Självstudie: Konfigurera automatisk rotering av certifikat i Key Vault
Du kan enkelt etablera, hantera och distribuera digitala certifikat med hjälp av Azure Key Vault. Certifikaten kan vara offentliga och privata SSL-certifikat (Secure Sockets Layer)/TLS-certifikat (Transport Layer Security) som signerats av en certifikatutfärdare (CA) eller ett självsignerat certifikat. Key Vault kan också begära och förnya certifikat via partnerskap med certifikatutfärdare, vilket ger en robust lösning för livscykelhantering av certifikat. I den här självstudien uppdaterar du ett certifikats giltighetsperiod, automatisk rotationsfrekvens och CA-attribut.
Självstudien visar hur du:
- Hantera ett certifikat med hjälp av Azure Portal.
- Lägg till ett CA-providerkonto.
- Uppdatera certifikatets giltighetsperiod.
- Uppdatera certifikatets frekvens för automatisk rotation.
- Uppdatera certifikatets attribut med hjälp av Azure PowerShell.
Läs Key Vault grundläggande begrepp innan du börjar.
Om du inte har någon Azure-prenumeration kan du skapa ett kostnadsfritt konto innan du börjar.
Logga in på Azure
Logga in på Azure-portalen.
Skapa ett valv
Skapa ett nyckelvalv med någon av följande tre metoder:
- Skapa ett nyckelvalv med hjälp av Azure Portal
- Skapa ett nyckelvalv med Hjälp av Azure CLI
- Skapa ett nyckelvalv med Azure PowerShell
Skapa ett certifikat i Key Vault
Skapa ett certifikat eller importera ett certifikat till nyckelvalvet (se Steg för att skapa ett certifikat i Key Vault. I det här fallet arbetar du med ett certifikat med namnet ExampleCertificate.
Uppdatera certifikatets livscykelattribut
I Azure Key Vault kan du uppdatera ett certifikats livscykelattribut både när certifikatet skapas eller efter.
Ett certifikat som skapats i Key Vault kan vara:
- Ett självsignerat certifikat.
- Ett certifikat som skapats med en certifikatutfärdare som samarbetar med Key Vault.
- Ett certifikat med en certifikatutfärdare som inte samarbetar med Key Vault.
Följande certifikatutfärdare är för närvarande partnerleverantörer med Key Vault:
- DigiCert: Key Vault erbjuder OV- eller EV TLS/SSL-certifikat.
- GlobalSign: Key Vault erbjuder OV- eller EV TLS/SSL-certifikat.
Key Vault roterar certifikat automatiskt via etablerade partnerskap med certifikatutfärdare. Eftersom Key Vault automatiskt begär och förnyar certifikat via kopplingen gäller inte funktionen för automatisk rotation för certifikat som skapats med certifikatutfärdare som inte samarbetar med Key Vault.
Anteckning
En kontoadministratör för en CA-provider skapar autentiseringsuppgifter som Key Vault använder för att skapa, förnya och använda TLS/SSL-certifikat.
Uppdatera certifikatets livscykelattribut när det skapas
På egenskapssidorna Key Vault väljer du Certifikat.
Välj Generera/importera.
På skärmen Skapa ett certifikat uppdaterar du följande värden:
Giltighetsperiod: Ange värdet (i månader). Att skapa kortlivade certifikat är en rekommenderad säkerhetspraxis. Som standard är giltighetsvärdet för ett nyligen skapat certifikat 12 månader.
Åtgärdstyp för livslängd: Välj certifikatets åtgärd för automatisk förnyelse och avisering och uppdatera sedan livslängden för procentandelen eller antalet dagar innan det upphör att gälla. Som standard anges ett certifikats automatiska förnyelse till 80 procent av dess livslängd. I den nedrullningsbara menyn väljer du något av följande alternativ.
Förnya automatiskt vid en viss tidpunkt Email alla kontakter vid en viss tidpunkt Om du väljer det här alternativet aktiveras autorotation. Om du väljer det här alternativet roteras inte automatiskt utan aviserar bara kontakterna. Du kan lära dig mer om hur du konfigurerar Email kontakt här
Välj Skapa.
Uppdatera livscykelattribut för ett lagrat certifikat
Välj nyckelvalvet.
På egenskapssidorna Key Vault väljer du Certifikat.
Välj det certifikat som du vill uppdatera. I det här fallet arbetar du med ett certifikat med namnet ExampleCertificate.
Välj Utfärdandeprincip på den översta menyraden.
På skärmen Utfärdandeprincip uppdaterar du följande värden:
- Giltighetsperiod: Uppdatera värdet (i månader).
- Åtgärdstyp för livslängd: Välj certifikatets åtgärd för automatisk förnyelse och avisering och uppdatera sedan livslängden för procentandelen eller antalet dagar innan det upphör att gälla.
Välj Spara.
Viktigt
Om du ändrar åtgärdstypen Livslängd för ett certifikat registreras ändringar för de befintliga certifikaten omedelbart.
Uppdatera certifikatattribut med hjälp av PowerShell
Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName
-Name $certificateName
-RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]
Tips
Om du vill ändra förnyelseprincipen för en lista över certifikat anger du File.csv innehållande VaultName,CertName som i följande exempel:
vault1,Cert1
vault2,Cert2
$file = Import-CSV C:\Users\myfolder\ReadCSVUsingPowershell\File.csv
foreach($line in $file)
{
Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName -Name $certificateName -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]
}
Mer information om parametrarna finns i az keyvault certificate( az keyvault certificate).
Rensa resurser
Andra Key Vault självstudier bygger vidare på den här självstudien. Om du planerar att arbeta med de här självstudierna kanske du vill lämna dessa befintliga resurser på plats. När du inte längre behöver dem tar du bort resursgruppen, som tar bort nyckelvalvet och relaterade resurser.
Så här tar du bort resursgruppen med hjälp av portalen:
- Ange namnet på resursgruppen i sökrutan överst i portalen. När resursgruppen som används i den här snabbstarten visas i sökresultatet väljer du den.
- Välj Ta bort resursgrupp.
- I rutan SKRIV RESURSGRUPPENS NAMN: skriver du namnet på resursgruppen och väljer sedan Ta bort.
Nästa steg
I den här självstudien har du uppdaterat ett certifikats livscykelattribut. Om du vill veta mer om Key Vault och hur du integrerar den med dina program fortsätter du till följande artiklar: