Renovar os certificados do Azure Key Vault

  • Artigo

Com o Azure Key Vault, pode facilmente aprovisionar, gerir e implementar certificados digitais para a rede e permitir comunicações seguras para as aplicações. Para obter mais informações sobre certificados, veja About Azure Key Vault certificates (Acerca dos certificados do Azure Key Vault).

Ao utilizar certificados de curta duração ou ao aumentar a frequência da rotação de certificados, pode ajudar a impedir o acesso às aplicações por utilizadores não autorizados.

Este artigo aborda como renovar os certificados do Azure Key Vault.

Receber notificações sobre a expiração do certificado

Para ser notificado sobre os eventos de vida do certificado, terá de adicionar o contacto do certificado. Os contactos de certificado contêm informações de contacto para enviar notificações acionadas por eventos de duração do certificado. As informações de contactos são partilhadas por todos os certificados no cofre de chaves. É enviada uma notificação a todos os contactos especificados para um evento para qualquer certificado no cofre de chaves.

Passos para definir notificações de certificado

Primeiro, adicione um contacto de certificado ao cofre de chaves. Pode adicionar com o portal do Azure ou o cmdlet do PowerShell Add-AzKeyVaultCertificateContact.

Em segundo lugar, configure quando pretender ser notificado sobre a expiração do certificado. Para configurar os atributos de ciclo de vida do certificado, veja Configurar a autorotação do certificado no Key Vault.

Se a política de um certificado estiver definida para renovação automática, será enviada uma notificação nos seguintes eventos:

  • Antes da renovação do certificado
  • Após a renovação do certificado, a indicar se o certificado foi renovado com êxito ou se ocorreu um erro, a exigir a renovação manual do certificado.

Quando uma política de certificados está definida para ser renovada manualmente (apenas por e-mail), é enviada uma notificação quando for altura de renovar o certificado.

No Key Vault, existem três categorias de certificados:

  • Certificados criados com uma autoridade de certificação (AC) integrada, como DigiCert ou GlobalSign.
  • Certificados criados com uma AC nãointegrada.
  • Certificados autoassinados.

Renovar um certificado de AC integrado

O Azure Key Vault processa a manutenção ponto a ponto dos certificados emitidos pelas autoridades de certificação fidedignas da Microsoft DigiCert e GlobalSign. Saiba como integrar uma AC fidedigna com Key Vault. Quando um certificado é renovado, é criada uma nova versão secreta com um novo identificador de Key Vault.

Renovar um certificado de AC nãointegrado

Ao utilizar o Azure Key Vault, pode importar certificados de qualquer AC, um benefício que lhe permite integrar em vários recursos do Azure e facilitar a implementação. Se estiver preocupado com a perda de controlo das datas de expiração do certificado ou, pior ainda, descobriu que um certificado já expirou, o cofre de chaves pode ajudar a mantê-lo atualizado. Para certificados de AC não conformes, o cofre de chaves permite-lhe configurar notificações de e-mail de quase expiração. Estas notificações também podem ser definidas para vários utilizadores.

Importante

Um certificado é um objeto com versões. Se a versão atual estiver a expirar, terá de criar uma nova versão. Conceptualmente, cada nova versão é um novo certificado composto por uma chave e um blob que liga essa chave a uma identidade. Quando utiliza uma AC não associada, o cofre de chaves gera um par chave/valor e devolve um pedido de assinatura de certificado (CSR).

Para renovar um certificado de AC nãointegrado:

  1. Inicie sessão no portal do Azure e, em seguida, abra o certificado que pretende renovar.
  2. No painel certificado, selecione Nova Versão.
  3. Na página Criar um certificado , certifique-se de que a opção Gerar está selecionada em Método de Criação de Certificados.
  4. Verifique o Assunto e outros detalhes sobre o certificado e, em seguida, selecione Criar.
  5. Deverá agora ver a mensagem A criação do nome >> do certificado << está atualmente pendente. Clique aqui para aceder à Operação de Certificado para monitorizar o progresso
  6. Selecione na mensagem e deverá ser apresentado um novo painel. O painel deve mostrar o estado como "Em Curso". Neste momento, Key Vault gerou um CSR que pode transferir com a opção Transferir CSR.
  7. Selecione Transferir CSR para transferir um ficheiro CSR para a unidade local.
  8. Envie o CSR à sua escolha de AC para assinar o pedido.
  9. Traga de volta o pedido assinado e selecione Intercalar Pedido Assinado no mesmo painel de operação de certificado.
  10. O estado após a intercalação mostrará Concluído e, no painel de certificados principal, pode aceder a Atualizar para ver a nova versão do certificado.

Nota

É importante intercalar o CSR assinado com o mesmo pedido CSR que criou. Caso contrário, a chave não corresponderá.

Para obter mais informações sobre como criar um novo CSR, veja Criar e intercalar um CSR no Key Vault.

Renovar um certificado autoassinado

O Azure Key Vault também processa a atribuição automática de certificados autoassinados. Para saber mais sobre como alterar a política de emissão e atualizar os atributos de ciclo de vida de um certificado, veja Configurar a autorotação do certificado no Key Vault.

Passos seguintes