更新 Azure Key Vault 憑證

  • 發行項

使用 Azure Key Vault,您可以輕鬆地佈建、管理及部署網路的數位憑證,以及啟用應用程式的安全通訊。 如需更多有關憑證的一般資訊,請參閱有關 Azure Key Vault 憑證

使用短期憑證或增加憑證輪替的頻率,您可以協助防止未經授權的使用者存取您的應用程式。

本文討論如何更新您的 Azure Key Vault 憑證。

取得憑證到期的通知

若要取得憑證生命事件的通知,您需要新增憑證連絡人。 憑證連絡人中包含連絡資訊,用來傳送由憑證存留期事件觸發的通知。 連絡人資訊會由金鑰保存庫中的所有憑證共用。 若金鑰保存庫中發生任何憑證事件,系統會將通知傳送給所有指定的連絡人。

設定憑證通知的步驟

首先,將憑證連絡人新增至您的金鑰保存庫。 您可以使用 Azure 入口網站或 PowerShell Cmdlet Add- AzKeyVaultCertificateContact 來新增。

再來,設定您想收到憑證到期通知的時間。 若要設定憑證的生命週期屬性,請參閱 Key Vault 中的設定憑證自動輪替

如果將憑證的原則設定為自動更新,則發生下列事件時會傳送通知:

  • 憑證更新之前
  • 在憑證更新之後,指出是否已成功更新憑證,或是如果發生錯誤,需要手動更新憑證。

如果憑證的原則設定為以手動方式更新 (僅限電子郵件),則會在需更新憑證時傳送通知。

在 Key Vault 中,有三種憑證類別:

  • 使用整合式憑證授權單位 (CA) 建立的憑證,例如 DigiCert 或透過 GlobalSign。
  • 使用未整合 CA 建立的憑證。
  • 自我簽署憑證。

更新整合的 CA 憑證

Azure Key Vault 會處理受信任的 Microsoft 憑證授權單位 DigiCert 和 GlobalSign 所發行的憑證端對端維護。 了解如何整合受信任的 CA 與 金鑰保存庫。 更新憑證時,會以新的 Key Vault 識別碼建立新的秘密版本。

更新未整合的 CA 憑證

藉由使用 Azure Key Vault,您可以從任何 CA 匯入憑證,這可讓您與數個 Azure 資源整合並輕鬆部署。 如果您擔心無法追蹤憑證到期日,或發生憑證已過期的情況,金鑰保存庫可協助您掌握最新情況。 針對未整合的 CA 憑證,金鑰保存庫可讓您設定即將到期的電子郵件通知。 也可以為多個使用者設定這類通知。

重要

憑證是已建立版本的物件。 如果目前的版本即將到期,您必須建立新的版本。 在概念上,每個新版本都是由金鑰所組成的新憑證,也是將該金鑰繫結至身分識別的 Blob。 使用未合作 CA 時,金鑰保存庫會產生金鑰鍵/值組,並傳回憑證簽署要求 (CSR)。

若要更新未整合的 CA 憑證:

  1. 登入 Azure 入口網站,然後開啟您要更新的憑證。
  2. 在 [憑證] 窗格中,選取 [新版本]
  3. 在 [建立憑證] 頁面上,確定已選取 [建立憑證的方法] 下的 [產生] 選項。
  4. 驗證憑證的 [主體] 和其他詳細資料,然後選取 [建立]
  5. 您現在應該會看到訊息「憑證<<憑證名稱>>的建立目前暫時停止。按一下這裡前往憑證作業已監視進度
  6. 在訊息上選取,即應會顯示新的窗格。 在窗格中,狀態應該會顯示為「進行中」。 此時,金鑰保存庫已產生 CSR,您可以使用 [下載 CSR] 選項進行下載
  7. 選取 [下載 CSR],以將 CSR 檔案下載到您的本機磁碟。
  8. 將 CSR 傳送至您選擇的 CA,以簽署要求。
  9. 恢復已簽署的要求,然後選取相同憑證作業窗格上的 [合併簽署要求]
  10. 合併後的狀態會顯示 [已完成],您可以在主要憑證窗格上按一下 [重新整理],以查看新版憑證。

注意

請務必將已簽署的 CSR 與您所建立的相同 CSR 要求合併。 否則,金鑰將不會相符。

如需建立新 CSR 的詳細資訊,請參閱在 Key Vault 中建立和合併 CSR

更新自我簽署憑證

Azure Key Vault 也會處理自我簽署憑證的自動更新。 若要深入了解如何變更發佈原則和更新憑證的生命週期屬性,請參閱在 Key Vault 中設定憑證自動輪替

下一步