguinte atributo:

• enabled: esse atributo booliano é opcional. O padrão é true. Ele pode ser especificado para indicar se os dados de certificado podem ser recuperados como segredo ou se são operáveis como uma chave.

  Esse atributo também é usado com nbf e exp quando uma operação ocorre entre nbf e exp, mas somente se enabled é definido como true. As operações fora da janela nbf e exp são proibidas automaticamente.

Uma resposta inclui estes atributos somente leitura adicionais:

• created: IntDate indica quando esta versão do certificado foi criada.
• updated: IntDate indica quando esta versão do certificado foi atualizada.
• exp: IntDate contém o valor da data de validade do certificado X.509.
• nbf: IntDate contém o valor da data "não antes de" do certificado X.509.

Observação

Se um certificado do Key Vault expirar, ele ainda poderá ser recuperado, mas o certificado poderá ficar inoperável em cenários como a proteção TLS em que a expiração do certificado é validada.

Marcações

As marcas para certificados são um dicionário especificado pelo cliente de pares chave/valor, assim como marcas em chaves e segredos.

Observação

As marcas podem ser lidas por um chamador se ele tiver a permissão para listar ou obter para esse tipo de objeto; chaves, segredos ou certificados.

Política do certificado

Uma política de certificado contém informações sobre como criar e gerenciar o ciclo de vida de um certificado do Key Vault. Quando um certificado com a chave privada é importado para o Key Vault, o serviço do Key Vault cria uma política padrão lendo o certificado X.509.

Quando um certificado do Key Vault é criado do zero, uma política precisa ser fornecida. A política especifica como criar esta versão do certificado do Key Vault ou a versão seguinte do certificado do Key Vault. Após o estabelecimento de uma política, ela não é necessária para operações de criação subsequentes para versões futuras. Há apenas uma instância de uma política para todas as versões de um certificado de Key Vault.

Em um nível alto, uma política de certificado contém as seguintes informações:

• Propriedades do certificado X.509, que incluem nome da entidade, nomes alternativos da entidade e outras propriedades usadas para criar uma solicitação de certificado X.509.

• Propriedades de chave, que incluem tipo de chave, comprimento da chave, exportável e campos ReuseKeyOnRenewal. Esses campos instruem o Key Vault sobre como gerar uma chave.

  Os tipos de chave compatíveis são RSA, RSA-HSM, EC, EC-HSM e oct.

• Propriedades de segredo, como o tipo de conteúdo de um segredo endereçável para gerar o valor de segredo, para recuperar o certificado como um segredo.

• Ações de tempo de vida para o certificado do Key Vault. Cada ação de tempo de vida contém:

  • Gatilho: especificado como dias antes da expiração ou percentual de duração do tempo de vida.
  • Ação: emailContacts ou autoRenew.

• Tipo de validação de certificados: validação da organização (OV-SSL) e validação estendida (EV-SSL) para os emissores DigiCert e GlobalSign.

• Parâmetros sobre o emissor do certificado a ser usado para emitir certificados X.509.

• Atributos associados à política.

Para obter mais informações, confira Set-AzKeyVaultCertificatePolicy.

Mapeando o uso de X.509 para operações de chave

A tabela a seguir representa o mapeamento de política de uso de chave X.509 para operações de chave efetivas de uma chave criada como parte da criação de certificado do Key Vault.

Sinalizadores de uso de chave X.509	Operações de chave do Key Vault	Comportamento padrão
DataEncipherment	encrypt, decrypt	Não aplicável
DecipherOnly	decrypt	Não aplicável
DigitalSignature	sign, verify	Padrão de Cofre de Chaves sem uma especificação de uso no momento da criação de certificado
EncipherOnly	encrypt	Não aplicável
KeyCertSign	sign, verify	Não aplicável
KeyEncipherment	wrapKey, unwrapKey	Padrão de Cofre de Chaves sem uma especificação de uso no momento da criação de certificado
NonRepudiation	sign, verify	Não aplicável
crlsign	sign, verify	Não aplicável

Emissor do certificado

Um objeto de certificado do Key Vault contém uma configuração usada para se comunicar com um provedor de emissor do certificado selecionado para solicitar certificados X.509.

Parceiros do Key Vault com os provedores de emissor do certificado a seguir para certificados TLS/SSL.

Nome do provedor	Locais
DigiCert	Compatível com todas as localizações do serviço Key Vault na nuvem pública e com o Azure Government
GlobalSign	Compatível com todas as localizações do serviço Key Vault na nuvem pública e com o Azure Government

Antes que um emissor do certificado possa ser criado em um cofre de chaves, um administrador precisa executar as seguintes etapas de pré-requisito:

1. Integrar a organização com pelo menos um provedor de AC.

2. Criar as credenciais do solicitante para que o Key Vault registre (e renove) certificados TLS/SSL. Essa etapa fornece a configuração a ser usada para criar um objeto de emissor do provedor no cofre de chaves.

Para obter mais informações sobre como criar objetos de emissor do portal de certificados, consulte o Blog da Equipe do Key Vault.

O Key Vault permite a criação de vários objetos de emissor com configuração de provedor de emissor diferente. Quando um objeto de emissor é criado, o nome dele pode ser referenciado em uma ou várias políticas de certificado. Referenciar o objeto emissor instrui o Key Vault para usar a configuração conforme especificado no objeto emissor ao solicitar o certificado X.509 do provedor de autoridade de certificação durante a criação e renovação do certificado.

Os objetos emissores são criados no cofre. Eles só podem ser usados com certificados do Key Vault no mesmo cofre.

Observação

Certificados publicamente confiáveis são enviados para CAs e logs de CT (transparência de certificado) fora do limite do Azure durante o registro. Eles são cobertos pelas políticas de GDPR dessas entidades.

Contatos de certificado

Contatos de certificado contêm informações de contato para enviar notificações disparadas por eventos de tempo de vida do certificado. Todos os certificados no cofre de chaves compartilham as informações de contato.

Uma notificação é enviada a todos os contatos especificados para um evento para qualquer certificado no cofre de chaves. Para obter informações sobre como definir um contato de certificado, confira Renovar seus certificados do Azure Key Vault.

Controle de acesso de certificado

O Key Vault gerencia o controle de acesso para os certificados. O cofre de chaves que contém esses certificados fornece controle de acesso. A política de controle de acesso para certificados é diferente da política de controle de acesso para chaves e segredos no mesmo cofre de chaves.

Os usuários podem criar um ou mais cofres para armazenar certificados, para manter a segmentação e gerenciamento de certificados apropriados do cenário. Para obter mais informações, confira Controle de acesso ao certificado.

Casos de uso de certificado

Comunicação e autenticação seguras

Os certificados TLS podem ajudar a criptografar comunicações pela Internet e estabelecer a identidade dos sites. Essa criptografia torna o ponto de entrada e o modo de comunicação mais seguros. Além disso, um certificado encadeado assinado por uma AC pública pode ajudar a verificar se as entidades que contêm os certificados são legítimas.

Por exemplo, veja abaixo alguns casos excelentes de uso de certificados para proteger a comunicação e habilitar a autenticação:

• Sites de intranet/Internet: proteja o acesso ao seu site de intranet e garanta a transferência de dados criptografados pela Internet usando certificados TLS.
• Dispositivos de rede e IoT: proteja os seus dispositivos usando certificados para autenticação e comunicação.
• Nuvem/várias nuvens: proteja aplicativos baseados em nuvem locais, nuvens cruzadas ou no locatário do seu provedor de nuvem.

Próximas etapas

• Métodos de criação de certificado
• Sobre o Key Vault
• Sobre chaves, segredos e certificados
• Sobre as chaves
• Sobre segredos
• Gerenciamento de chaves no Azure
• Autenticação, solicitações e respostas
• Guia do desenvolvedor do Cofre de Chaves