Partilhar via

Tutorial: Configurar a rotação automática de certificados no Key Vault

  • Artigo

Pode aprovisionar, gerir e implementar certificados digitais facilmente com o Azure Key Vault. Os certificados podem ser certificados SSL (Secure Sockets Layer)/Transport Layer Security (TLS) assinados por uma autoridade de certificação (AC) ou um certificado autoassinado. Key Vault também podem pedir e renovar certificados através de parcerias com ACs, fornecendo uma solução robusta para a gestão do ciclo de vida dos certificados. Neste tutorial, irá atualizar o período de validade de um certificado, a frequência de rotação automática e os atributos de AC.

Este tutorial mostra-lhe como:

  • Faça a gestão de um certificado com o portal do Azure.
  • Adicione uma conta de fornecedor de AC.
  • Atualize o período de validade do certificado.
  • Atualize a frequência de rotação automática do certificado.
  • Atualize os atributos do certificado com Azure PowerShell.

Antes de começar, leia Key Vault conceitos básicos.

Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Iniciar sessão no Azure

Inicie sessão no portal do Azure.

Criar um cofre

Crie um cofre de chaves com um destes três métodos:

Criar um certificado no Key Vault

Crie um certificado ou importe um certificado para o cofre de chaves (veja Passos para criar um certificado no Key Vault. Neste caso, irá trabalhar num certificado denominado ExampleCertificate.

Atualizar atributos do ciclo de vida do certificado

No Azure Key Vault, pode atualizar os atributos de ciclo de vida de um certificado no momento da criação do certificado ou depois.

Um certificado criado no Key Vault pode ser:

  • Um certificado autoassinado.
  • Um certificado criado com uma AC associada a Key Vault.
  • Um certificado com uma AC que não esteja associada a Key Vault.

As seguintes ACs são atualmente fornecedores parceiros com Key Vault:

  • DigiCert: Key Vault oferece certificados OV ou EV TLS/SSL.
  • GlobalSign: Key Vault oferece certificados OV ou EV TLS/SSL.

Key Vault roda automaticamente certificados através de parcerias estabelecidas com ACs. Uma vez que Key Vault solicita e renova automaticamente certificados através da parceria, a capacidade de rotação automática não é aplicável a certificados criados com ACs que não estejam associados a Key Vault.

Nota

Um administrador de conta de um fornecedor de AC cria credenciais que Key Vault utiliza para criar, renovar e utilizar certificados TLS/SSL. Autoridade de certificação

Atualizar atributos do ciclo de vida do certificado no momento da criação

  1. Nas páginas de propriedades Key Vault, selecione Certificados.

  2. Selecione Gerar/Importar.

  3. No ecrã Criar um certificado , atualize os seguintes valores:

    • Período de Validade: introduza o valor (em meses). A criação de certificados de curta duração é uma prática de segurança recomendada. Por predefinição, o valor de validade de um certificado recentemente criado é de 12 meses.

    • Tipo de Ação de Duração: selecione a ação de renovação automática e alerta do certificado e, em seguida, atualize a percentagem de duração ou Número de dias antes de expirar. Por predefinição, a renovação automática de um certificado é definida em 80% da sua duração. No menu pendente, selecione uma das seguintes opções.

      Renovar automaticamente num determinado momento Email todos os contactos num determinado momento
      Selecionar esta opção ativará a autorotação. Selecionar esta opção não irá rodar automaticamente, mas apenas alertará os contactos.

      Pode saber mais sobre como configurar Email contacto aqui

  4. Selecione Criar.

Ciclo de vida do certificado

Atualizar atributos de ciclo de vida de um certificado armazenado

  1. Selecione o cofre de chaves.

  2. Nas páginas de propriedades Key Vault, selecione Certificados.

  3. Selecione o certificado que pretende atualizar. Neste caso, irá trabalhar num certificado denominado ExampleCertificate.

  4. Selecione Política de Emissão na barra de menus superior.

    Captura de ecrã que realça o botão Política de Emissão.

  5. No ecrã Política de Emissão , atualize os seguintes valores:

    • Período de Validade: atualize o valor (em meses).
    • Tipo de Ação de Duração: selecione a ação de renovação automática e alerta do certificado e, em seguida, atualize a duração da percentagem ou o Número de dias antes de expirar.

    Propriedades do certificado

  6. Selecione Guardar.

Importante

Alterar o Tipo de Ação de Duração de um certificado registará imediatamente as modificações dos certificados existentes.

Atualizar atributos de certificado com o PowerShell



Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName 
                                   -Name $certificateName 
                                   -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]

Dica

Para modificar a política de renovação de uma lista de certificados, introduza File.csv contendo VaultName,CertName como no exemplo seguinte:
vault1,Cert1
vault2,Cert2

$file = Import-CSV C:\Users\myfolder\ReadCSVUsingPowershell\File.csv ​
foreach($line in $file)​
{​
Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName -Name $certificateName -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]
}

Para saber mais sobre os parâmetros, veja az keyvault certificate (certificado az keyvault).

Limpar os recursos

Outros tutoriais Key Vault baseiam-se neste tutorial. Se planeia trabalhar com estes tutoriais, poderá querer deixar estes recursos existentes implementados. Quando já não precisar deles, elimine o grupo de recursos, que elimina o cofre de chaves e os recursos relacionados.

Para eliminar o grupo de recursos com o portal:

  1. Introduza o nome do grupo de recursos na caixa Procurar na parte superior do portal. Quando o grupo de recursos utilizado neste início rápido aparecer nos resultados da pesquisa, selecione-o.
  2. Selecione Eliminar grupo de recursos.
  3. Na caixa ESCREVA O NOME DO GRUPO DE RECURSOS: escreva o nome do grupo de recursos e, em seguida, selecione Eliminar.

Passos seguintes

Neste tutorial, atualizou os atributos de ciclo de vida de um certificado. Para saber mais sobre Key Vault e como integrá-la com as suas aplicações, avance para os seguintes artigos: