共用方式為

教學課程:在 Key Vault 中設定憑證自動調整

您可以使用 Azure Key Vault 輕鬆地布建、管理及部署數字證書。 憑證可以是公用和私人安全套接字層 (SSL)/傳輸層安全性 (TLS) 憑證,由證書頒發機構單位 (CA) 或自我簽署的憑證。 Key Vault 也可以透過與 CA 的合作關係來要求和更新憑證,為憑證生命週期管理提供健全的解決方案。

如需全面瞭解 Azure Key Vault 中不同資產類型的自動調整概念和優點,請參閱 瞭解 Azure Key Vault 中的自動調整

在本教學課程中,您會更新憑證的有效期間、自動調整頻率和 CA 屬性。

  • 使用 Azure 入口網站管理憑證。
  • 新增 CA 提供者帳戶。
  • 更新憑證的有效期間。
  • 更新憑證的自動輪替頻率。
  • 使用 Azure PowerShell 更新憑證的屬性。

開始之前,請先閱讀 Key Vault 基本概念

如尚未擁有 Azure 訂用帳戶,請在開始之前先建立免費帳戶

登入 Azure

登入 Azure 入口網站

建立保存庫

使用下列三種方法之一建立金鑰儲存庫:

在 Key Vault 中建立憑證

建立憑證或將憑證匯入密鑰保存庫(請參閱 在 Key Vault 中建立憑證的步驟。 在此情況下,您會使用名為 ExampleCertificate 的憑證。

更新憑證生命周期屬性

在 Azure Key Vault 中,您可以在建立憑證時或之後更新憑證的生命週期屬性。

在 Key Vault 中建立的憑證可以是:

  • 自我簽署憑證。
  • 使用與 Key Vault 合作的 CA 所建立的憑證。
  • 具有未與 Key Vault 合作之 CA 的憑證。

下列 CA 目前是與 Key Vault 合作的提供者:

  • DigiCert:Key Vault 提供 OV 或 EV TLS/SSL 憑證。
  • GlobalSign:Key Vault 提供 OV 或 EV TLS/SSL 憑證。

Key Vault 會透過與 CA 建立的合作關係自動更新憑證。 因為 Key Vault 會自動透過合作關係要求及更新憑證,因此自動調整功能不適用於使用未與 Key Vault 合作的 CA 所建立的憑證。

備註

CA 提供者的帳戶管理員會建立 Key Vault 用來建立、更新及使用 TLS/SSL 憑證的認證。 證書頒發機構單位

在建立時更新憑證生命周期屬性

  1. 在 [Key Vault 屬性] 頁面上,選取 [ 憑證]。

  2. 選取 產生/匯入

  3. 在 [ 建立憑證] 畫面上,更新下列值:

    • 有效期間:輸入值(以月為單位)。 建立短期憑證是建議的安全性做法。 根據預設,新建立憑證的有效值為12個月。

    • 存留期動作類型:選取憑證的自動重新更新和警示動作,然後更新存留 期百分比到期前的天數。 根據預設,憑證的自動重新更新會設定為其存留期的 80%。 從下拉功能表中,選取下列其中一個選項。

      在指定時間自動更新 在指定時間傳送所有聯繫人的電子郵件
      選取此選項 會開啟 自動旋轉。 選取此選項 不會 自動回復,但只會警示聯繫人。

      您可以在 這裏瞭解如何設定電子郵件連絡人

  4. 選取 ,創建

憑證生命週期

更新預存憑證的生命周期屬性

  1. 選取金鑰保存庫。

  2. 在 [Key Vault 屬性] 頁面上,選取 [ 憑證]。

  3. 選取您要更新的憑證。 在此情況下,您會使用名為 ExampleCertificate 的憑證。

  4. 從頂端功能表欄選取 [發行原則 ]。

    醒目提示 [發行原則] 按鈕的螢幕快照。

  5. 在 [ 發行原則] 畫面上,更新下列值:

    • 有效期間:更新值(以月為單位)。
    • 存留期動作類型:選取憑證的自動重新更新和警示動作,然後更新到期前的百分比存留期或天數。

    憑證屬性

  6. 選取 [儲存]。

這很重要

變更憑證的存留期動作類型會立即更新現有憑證的記錄。

使用 PowerShell 更新憑證屬性



Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName 
                                   -Name $certificateName 
                                   -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]

小提示

若要修改憑證清單的更新原則,請輸入 File.csvVaultName,CertName 如下列範例所示:
vault1,Cert1
vault2,Cert2

$file = Import-CSV C:\Users\myfolder\ReadCSVUsingPowershell\File.csv ​
foreach($line in $file)​
{​
Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName -Name $certificateName -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]
}

若要深入了解參數,請參閱 az keyvault certificate

清理資源

其他 Key Vault 教學課程是以本教學課程為基礎所建置。 如果您打算使用這些教學課程,您可能會想要保留這些現有的資源。 當您不再需要它們時,請刪除資源群組,以刪除金鑰保存庫和相關資源。

若要使用入口網站移除資源群組:

  1. 在入口網站頂端的 [搜尋] 方塊中,輸入資源群組的名稱。 當本快速入門中使用的資源群組出現在搜尋結果中時,請選取它。
  2. 選擇 ,刪除資源群組
  3. 在 [ 輸入資源組名: ] 方塊中,輸入資源組名,然後選取 [ 刪除]。

後續步驟

在本教學課程中,您已更新憑證的生命週期屬性。 若要深入瞭解 Key Vault 以及如何將其與您的應用程式整合,請繼續閱讀下列文章: