Sdílet prostřednictvím

Kurz: Konfigurace automatické obměny certifikátů ve službě Key Vault

  • Článek

Digitální certifikáty můžete snadno zřizovat, spravovat a nasazovat pomocí služby Azure Key Vault. Certifikáty můžou být veřejné a privátní ssl (Secure Sockets Layer) nebo certifikáty TLS (Transport Layer Security) podepsané certifikační autoritou nebo certifikátem podepsaným svým držitelem. Key Vault může také požadovat a obnovovat certifikáty prostřednictvím partnerství s certifikačními autoritami a poskytuje robustní řešení pro správu životního cyklu certifikátů. V tomto kurzu aktualizujete dobu platnosti certifikátu, frekvenci automatické obměny a atributy certifikační autority.

V tomto kurzu získáte informace o následujících postupech:

  • Správa certifikátu pomocí webu Azure Portal
  • Přidejte účet poskytovatele certifikační autority.
  • Aktualizujte dobu platnosti certifikátu.
  • Aktualizujte frekvenci automatické rotace certifikátu.
  • Aktualizujte atributy certifikátu pomocí Azure PowerShellu.

Než začnete, přečtěte si základní koncepty služby Key Vault.

Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

Přihlášení k Azure

Přihlaste se k portálu Azure.

Vytvoření trezoru

Vytvořte trezor klíčů pomocí jedné z těchto tří metod:

Vytvoření certifikátu ve službě Key Vault

Vytvořte certifikát nebo importujte certifikát do trezoru klíčů (viz Postup vytvoření certifikátu ve službě Key Vault. V tomto případě budete pracovat na certifikátu s názvem ExampleCertificate.

Aktualizace atributů životního cyklu certifikátu

Ve službě Azure Key Vault můžete aktualizovat atributy životního cyklu certifikátu v době vytvoření nebo po vytvoření certifikátu.

Certifikát vytvořený ve službě Key Vault může být:

  • Certifikát podepsaný svým držitelem.
  • Certifikát vytvořený pomocí certifikační autority, která je partnerská se službou Key Vault.
  • Certifikát s certifikační autoritou, která není přidružená ke službě Key Vault.

Ve službě Key Vault jsou aktuálně partneři následujících certifikačních autorit:

  • DigiCert: Key Vault nabízí certifikáty OV nebo EV TLS/SSL.
  • GlobalSign: Key Vault nabízí certifikáty OV nebo EV TLS/SSL.

Key Vault automaticky obměňuje certifikáty prostřednictvím vytvořených partnerství s certifikačními autoritami. Vzhledem k tomu, že služba Key Vault automaticky požaduje a obnovuje certifikáty prostřednictvím partnerství, funkce automatické rotace se nevztahuje na certifikáty vytvořené s certifikačními autoritami, které nejsou partnerské se službou Key Vault.

Poznámka:

Správce účtu pro poskytovatele certifikační autority vytvoří přihlašovací údaje, které key Vault používá k vytvoření, obnovení a používání certifikátů TLS/SSL. Certifikační autorita

Aktualizace atributů životního cyklu certifikátu při vytváření

  1. Na stránkách vlastností služby Key Vault vyberte Certifikáty.

  2. Vyberte Generovat/importovat.

  3. Na obrazovce Vytvořit certifikát aktualizujte následující hodnoty:

    • Období platnosti: Zadejte hodnotu (v měsících). Vytváření krátkodobých certifikátů je doporučeným postupem zabezpečení. Ve výchozím nastavení je hodnota platnosti nově vytvořeného certifikátu 12 měsíců.

    • Typ akce životnosti: Vyberte akci automatického prodlužování platnosti certifikátu a upozorňování a pak aktualizujte procento životnosti nebo počtu dnů před vypršením platnosti certifikátu. Ve výchozím nastavení je automatické prodlužování platnosti certifikátu nastavené na 80 procent jeho životnosti. V rozevírací nabídce vyberte jednu z následujících možností.

      Automatické prodlužování v daném čase Odeslání e-mailu všem kontaktům v daném čase
      Výběrem této možnosti zapnete automatickourotaci. Když vyberete tuto možnost, nebude se automaticky otáčet, ale zobrazí se upozornění jenom na kontakty.

      Tady najdete informace o nastavení e-mailového kontaktu.

  4. Vyberte Vytvořit.

Životní cyklus certifikátu

Aktualizace atributů životního cyklu uloženého certifikátu

  1. Vyberte trezor klíčů.

  2. Na stránkách vlastností služby Key Vault vyberte Certifikáty.

  3. Vyberte certifikát, který chcete aktualizovat. V tomto případě budete pracovat na certifikátu s názvem ExampleCertificate.

  4. V horním řádku nabídek vyberte Zásady vystavování.

    Snímek obrazovky, který zvýrazní tlačítko Zásady vystavování

  5. Na obrazovce Zásady vystavování aktualizujte následující hodnoty:

    • Období platnosti: Aktualizujte hodnotu (v měsících).
    • Typ akce životnosti: Vyberte akci automatického prodlužování platnosti certifikátu a upozorňování a pak aktualizujte procento životnosti nebo počtu dnů před vypršením platnosti certifikátu.

    Vlastnosti certifikátu

  6. Zvolte Uložit.

Důležité

Změna typu akce životnosti pro certifikát okamžitě zaznamená změny existujících certifikátů.

Aktualizace atributů certifikátu pomocí PowerShellu



Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName 
                                   -Name $certificateName 
                                   -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]

Tip

Chcete-li změnit zásadu obnovení seznamu certifikátů, zadejte File.csv jako VaultName,CertName v následujícím příkladu:
vault1,Cert1
vault2,Cert2

$file = Import-CSV C:\Users\myfolder\ReadCSVUsingPowershell\File.csv ​
foreach($line in $file)​
{​
Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName -Name $certificateName -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]
}

Další informace o parametrech najdete v tématu az keyvault certificate.

Vyčištění prostředků

Další kurzy služby Key Vault vycházejí z tohoto kurzu. Pokud plánujete s těmito kurzy pracovat, možná budete chtít ponechat stávající prostředky na místě. Pokud je už nepotřebujete, odstraňte skupinu prostředků, která odstraní trezor klíčů a související prostředky.

Odstranění skupiny prostředků pomocí portálu:

  1. Do vyhledávacího pole v horní části portálu zadejte název vaší skupiny prostředků. Když se ve výsledcích hledání zobrazí skupina prostředků použitá v tomto rychlém startu, vyberte ji.
  2. Vyberte Odstranit skupinu prostředků.
  3. Do pole ZADEJTE NÁZEV SKUPINY PROSTŘEDKŮ: zadejte název skupiny prostředků a pak vyberte Odstranit.

Další kroky

V tomto kurzu jste aktualizovali atributy životního cyklu certifikátu. Další informace o službě Key Vault a její integraci s vašimi aplikacemi najdete v následujících článcích: