Продление сертификатов Azure Key Vault

  • Статья

С помощью Azure Key Vault можно легко подготавливать, администрировать и развертывать цифровые сертификаты для сети и поддерживать безопасный обмен данными между приложениями. Дополнительные сведения о сертификатах см. в статье Сведения о сертификатах Azure Key Vault.

Используя кратковременные сертификаты или увеличивая частоту их смены, можно предотвратить доступ к приложениям неавторизованными пользователями.

В этой статье описывается продление сертификатов Azure Key Vault.

Получение уведомлений об истечении срока действия сертификатов

Чтобы получать уведомления о событиях, касающихся срока действия сертификата, необходимо добавить контакт сертификата. Контакты сертификатов содержат контактную информацию для отправки уведомлений, активируемых событиями времени существования сертификата. Информация о контактах совместно используется всеми сертификатами в хранилище ключей. Уведомление отправляется всем контактам, указанным для события, связанного с любым сертификатом в хранилище ключей.

Действия по настройке уведомлений о сертификатах

Сначала добавьте в хранилище ключей контакт сертификата. Для добавления можно использовать портал Azure или командлет PowerShell Add-AzKeyVaultCertificateContact.

Затем укажите, когда следует отправлять уведомления об истечении срока действия сертификата. Сведения о настройке атрибутов жизненного цикла сертификата см. в разделе, посвященном настройке автоматической смены сертификата Key Vault.

Если политика сертификата настроена на автоматическое продление, то отправляется уведомление о следующих событиях:

  • Перед продлением сертификата.
  • После продления сертификата. Указывает, был ли сертификат успешно продлен или произошла ошибка, требующая продления сертификата вручную.

Если для политики сертификата настроено обновление вручную (только по электронной почте), отправляется уведомление, когда нужно обновить сертификат.

В Key Vault есть три категории сертификатов:

  • Сертификаты, созданные с помощью интегрированного центра сертификации (ЦС), например DigiCert или GlobalSign.
  • Сертификаты, созданные с помощью неинтегрированного ЦС.
  • Самозаверяющий сертификат.

Продление сертификата интегрированного центра сертификации

Azure Key Vault обеспечивает комплексное обслуживание сертификатов, выданных доверенными центрами сертификации Майкрософт DigiCert и GlobalSign. Узнайте, как интегрировать доверенный центр сертификации с Key Vault. При обновлении сертификата создается новая версия секрета с новым идентификатором Key Vault.

Продление сертификата неинтегрированного центра сертификации

С помощью Azure Key Vault можно импортировать сертификаты из любого центра сертификации. Это преимущество обеспечивает возможность интеграции с несколькими ресурсами Azure и упрощает развертывание. Если вы опасаетесь пропустить дату истечения срока действия сертификата или, что еще хуже, обнаружили, что срок его действия уже истек, ваше хранилище ключей поможет вам быть в курсе происходящего. Для сертификатов неинтегрированных центров сертификации хранилище ключей позволяет настроить уведомления по электронной почте о приближении истечения срока действия. Такие уведомления можно также задать для нескольких пользователей.

Важно!

Сертификат является объектом с версиями. Если срок действия текущей версии истекает, необходимо создать новую. По сути, каждая новая версия — это новый сертификат, состоящий из ключа и большого двоичного объекта, который связывает этот ключ с удостоверением. При использовании несвязанного центра сертификации хранилище ключей создает пару "ключ-значение" и возвращает запрос на подпись сертификата (CSR).

Чтобы обновить сертификат неинтегрированного ЦС, выполните приведенные далее действия.

  1. Войдите на портал Azure, а затем откройте сертификат, который хотите продлить.
  2. В области сертификата выберите Новая версия.
  3. На странице Создание сертификата убедитесь, что в разделе Метод создания сертификата выбран параметр Создать.
  4. Проверьте субъект и другие сведения о сертификате, а затем нажмите кнопку Создать.
  5. Вы увидите следующее сообщение: Сейчас ожидается создание сертификата << имя сертификата >>. Щелкните здесь, чтобы перейти к его операции сертификата для отслеживания хода выполнения
  6. Выберите сообщение, и должна появиться новая панель. В области должно быть указано состояние "Выполняется". На этом этапе Key Vault создали CSR, который можно скачать с помощью параметра Скачать CSR.
  7. Выберите Скачать CSR, чтобы скачать CSR-файл на локальный диск.
  8. Отправьте CSR в выбранный центр сертификации, чтобы подписать запрос.
  9. Перенесите подписанный запрос и выберите Объединить подписанный запрос в той же области операций с сертификатом.
  10. После слияния будет указано состояние Завершено, и в главной области сертификата можно нажать Обновить, чтобы увидеть новую версию сертификата.

Примечание

Важно объединить подписанный запрос CSR с тем же запросом CSR, который вы создали. В противном случае ключ не будет совпадать.

Дополнительные сведения о создании CSR см. в статье Создание и слияние CSR в Key Vault.

Продление самозаверяющего сертификата

Azure Key Vault также обеспечивает автоматическое продление самозаверяющих сертификатов. Дополнительные сведения об изменении политики выдачи и обновлении атрибутов жизненного цикла сертификата см. в руководстве по настройке автоматической смены сертификата в Key Vault.

Дальнейшие действия