Сведения о сертификатах Azure Key Vault

Поддержка сертификатов Azure Key Vault позволяет управлять сертификатами X.509 и следующим образом:

  • Позволяет владельцу сертификата создать сертификат с помощью процесса создания хранилища ключей или путем импорта существующего сертификата. Импортированные сертификаты включают как самозаверяющие сертификаты, так и сертификаты, созданные из центра сертификации (ЦС).

  • Позволяет владельцу сертификата Key Vault реализовать безопасное хранение сертификатов X.509 и управление ими без взаимодействия с материалом закрытого ключа.

  • Позволяет владельцу сертификата создать политику, которая направляет Key Vault на управление жизненным циклом сертификата.

  • Позволяет владельцу сертификата предоставлять контактные данные для уведомлений о событиях жизненного цикла истечения срока действия и продления.

  • Поддерживает автоматическое продление с помощью выбранных издателей: поставщиков сертификатов X.509 и ЦС Key Vault партнера.

    Примечание

    Поставщики, не являющиеся партнерами, и центры также разрешены, но не поддерживают автоматическое продление.

Дополнительные сведения о создании сертификата см. в разделе Методы создания сертификатов.

Создание сертификатов

Когда создается сертификат Key Vault, адресуемые ключ и секрет также создаются с тем же именем. Ключ Key Vault позволяет выполнять операции с ключами, а секрет Key Vault позволяет получить значение сертификата в качестве секрета. Сертификат Key Vault также содержит общедоступные метаданные сертификата X.509.

Идентификатор и версия сертификатов аналогичны идентификаторам и версиям ключей и секретов. Определенная версия адресуемого ключа и секрета, созданная с помощью версии сертификата Key Vault, доступна в ответе сертификата Key Vault.

Схема, показывающая роль сертификатов в хранилище ключей.

Экспортируемый или неэкспортируемый ключ

Созданный сертификат Key Vault можно извлечь из адресуемого секрета с помощью закрытого ключа в формате PFX или PEM. Политика, используемая для создания сертификата, должна указывать, что ключ можно экспортировать. Если политика указывает, что ключ не экспортируется, закрытый ключ не является частью значения при извлечении в виде секрета.

Ключ с адресацией лучше подходит для сертификатов Key Vault без возможности экспорта. Операции с адресным Key Vault ключом сопоставляются с полем keyusage политики сертификатов Key Vault, которая используется для создания сертификата Key Vault.

В следующей таблице перечислены поддерживаемые типы ключей.

Тип ключа Сведения Безопасность
RSA Ключ RSA с программной защитой FIPS 140-2 уровня 1
RSA-HSM Ключ RSA с защитой HSM (только для SKU "Премиум") HSM FIPS 140-2 уровня 2
EC Ключ эллиптической кривой с программной защитой FIPS 140-2 уровня 1
EC-HSM Ключ эллиптической кривой, защищенный устройством HSM (только для SKU "Премиум") HSM FIPS 140-2 уровня 2
Октября Ключ октета с программной защитой FIPS 140-2 уровня 1

Экспортируемые ключи разрешены только с RSA и EC. Ключи HSM не экспортируются. Дополнительные сведения о типах ключей см. в разделе Создание сертификатов.

Атрибуты и теги сертификата

В дополнение к метаданным сертификата, адресуемому ключу и адресуемому секрету, сертификат Key Vault содержит атрибуты и теги.

Атрибуты

Атрибуты сертификата отражаются в атрибутах адресуемого ключа и секрета, которые создаются при создании сертификата Key Vault.

Сертификат Key Vault имеет следующий атрибут:

  • enabled: этот логический атрибут является необязательным. По умолчанию — true. Его можно указать, чтобы указать, могут ли данные сертификата быть получены в виде секрета или в качестве ключа.

    Этот атрибут также используется с nbf и exp при выполнении операции между nbf и exp, но только в том случае, если enabled для задано значение true. Операции за пределами nbf окна и exp автоматически запрещены.

Ответ включает следующие дополнительные атрибуты, доступные только для чтения:

  • created: IntDate указывает, когда была создана эта версия сертификата.
  • updated: IntDate указывает, когда была обновлена эта версия сертификата.
  • exp: IntDate содержит значение даты окончания срока действия сертификата X.509.
  • nbf: IntDate содержит значение даты "не ранее" сертификата X.509.

Примечание

Если срок действия сертификата в Key Vault истекает, адресуемый ключ и секрет становятся неработоспособными.

Теги

Теги для сертификатов — это определяемые клиентом словарь пар "ключ-значение", как и теги в ключах и секретах.

Примечание

Вызывающий объект может считывать теги, если у него есть список , или получить разрешение на этот тип объекта (ключи, секреты или сертификаты).

Политика сертификата

Политика сертификатов содержит сведения о создании и управлении жизненным циклом сертификата Key Vault. При импорте сертификата с закрытым ключом в хранилище ключей служба Key Vault создает политику по умолчанию, считывая сертификат X.509.

При создании сертификата Key Vault с нуля необходимо предоставить политику для Key Vault. Политика указывает, как создать эту версию сертификата Key Vault или следующую версию сертификата Key Vault. После установки политики она не требуется для последующих операций создания для будущих версий. Есть только один экземпляр политики для всех версий сертификата Key Vault.

На высоком уровне политика сертификата содержит следующие элементы:

  • Свойства сертификата X.509, которые включают имя субъекта, альтернативные имена субъектов и другие свойства, используемые для создания запроса на сертификат X.509.

  • Свойства ключа, которые включают тип ключа, длину ключа, экспортируемые данные и ReuseKeyOnRenewal поля. Эти поля указывают Key Vault, как создать ключ.

    Поддерживаемые типы ключей : RSA, RSA-HSM, EC, EC-HSM и oct.

  • Свойства секрета, такие как тип содержимого адресуемого секрета для создания значения секрета, для получения сертификата в качестве секрета.

  • Действия времени существования для сертификата Key Vault. Каждое такое действие содержит:

    • Триггер: указывается в днях до истечения срока действия или в процентах времени существования.
    • Действие: emailContacts или autoRenew.
  • Параметры издателя сертификата, используемого для выдачи сертификатов X.509.

  • Атрибуты, связанные с политикой.

Дополнительные сведения см. в разделе Set-AzKeyVaultCertificatePolicy.

Сопоставление использования X.509 с операциями с ключами

В следующей таблице представлено сопоставление политик использования ключей X.509 с эффективными операциями с ключами, созданными при создании Key Vault сертификата.

Флаги использования ключа X.509 операции с Key Vault ключами Поведение по умолчанию
DataEncipherment encrypt, decrypt Неприменимо
DecipherOnly decrypt Неприменимо
DigitalSignature sign, verify Key Vault по умолчанию не имеет определения использования при создании сертификата
EncipherOnly encrypt Неприменимо
KeyCertSign sign, verify Неприменимо
KeyEncipherment wrapKey, unwrapKey Key Vault по умолчанию не имеет определения использования при создании сертификата
NonRepudiation sign, verify Неприменимо
crlsign sign, verify Неприменимо

Издатель сертификата

Объект сертификата Key Vault содержит конфигурацию, которая используется для связи с выбранным поставщиком издателя сертификата для заказа сертификатов X.509.

Key Vault партнеров со следующими поставщиками издателей сертификатов TLS/SSL.

Имя поставщика Расположения
DigiCert; Поддерживается во всех расположениях служб Key Vault в общедоступном облаке и Azure для государственных организаций
GlobalSign; Поддерживается во всех расположениях служб Key Vault в общедоступном облаке и Azure для государственных организаций

Перед созданием издателя сертификата в хранилище ключей администратор должен выполнить следующие предварительные действия:

  1. Подключение организации с помощью по крайней мере одного поставщика ЦС.

  2. Создание учетных данных инициатора запроса для Key Vault для регистрации (и продления) TLS/SSL-сертификатов. Этот шаг предоставляет конфигурацию для создания объекта издателя поставщика в хранилище ключей.

Дополнительные сведения о создании объектов издателя на портале сертификатов см. в блоге команды Key Vault.

Key Vault позволяет создавать несколько объектов издателя с разными конфигурациями поставщика издателя. После создания объекта издателя на его имя можно ссылаться в одной или нескольких политиках сертификатов. Ссылка на объект издателя указывает Key Vault использовать конфигурацию, указанную в объекте издателя при запросе сертификата X.509 у поставщика ЦС во время создания и продления сертификата.

Объекты издателя создаются в хранилище. Их можно использовать только с Key Vault сертификатами в одном хранилище.

Примечание

Общедоступные доверенные сертификаты отправляются в ЦС и журналы прозрачности сертификатов (CT) за пределами Azure во время регистрации. На них распространяются политики GDPR этих сущностей.

Контакты сертификатов

Контакты сертификата содержат контактные данные для отправки уведомлений, активированных событиями времени существования сертификата. Все сертификаты в хранилище ключей используют контактные данные.

Уведомление отправляется всем контактам, указанным для события, связанного с любым сертификатом в хранилище ключей. Сведения о том, как настроить контакт с сертификатом, см. в статье Продление сертификатов azure Key Vault.

Управление доступом к сертификату

Key Vault управляет доступом к сертификатам. Хранилище ключей, содержащее эти сертификаты, обеспечивает управление доступом. Политика управления доступом для сертификатов отличается от политик управления доступом для ключей и секретов в одном хранилище ключей.

Пользователи могут создать одно или несколько хранилищ для хранения сертификатов, чтобы обеспечить соответствующую сценарию сегментацию и управление сертификатами. Дополнительные сведения см. в разделе Управление доступом к сертификатам.

Варианты использования сертификатов

Безопасный обмен данными и проверка подлинности

Сертификаты TLS помогают шифровать обмен данными через Интернет и устанавливать удостоверения веб-сайтов. Такое шифрование делает точку входа и режим обмена данными более безопасными. Кроме того, цепной сертификат, подписанный общедоступным ЦС, может помочь убедиться, что сущности, в которых хранятся сертификаты, являются допустимыми.

Например, ниже приведены некоторые варианты использования сертификатов для защиты обмена данными и включения проверки подлинности.

  • Веб-сайты интрасети и Интернета. Защитите доступ к сайту интрасети и обеспечьте зашифрованную передачу данных через Интернет с помощью сертификатов TLS.
  • Интернет вещей и сетевые устройства. Защита и защита устройств с помощью сертификатов для проверки подлинности и обмена данными.
  • Облако или многооблачная среда. Защита облачных приложений в локальной, межоблачной среде или в клиенте поставщика облачных служб.

подписывание кода;

Сертификат может помочь защитить код или скрипт программного обеспечения, чтобы автор может предоставлять общий доступ к программному обеспечению через Интернет без вмешательства вредоносных сущностей. После того как автор подписывает код с помощью сертификата и использует технологию подписывания кода, программное обеспечение помечается меткой проверки подлинности, которая отображает автора и его веб-сайт. Сертификат, используемый при подписи кода, помогает проверить подлинность программного обеспечения, повышая сквозную безопасность.

Дальнейшие действия