你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

续订 Azure Key Vault 证书

通过 Azure Key Vault,可轻松地为网络预配、管理和部署数字证书,并支持应用程序的安全通信。 若要了解证书的详细信息,请参阅关于 Azure Key Vault 证书

通过使用生存期较短的证书或增加证书轮换的频率,可以帮助防止未经授权的用户访问应用程序。

本文介绍如何续订 Azure Key Vault 证书。

获取有关证书过期的通知

若要获取有关证书生存期事件的通知,需要添加证书联系人。 证书联系人包含联系人信息以发送由证书生存期事件触发的通知。 密钥保管库中的所有证书共享联系人信息。 如果保管库中的任何证书发生事件,所有指定联系人都会收到通知。

证书通知的设置步骤:

首先,将证书联系人添加到密钥保管库中。 可以使用 Azure 门户或 PowerShell cmdlet Add-AzKeyVaultCertificateContact 添加。

其次,配置希望收到证书过期通知的时间。 若要配置证书的生命周期属性,请参阅在 Key Vault 中配置证书自动轮换

如果证书的策略设置为自动续订,则在发生以下事件时发送通知。

  • 证书续订之前

  • 证书续订之后,指出是否已成功续订证书,或是否存在错误,需要手动续订证书。

    如果你将证书策略设置为手动续订(仅限电子邮件),系统会在你需要续订证书时发送通知。

在 Key Vault 中,有三种类别的证书:

  • 通过集成证书颁发机构 (CA)(如 DigiCert 或 GlobalSign)创建的证书
  • 通过非集成 CA 创建的证书
  • 自签名证书

续订集成 CA 证书

Azure Key Vault 处理由受信任的 Microsoft 证书颁发机构 DigiCert 和 GlobalSign 颁发的证书的端到端维护。 了解如何将受信任的 CA 与 Key Vault 集成。 续订证书时,会使用新的 Key Vault 标识符创建新的机密版本。

续订非集成 CA 证书

通过使用 Azure Key Vault,可导入来自任何 CA 的证书,这一优点使你能够与多个 Azure 资源集成并简化部署。 如果你担心无法跟踪证书的到期日期,或者更糟的是,你发现某个证书已过期,那么你的密钥保管库可帮助你保持最新状态。 对于非集成 CA 证书,密钥保管库允许你设置即将过期的电子邮件通知。 此类通知也可为多个用户设置。

重要

证书是受版本控制的对象。 如果当前版本即将过期,则需要创建新版本。 从概念上讲,每个新版本都是一个新证书,它由一个密钥和将该密钥与标识联系起来的 Blob 组成。 使用非合作伙伴 CA 时,密钥保管库将生成一个键/值对,并返回证书签名请求 (CSR)。

若要续订非集成 CA 证书,请执行以下操作:

  1. 登录到 Azure 门户,然后打开要续订的证书。
  2. 在证书窗格中,选择“新版本”。
  3. 确保在“创建证书”页面上选择了“证书创建方法”下的“生成”选项 。
  4. 验证“主题”和有关证书的其他详细信息,然后单击“创建” 。
  5. 现在应该会看到消息“证书创建 << 证书名称 >> 暂被挂起。请单击此处进入证书操作,以监视其进度”
  6. 单击该消息,应会显示一个新的窗格。 窗格应显示“正在运行”状态。 此时,密钥保管库已生成 CSR,可以使用“下载 CSR”选项下载该 CSR。
  7. 选择“下载 CSR”,将 CSR 文件下载到本地驱动器。
  8. 将 CSR 发送到所选的 CA 以对请求进行签名。
  9. 返回已签名请求,并在相同证书操作窗格中选择“合并已签名请求”。
  10. 合并后的状态将显示“已完成”,在主证书窗格上,可以点击“刷新”查看证书的新版本 。

注意

将已签名的 CSR 与你创建的相同 CSR 请求合并,这点很重要。 否则,密钥将不匹配。

有关创建新 CSR 的详细信息,请参阅在 Key Vault 中创建和合并 CSR

续订自签名证书

Azure Key Vault 还处理自签名证书的自动续订。 若要详细了解如何更改颁发策略和更新证书的生命周期属性,请参阅在 Key Vault 中配置证书自动轮换

后续步骤