Azure Key Vault sertifikalarınızın güvenliğini sağlama

Azure Key Vault sertifikaları TLS/SSL, kimlik doğrulaması ve kod imzalama için X.509 sertifikalarını ve bunların ilişkili özel anahtarlarını yönetir. Bu makalede sertifika yönetimine özgü güvenlik önerileri sağlanır.

Uyarı

Bu makalede Key Vault sertifikalarına özgü güvenlik uygulamalarına odaklanmaktadır. Ağ güvenliği, kimlik ve erişim yönetimi ve kasa mimarisi gibi kapsamlı Azure Key Vault güvenlik kılavuzları için bkz. Azure Key Vault'u Güvenli Hale Getirin.

Sertifika depolama alanı ve biçimi

Key Vault sertifikaları, X.509 sertifikalarını kendi özel anahtarlarıyla birleştirir ve otomatik yönetim özellikleri sağlar:

• Gizli diziler yerine sertifikaları depolayın: Sertifikaları gizli olarak depolamak yerine her zaman Key Vault sertifika nesne tipini kullanın. Sertifika nesneleri şu bilgileri sağlar:

  • Otomatik yaşam döngüsü yönetimi
  • Sertifika yetkilileriyle (CA) tümleştirme
  • Otomatik yenileme özellikleri
  • Yerleşik sürüm oluşturma

• Güvenilen sertifika yetkililerini kullanma: Otomatik verme ve yenileme için desteklenen CA'larla tümleştirme:

  • DigiCert
  • GlobalSign
  • Diğer tümleşik CA'lar

  Bkz Key Vault'u sertifika yetkilileriyle tümleştirme.

• Dış sertifikaları düzgün içeri aktarma: Dış kaynaklardan sertifikaları içeri aktarırken:

  • PFX veya PEM biçimini kullanma
  • Tam sertifika zincirini dahil et
  • İçeri aktarma sırasında özel anahtarları koruma

  Bkz. Sertifikayı içeri aktarma.

Sertifikalar hakkında daha fazla bilgi için bkz. Azure Key Vault sertifikaları hakkında.

Sertifika yaşam döngüsü yönetimi

Süre sonu ve kesintileri önlemek için uygun sertifika yaşam döngüsü yönetimini uygulayın:

• Otomatik yenilemeyi etkinleştir: Tümleşik CA'lar tarafından verilen sertifikalar için otomatik yenilemeyi yapılandırın. Bkz. Azure Key Vault sertifikalarınızı yenileme

• Yenileme pencerelerini ayarlama: Sertifikaları sona ermeden önce yenilenecek şekilde yapılandırın:

  • Yenilemeye sertifika ömrü% 80'de başlayın
  • 1 yıllık sertifikalar için yenilemeye 292 gün sonra başlayın
  • 2 yıllık sertifikalar için yenilemeye 584 gün sonra başlayın

• Sertifika süre sonunu izleme: Sertifika yaşam döngüsü olaylarını izlemek için Event Grid bildirimlerini kullanın:

  • Sertifika yakında süresi dolacak (30, 15 ve 7 gün önce)
  • Sertifikanın süresi doldu
  • Sertifika oluşturuldu veya yenilendi

  Bkz. Event Grid kaynağı olarak Azure Key Vault.

• Sertifika envanterini koruma: Tüm sertifikaları, bunların amaçlarını ve son kullanma tarihlerini izleme

Yenileme hakkında daha fazla bilgi için Öğretici: Key Vault'ta sertifika otomatik döndürmeyi yapılandırma başlıklı öğretici belgelerine bakın.

Sertifika erişim denetimi

Sertifikalara kimlerin erişebileceğini ve yönetebileceğini denetleme:

• Ayrı sertifika izinleri: Belirli sertifika izinleri vermek için Azure RBAC kullanın:

  • Sertifika Kullanıcısı: Sertifikaları ve ortak anahtarları okuma
  • Sertifika Yetkilisi: Sertifika yaşam döngüsünü yönetme (oluşturma, içeri aktarma, yenileme, silme)
  • Kurtarıcıyı Temizle: Silinen sertifikaları kurtarma

• Yönetim erişimini sınırla: Sertifika yönetimi işlemlerini yalnızca yetkili personelle kısıtlayın

• Yönetilen kimlikleri kullanma: Uygulamalar, depolanan kimlik bilgilerine sahip hizmet sorumluları yerine yönetilen kimlikleri kullanarak sertifikalara erişmelidir

Bkz. Azure RBAC ile Key Vault sertifikalarına erişim sağlama.

Sertifika verme ilkeleri

Güvenlik gereksinimlerini zorunlu kılmak için sertifika ilkelerini yapılandırın:

• Uygun geçerlilik dönemlerini ayarlayın:

  • TLS/SSL sertifikaları: En fazla 1 yıl (CA/Tarayıcı Forumu temel gereksinimleri başına)
  • İç sertifikalar: Kuruluş ilkesine göre
  • Kod imzalama sertifikaları: Sektör standartlarını izleyin

• Güçlü anahtar algoritmaları kullanın:

  • RSA: En az 2048 bit, yüksek güvenlik senaryoları için 4096 bit.
  • EC: P-256, P-384 veya P-521 eğrileri

• Özne alternatif adları (SAN'lar) yapılandırın: Tüm gerekli DNS adlarını ve IP adreslerini ekleyin

• Anahtar kullanımı uzantılarını ayarlama: Uygun anahtar kullanımını (Dijital İmza, Anahtar Şifreleme) ve genişletilmiş anahtar kullanımını (Sunucu Kimlik Doğrulaması, İstemci Kimlik Doğrulaması) belirtin

Sertifika ilkeleri hakkında daha fazla bilgi için bkz. Azure Key Vault sertifika oluşturma hakkında.

Sertifika izleme ve uyarılar

Sertifika işlemlerini ve yaşam döngüsü olaylarını izleme:

• Tanılama günlüğünü etkinleştirme: Şunları içeren tüm sertifika işlemlerini günlüğe kaydetme:

  • Sertifika oluşturma ve içeri aktarma
  • Sertifika yenileme girişimleri (başarılı/başarısız)
  • Sertifika erişimi (sertifika al, özel anahtar al)
  • Sertifika silme

  Bkz. Azure Key Vault günlüğü.

• Süre sonu uyarılarını yapılandırma: Azure İzleyici uyarılarını ayarlayın:

  • 30 gün içinde süresi dolan sertifikalar
  • Başarısız yenileme girişimleri
  • Yetkisiz kimlikler tarafından sertifika erişimi

  Bkz. Azure Key Vault için izleme ve uyarı.

• Sertifika kullanımını gözden geçirme: Her sertifikayı hangi uygulamaların ve hizmetlerin kullandığını düzenli olarak denetleme

Sertifika dışarı aktarma ve yedekleme

Güvenliği korurken sertifika kullanılabilirliğini koruyun:

• Dışarı aktarma işlemlerini denetleme: Özel anahtarlarla sertifikaları dışarı aktarabilecek kişileri sınırlayın (sertifika ilkesinde dışarı aktarılabilir bayrağı)

• Geçici silmeyi etkinleştir: Saklama süresi içinde yanlışlıkla silinen sertifikaları kurtarın (7-90 gün). Bkz. Azure Key Vault yumuşak silme genel bakış

• Temizleme korumasını etkinleştirme: Saklama süresi boyunca kalıcı silmeyi önleyin. Temizleme koruması Bkz

• Kritik sertifikaları yedekleme: Olağanüstü durum kurtarma için sertifikaların yedeklerini dışarı aktarın ve güvenli bir şekilde depolayın. Bkz. Azure Key Vault yedeklemesi

• Dışarı aktarılan sertifikaları koruma: Sertifikaları dışarı aktarırken:

  • PFX dosyaları için güçlü parolalar kullanma
  • Dışarı aktarılan dosyaları güvenli konumlarda depolama
  • Geçici dosyaları kullanımdan sonra silme
  • Dışarı aktarma işlemlerini denetleme

Sertifika saydamlığı ve uyumluluğu

Sertifika verme görünürlüğünü koruyun:

• Sertifika Saydamlığı (CT) günlüğünü etkinleştirme: Genel olarak güvenilen sertifikalar için CT uyumluluğundan emin olun

  • CT günlükleri, sertifika vermenin genel denetim izlerini sağlar
  • Sertifikaların modern tarayıcılar tarafından güvenilir olması için gereklidir

• Belge sertifikası amaçları: Şu kayıtları koruyun:

  • Sertifikanın amacı ve sahibi olan uygulama
  • Sertifika verme için onay işlemi
  • Sertifika yenileme yordamları

Otomatik olarak imzalanan sertifikalar

Test veya iç amaçlar için otomatik olarak imzalanan sertifikalar kullanılırken:

• Üretim dışı ortamlarla sınır: Genel olarak erişilebilen hizmetler için üretimde otomatik olarak imzalanan sertifikalar kullanılmamalıdır

• Uygun geçerlilik sürelerini ayarlama: Otomatik olarak imzalanan sertifikalar için daha kısa geçerlilik süreleri kullanın (90 gün veya daha kısa)

• Güven dağıtımını yönetme: Otomatik olarak imzalanan sertifika güveninin istemcilere nasıl dağıtıldığını belgele

• CA tarafından verilen sertifikalara geçişi planlama: Otomatik olarak imzalanan sertifikaları üretim için CA tarafından verilen sertifikalarla değiştirmek için bir stratejiniz var

Otomatik olarak imzalanan sertifikalar hakkında daha fazla bilgi için bkz. Key Vault ile sertifika oluşturma.

İlgili güvenlik makaleleri

• Azure Key Vault'unuzun güvenliğini sağlama - Kapsamlı Key Vault güvenlik kılavuzu
• Azure Key Vault anahtarlarınızın güvenliğini sağlama - Şifreleme anahtarları için en iyi güvenlik yöntemleri
• Azure Key Vault gizli anahtarlarınızın güvenliğini sağlama - Gizli bilgiler için en iyi güvenlik yöntemleri

Sonraki Adımlar

• Azure Key Vault sertifikaları hakkında
• Azure Key Vault'ta sertifikaları yenileme
• Öğretici: Key Vault'ta sertifika otomatik döndürmeyi yapılandırma
• Key Vault'un sertifika yetkilileriyle tümleştirilmesi