使用 Azure Key Vault,您可以輕鬆地佈建、管理及部署網路的數位憑證,以及啟用應用程式的安全通訊。 如需更多有關憑證的一般資訊,請參閱有關 Azure Key Vault 憑證。
使用短期憑證或增加憑證輪替的頻率,您可以協助防止未經授權的使用者存取您的應用程式。
本文討論如何更新您的 Azure Key Vault 憑證。
取得憑證到期的通知
若要取得憑證生命事件的通知,您需要新增憑證連絡人。 憑證連絡人中包含連絡資訊,用來傳送由憑證存留期事件觸發的通知。 連絡人資訊會由金鑰保存庫中的所有憑證共用。 若金鑰保存庫中發生任何憑證事件,系統會將通知傳送給所有指定的連絡人。
設定憑證通知的步驟
首先,將憑證連絡人新增至您的金鑰保存庫。 您可以使用 Azure 入口網站或 PowerShell Cmdlet Add- AzKeyVaultCertificateContact 來新增。
再來,設定您想收到憑證到期通知的時間。 若要設定憑證的生命週期屬性,請參閱 Key Vault 中的設定憑證自動輪替。
如果將憑證的原則設定為自動更新,則發生下列事件時會傳送通知:
- 憑證更新之前
- 在憑證更新之後,指出是否已成功更新憑證,或是如果發生錯誤,需要手動更新憑證。
如果憑證的原則設定為以手動方式更新 (僅限電子郵件),則會在需更新憑證時傳送通知。
在 Key Vault 中,有三種憑證類別:
- 使用整合式憑證授權單位 (CA) 建立的憑證,例如 DigiCert 或透過 GlobalSign。
- 使用未整合 CA 建立的憑證。
- 自我簽署憑證。
更新整合的 CA 憑證
Azure Key Vault 會處理受信任的 Microsoft 憑證授權單位 DigiCert 和 GlobalSign 所發行的憑證端對端維護。 了解如何整合受信任的 CA 與 金鑰保存庫。 更新憑證時,會以新的 Key Vault 識別碼建立新的秘密版本。
更新未整合的 CA 憑證
藉由使用 Azure Key Vault,您可以從任何 CA 匯入憑證,這可讓您與數個 Azure 資源整合並輕鬆部署。 如果您擔心無法追蹤憑證到期日,或發生憑證已過期的情況,金鑰保存庫可協助您掌握最新情況。 針對未整合的 CA 憑證,金鑰保存庫可讓您設定即將到期的電子郵件通知。 也可以為多個使用者設定這類通知。
重要
憑證是已建立版本的物件。 如果目前的版本即將到期,您必須建立新的版本。 在概念上,每個新版本都是由金鑰所組成的新憑證,也是將該金鑰繫結至身分識別的 Blob。 使用未合作 CA 時,金鑰保存庫會產生金鑰鍵/值組,並傳回憑證簽署要求 (CSR)。
若要更新未整合的 CA 憑證:
- 登入 Azure 入口網站,然後開啟您要更新的憑證。
- 在 [憑證] 窗格中,選取 [新版本]。
- 在 [建立憑證] 頁面上,確定已選取 [建立憑證的方法] 下的 [產生] 選項。
- 驗證憑證的 [主體] 和其他詳細資料,然後選取 [建立]。
- 您現在應該會看到訊息「憑證<<憑證名稱>>的建立目前暫時停止。按一下這裡前往憑證作業已監視進度
- 在訊息上選取,即應會顯示新的窗格。 在窗格中,狀態應該會顯示為「進行中」。 此時,金鑰保存庫已產生 CSR,您可以使用 [下載 CSR] 選項進行下載。
- 選取 [下載 CSR],以將 CSR 檔案下載到您的本機磁碟。
- 將 CSR 傳送至您選擇的 CA,以簽署要求。
- 恢復已簽署的要求,然後選取相同憑證作業窗格上的 [合併簽署要求]。
- 合併後的狀態會顯示 [已完成],您可以在主要憑證窗格上按一下 [重新整理],以查看新版憑證。
注意
請務必將已簽署的 CSR 與您所建立的相同 CSR 要求合併。 否則,金鑰將不會相符。
如需建立新 CSR 的詳細資訊,請參閱在 Key Vault 中建立和合併 CSR。
更新自我簽署憑證
Azure Key Vault 也會處理自我簽署憑證的自動更新。 若要深入了解如何變更發佈原則和更新憑證的生命週期屬性,請參閱在 Key Vault 中設定憑證自動輪替。