Förnya dina Azure Key Vault-certifikat

  • Artikel

Med Azure Key Vault kan du enkelt etablera, hantera och distribuera digitala certifikat för nätverket och aktivera säker kommunikation för dina program. Mer information om certifikat finns i Om Azure Key Vault-certifikat.

Genom att använda certifikat med kort livslängd eller öka frekvensen för certifikatrotation kan du förhindra att obehöriga användare får åtkomst till dina program.

Den här artikeln beskriver hur du förnyar dina Azure Key Vault-certifikat.

Få ett meddelande om att certifikatet upphör att gälla

Om du vill få ett meddelande om certifikatets livshändelser måste du lägga till certifikatkontakten. Certifikatkontakter innehåller kontaktinformation för att skicka meddelanden som utlöses av certifikatets livslängdshändelser. Kontaktinformationen delas av alla certifikat i nyckelvalvet. Ett meddelande skickas till alla angivna kontakter för en händelse för ett certifikat i nyckelvalvet.

Steg för att ange certifikatmeddelanden

Lägg först till en certifikatkontakt i nyckelvalvet. Du kan lägga till med hjälp av Azure Portal eller PowerShell-cmdleten Add-AzKeyVaultCertificateContact.

För det andra konfigurerar du när du vill få ett meddelande om certifikatets förfallodatum. Information om hur du konfigurerar livscykelattributen för certifikatet finns i Konfigurera autorotation av certifikat i Key Vault.

Om ett certifikats princip är inställd på automatisk förnyelse skickas ett meddelande om följande händelser:

  • Före certifikatförnyelse
  • Efter certifikatförnyelse, som anger om certifikatet har förnyats eller om det uppstod ett fel, kräver manuell förnyelse av certifikatet.

När en certifikatprincip är inställd på att förnyas manuellt (endast e-post) skickas ett meddelande när det är dags att förnya certifikatet.

I Key Vault finns det tre kategorier av certifikat:

  • Certifikat som skapas med en integrerad certifikatutfärdare (CA), till exempel DigiCert eller GlobalSign.
  • Certifikat som skapas med en icke-inintegrerad certifikatutfärdare.
  • Självsignerade certifikat.

Förnya ett integrerat CA-certifikat

Azure Key Vault hanterar underhåll från slutpunkt till slutpunkt av certifikat som utfärdas av betrodda Microsoft-certifikatutfärdare DigiCert och GlobalSign. Lär dig hur du integrerar en betrodd ca med Key Vault. När ett certifikat förnyas skapas en ny hemlig version med en ny Key Vault identifierare.

Förnya ett certifikat för icke-inintegrerad certifikatutfärdare

Genom att använda Azure Key Vault kan du importera certifikat från valfri certifikatutfärdare, en förmån som gör att du kan integrera med flera Azure-resurser och göra distributionen enkel. Om du är orolig för att förlora reda på certifikatets förfallodatum eller om du har upptäckt att ett certifikat redan har upphört att gälla kan ditt nyckelvalv hjälpa dig att hålla dig uppdaterad. För icke-integrerade CA-certifikat kan du med nyckelvalvet konfigurera e-postaviseringar som snart upphör att gälla. Sådana meddelanden kan också anges för flera användare.

Viktigt

Ett certifikat är ett versionsobjekt. Om den aktuella versionen upphör att gälla måste du skapa en ny version. Konceptuellt är varje ny version ett nytt certifikat som består av en nyckel och en blob som kopplar nyckeln till en identitet. När du använder en certifikatutfärdare som inte är partner genererar nyckelvalvet ett nyckel/värde-par och returnerar en begäran om certifikatsignering (CSR).

Så här förnyar du ett icke-inintegrerat CA-certifikat:

  1. Logga in på Azure Portal och öppna sedan certifikatet som du vill förnya.
  2. I certifikatfönstret väljer du Ny version.
  3. På sidan Skapa ett certifikat kontrollerar du att alternativet Generera har valts under Skapa certifikatmetod.
  4. Kontrollera ämne och annan information om certifikatet och välj sedan Skapa.
  5. Nu bör du se meddelandet Skapandet av certifikatcertifikatets << namn >> väntar just nu. Klicka här om du vill gå till dess certifikatåtgärd för att övervaka förloppet
  6. Välj i meddelandet så ska ett nytt fönster visas. Fönstret bör visa statusen "Pågår". Nu har Key Vault genererat en CSR som du kan ladda ned med alternativet Ladda ned CSR.
  7. Välj Ladda ned CSR för att ladda ned en CSR-fil till din lokala enhet.
  8. Skicka CSR till ditt val av certifikatutfärdare för att signera begäran.
  9. Ta tillbaka den signerade begäran och välj Sammanfoga signerad begäran i samma certifikatåtgärdsfönster.
  10. Statusen efter sammanslagning visar Slutförd och i huvudcertifikatfönstret kan du trycka på Uppdatera för att se den nya versionen av certifikatet.

Anteckning

Det är viktigt att slå samman den signerade CSR med samma CSR-begäran som du skapade. Annars matchar inte nyckeln.

Mer information om hur du skapar en ny CSR finns i Skapa och sammanfoga en CSR i Key Vault.

Förnya ett självsignerat certifikat

Azure Key Vault hanterar även automatisk återställning av självsignerade certifikat. Mer information om hur du ändrar utfärdandeprincipen och uppdaterar ett certifikats livscykelattribut finns i Konfigurera autorotation av certifikat i Key Vault.

Nästa steg