Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Com o Azure Key Vault, você pode provisionar, gerenciar e implantar com facilidade certificados digitais para a sua rede e habilitar comunicações seguras para seus aplicativos. Para obter mais informações sobre certificados, consulte Sobre certificados do Azure Key Vault.
Usando certificados de curta duração ou aumentando a frequência da rotação do certificado, você pode ajudar a impedir o acesso aos seus aplicativos por usuários não autorizados.
Este artigo discute como renovar seus certificados do Azure Key Vault.
Ser notificado sobre a expiração do certificado
Para ser notificado sobre eventos relacionados ao ciclo de vida do certificado, você deve adicionar o contato do certificado. Contatos de certificado contêm informações de contato para enviar notificações disparadas por eventos de tempo de vida do certificado. As informações de contato são compartilhadas por todos os certificados do Key Vault. Uma notificação é enviada a todos os contatos especificados para um evento para qualquer certificado no cofre de chaves.
Etapas para definir notificações de certificado
Primeiro, adicione um contato do certificado ao cofre de chaves. Você pode adicionar usando o portal do Azure ou o cmdlet do PowerShell Add-AzKeyVaultCertificateContact.
Em segundo lugar, configure quando quiser ser notificado sobre a expiração do certificado. Para configurar os atributos do ciclo de vida do certificado, consulte Configurar a autorotação de certificado no Key Vault.
Se a política de um certificado estiver definida como renovação automática, uma notificação será enviada nos seguintes eventos:
- Antes da renovação de certificado
- Após a renovação do certificado, informando se o certificado foi renovado com êxito ou se houve um erro, exigindo a renovação manual do certificado.
Quando uma política de certificado é definida para ser renovada manualmente (somente por email), uma notificação é enviada quando é hora de renovar o certificado.
No Key Vault, há três categorias de certificados:
- Certificados criados com uma AC (autoridade de certificação) integrada, como DigiCert ou GlobalSign.
- Certificados criados com uma Autoridade Certificadora não integrada.
- Certificados autoassinados.
Renovar um Certificado de Autoridade de Certificação integrado
O Azure Key Vault lida com a manutenção de ponta a ponta de certificados emitidos pelas autoridades de certificação confiáveis da Microsoft DigiCert e GlobalSign. Saiba como integrar uma AC confiável ao Key Vault. Quando um certificado é renovado, uma nova versão secreta é criada com um novo identificador do Key Vault.
Renovar um Certificado de Autoridade de Certificação não integrado
Usando o Azure Key Vault, você pode importar certificados de qualquer AC, um benefício que permite que você se integre a vários recursos do Azure e facilite a implantação. Se você está preocupado em perder o controle das datas de validade do certificado ou, pior, descobriu que um certificado já expirou, seu cofre de chaves pode ajudar a mantê-lo atualizado. Para certificados de CA não integrados, o cofre de chaves permite que você configure notificações de email próximo do vencimento. Essas notificações também podem ser definidas para vários usuários.
Importante
Um certificado é um objeto versionado. Se a versão atual estiver expirando, você precisará criar uma nova versão. Conceitualmente, cada nova versão é um novo certificado composto por uma chave e um blob que vincula essa chave a uma identidade. Quando você usa uma AC não parceira, o cofre de chaves gera um par chave-valor e retorna uma CSR (solicitação de assinatura de certificado).
Para renovar um certificado de CA não integrado:
- Entre no portal do Azure e abra o certificado que você deseja renovar.
- No painel do certificado, selecione Nova Versão.
- Na página Criar um certificado , verifique se a opção Gerar está selecionada em Método de Criação de Certificado.
- Verifique o Assunto e outros detalhes sobre o certificado e selecione Criar.
- Neste momento, você deve ver a mensagem A criação do certificado << com o nome >> está pendente atualmente. Clique aqui para acessar sua Operação de Certificado e monitorar o progresso
- Selecione a mensagem e um novo painel deve ser mostrado. O painel deve mostrar o status como "Em andamento". Neste ponto, o Key Vault gerou uma CSR que você pode baixar usando a opção Baixar CSR .
- Selecione Baixar CSR para baixar um arquivo CSR na unidade local.
- Envie o CSR para uma AC de sua escolha para assinar a solicitação.
- Retorne a solicitação assinada e selecione Mesclar Solicitação Assinada no mesmo painel de operação do certificado.
- O status após a mesclagem mostrará Concluído. No painel principal de certificados, você pode clicar em Atualizar para ver a nova versão do certificado.
Observação
É importante mesclar a CSR assinada com a mesma solicitação de CSR que você criou. Caso contrário, a chave não terá uma correspondência.
Para obter mais informações sobre como criar uma nova CSR, consulte Criar e mesclar uma CSR no Key Vault.
Renovar um certificado autoassinado
O Azure Key Vault também lida com a renovação automática de certificados autoassinados. Para saber mais sobre como alterar a política de emissão e atualizar os atributos de ciclo de vida de um certificado, consulte Configurar a autorotação de certificado no Key Vault.