Renovar seus certificados do Azure Key Vault

  • Artigo

Com o Azure Key Vault, você pode provisionar, gerenciar e implantar com facilidade certificados digitais para a sua rede e habilitar comunicações seguras para seus aplicativos. Para obter mais informações sobre certificados, confira Sobre os certificados do Azure Key Vault.

Usando certificados de curta duração ou aumentando a frequência da rotação do certificado, você pode ajudar a impedir o acesso aos seus aplicativos por usuários não autorizados.

Este artigo aborda a renovação dos seus certificados do Azure Key Vault.

Receba notificações sobre a expiração do certificado

Para receber notificações sobre eventos de tempo de vida do certificado, você precisa adicionar o contato do certificado. Contatos de certificado contêm informações de contato para enviar notificações disparadas por eventos de tempo de vida do certificado. As informações de contatos são compartilhadas por todos os certificados no cofre de chaves. Uma notificação é enviada a todos os contatos especificados para um evento para qualquer certificado no cofre de chaves.

Etapas para definir as notificações do certificado

Primeiro, adicione um contato do certificado ao cofre de chaves. Você pode adicionar usando o portal do Azure ou o cmdlet do PowerShell Add-AzKeyVaultCertificateContact.

Em segundo lugar, configure quando você deseja ser notificado sobre a validade do certificado. Para configurar os atributos de ciclo de vida do certificado, confira Configurar a rotação de certificado no Key Vault.

Se uma política de certificado for definida como renovação automática, uma notificação é enviada nos eventos a seguir:

  • Antes da renovação de certificado
  • Após a renovação do certificado, indicar se o certificado foi renovado com êxito ou se houve um erro, exigindo a renovação manual do certificado.

Quando uma política de certificação é definida para ser renovada manualmente (somente por email), uma notificação é enviada quando chega o momento de renovar o certificado.

No Key Vault, há três categorias de certificados:

  • Certificados que são criados com uma AC (autoridade de certificação) integrada, como a DigiCert ou a GlobalSign.
  • Certificados que são criados com uma AC não integrada.
  • Certificados autoassinados.

Renovar um Certificado de Autoridade de Certificação integrado

O Azure Key Vault cuida da manutenção de ponta a ponta dos certificados emitidos pelas autoridades de certificação Microsoft confiáveis DigiCert e GlobalSign. Saiba como integrar uma AC confiável ao Key Vault. Quando um certificado é renovado, uma versão secreta é criada com um novo identificador do Key Vault.

Renovar um Certificado de Autoridade de Certificação não integrado

Usando o Azure Key Vault, você pode importar certificados de qualquer AC, um benefício que permite que você integre vários recursos do Azure e facilite a implantação. Se você está preocupado em perder o controle das datas de validade do certificado ou descobriu que um certificado já expirou, o cofre de chaves pode ajudar você a se manter atualizado. Para Certificados de Autoridade de Certificação não integrados, o cofre de chaves permite que você configure notificações de email próximo à validade. Essas notificações também podem ser definidas para vários usuários.

Importante

Um certificado é um objeto com controle de versão. Se a versão atual estiver expirando, você precisará criar outra. Conceitualmente, cada nova versão é um novo certificado composto por uma chave e um blob que vincula essa chave a uma identidade. Quando você usa uma AC não parceira, o cofre de chaves gera um par chave-valor e retorna uma CSR (solicitação de assinatura de certificado).

Para renovar um Certificado de Autoridade de Certificação não integrado:

  1. Entre no portal do Azure e abra o certificado que deseja renovar.
  2. No painel do certificado, selecione Nova Versão.
  3. Na página Criar um certificado, a opção Gerar deve estar selecionada em Método de Criação de Certificado.
  4. Verifique o Assunto e outros detalhes sobre o certificado e selecione Criar.
  5. Agora você deve ver a mensagem A criação do certificado << nome do certificado >> está pendente no momento. Clique aqui para acessar sua Operação de Certificado para monitorar o progresso
  6. Selecione a mensagem e um novo painel deve ser mostrado. O painel deve mostrar o status como "Em andamento". Neste ponto, o Key Vault gerou uma CSR que você pode baixar usando a opção Baixar CSR.
  7. Selecione Baixar CSR para baixar um arquivo CSR na unidade local.
  8. Envie a CSR para sua escolha de AC para assinar a solicitação.
  9. Retorne a solicitação assinada e selecione Mesclar Solicitação Assinada no mesmo painel de operação do certificado.
  10. O status após a mesclagem mostrará Concluído. No painel principal de certificados, você pode clicar em Atualizar para ver a nova versão do certificado.

Observação

É importante mesclar a CSR assinada com a mesma solicitação de CSR que você criou. Caso contrário, a chave não terá uma correspondência.

Para obter mais informações sobre como criar uma CSR, confira Criar e mesclar uma CSR no Key Vault.

Renovar um certificado autoassinado

O Azure Key Vault também cuida da renovação automática de certificados autoassinados. Para saber mais sobre como alterar a política de emissão e atualizar os atributos de ciclo de vida de um certificado, confira Configurar a rotação de certificado no Key Vault.

Próximas etapas