Verwalten von Zertifikaten, Geheimnissen und Schlüsseln
Die Unterstützung von Azure Key Vault-Zertifikaten ermöglicht die Verwaltung Ihrer X.509-Zertifikate sowie folgende Szenarien:
- Ermöglicht einem Zertifikatbesitzer die Erstellung eines Zertifikats über einen Schlüsseltresor-Erstellungsvorgang oder durch den Import eines vorhandenen Zertifikats. Zu den importierten Zertifikaten gehören sowohl selbstsignierte Zertifikate als auch Zertifikate, die von einer Zertifizierungsstelle (ZS) generiert wurden.
- Ermöglicht dem Besitzer eines Key Vault-Zertifikats die Implementierung von sicherem Speicher sowie die Verwaltung von X.509-Zertifikaten ohne Interaktion mit privaten Schlüsseln.
- Ermöglicht einem Zertifikatbesitzer die Erstellung einer Richtlinie, die Key Vault anweist, den Lebenszyklus eines Zertifikats zu verwalten.
- Ermöglicht es einem Zertifikatbesitzer, Kontaktinformationen für Benachrichtigungen zu den Lebenszyklusereignissen „Ablauf“ und „Verlängerung“ bereitzustellen.
- Unterstützt die automatische Verlängerung mit ausgewählten Ausstellern: Key Vault-Partneranbieter oder -Partnerzertifizierungsstellen für X.509-Zertifikate.
Zusammensetzung eines Zertifikats
Wenn ein Key Vault-Zertifikat erstellt wird, werden auch ein adressierbarer Schlüssel und ein Geheimnis gleichen Namens erstellt. Der Key Vault-Schlüssel ermöglicht Schlüsselvorgänge, und das Key Vault-Geheimnis ermöglicht den Abruf des Zertifikatwerts als Geheimnis. Ein Key Vault-Zertifikat enthält auch öffentliche Metadaten des X.509-Zertifikats.
Der Bezeichner und die Version der Zertifikate ähneln denen von Schlüsseln und Geheimnissen. Eine bestimmte Version eines mit der Key Vault-Zertifikatversion erstellten adressierbaren Schlüssels und Geheimnisses ist in der Antwort des Key Vault-Zertifikats verfügbar.
Exportierbarer oder nicht exportierbarer Schlüssel
Wenn ein Key Vault-Zertifikat erstellt wird, kann es aus dem adressierbaren Geheimnis mit dem privaten Schlüssel entweder im PFX- oder PEM-Format abgerufen werden. Die zum Erstellen des Zertifikats verwendete Richtlinie muss angeben, dass der Schlüssel exportierbar ist. Wenn die Richtlinie angibt, dass der Schlüssel nicht exportierbar ist, ist der private Schlüssel beim Abruf als Geheimnis kein Teil des Werts.
Der adressierbare Schlüssel ist bei nicht exportierbaren Key Vault-Zertifikaten von größerer Bedeutung. Die Vorgänge des adressierbaren Key Vault-Schlüssels werden dem Feld „Schlüsselverwendung“ der Key Vault-Zertifikatrichtlinie zugeordnet, die zum Erstellen des Key Vault-Zertifikats verwendet wird.
In der folgenden Tabelle sind die unterstützten Schlüsseltypen aufgeführt.
Typ Key | Info | Security |
---|---|---|
RSA | Softwaregeschützter RSA-Schlüssel | FIPS 140-2 Level 1 |
RSA-HSM | Durch HSM geschützter RSA-Schlüssel (nur Premium-SKU) | HSM mit FIPS 140-2 Level 2 |
EC | Softwaregeschützter Elliptic Curve-Schlüssel | FIPS 140-2 Level 1 |
EC-HSM | HSM-geschützter Elliptic Curve-Schlüssel (nur Premium-SKU) | HSM mit FIPS 140-2 Level 2 |
Oktett | Softwaregeschützter Oktettschlüssel | FIPS 140-2 Level 1 |
Exportierbare Schlüssel sind nur mit RSA und EC zulässig. HSM-Schlüssel sind nicht exportierbar.
Zertifikatattribute und -tags
Zusätzlich zu den Zertifikatmetadaten, einem adressierbaren Schlüssel und einem adressierbaren Geheimnis enthält ein Key Vault-Zertifikat auch Attribute und Tags.
Attributes
Die Zertifikatattribute werden in Attributen des adressierbaren Schlüssels und Geheimnisses gespiegelt, wenn das Key Vault-Zertifikat erstellt wird.
Ein Key Vault-Zertifikat weist folgendes Attribut auf:
enabled: Dieses boolesche Attribut ist optional. Der Standardwert ist korrekt. Damit kann angegeben werden, ob die Zertifikatdaten als Geheimnis abgerufen werden können oder als Schlüssel funktionsfähig sind.
- Dieses Attribut wird auch mit nbf und exp verwendet, wenn ein Vorgang zwischen nbf und exp auftritt, aber nur, wenn „enabled“ auf „true“ festgelegt ist. Vorgänge außerhalb des Fensters zwischen nbf und exp werden automatisch nicht zugelassen.
Eine Antwort enthält die folgenden zusätzlichen, schreibgeschützten Attribute:
- created: IntDate gibt an, wann diese Version des Zertifikats erstellt wurde.
- updated: IntDate gibt an, wann diese Version des Zertifikats aktualisiert wurde.
- exp: IntDate enthält den Wert des Ablaufdatums des X.509-Zertifikats.
- nbf: IntDate enthält den Wert des Startdatums des X.509-Zertifikats.
Hinweis
Wenn ein Key Vault-Zertifikat abläuft, kann es weiterhin abgerufen werden, aber das Zertifikat ist in Szenarios wie Transport Layer Security-Schutz, in dem der Ablauf des Zertifikats überprüft wird, möglicherweise nicht mehr funktionsfähig.
Tags
Tags für Zertifikate sind ein clientseitig angegebenes Wörterbuch mit Schlüssel-Wert-Paaren, ganz ähnlich wie Tags in Schlüsseln und Geheimnissen.
Hinweis
Ein Aufrufer kann Tags lesen, wenn er über die Liste verfügt oder die Berechtigung für diesen Objekttyp (Schlüssel, Geheimnisse oder Zertifikate) erhält.
Zertifikatrichtlinie
Eine Zertifikatrichtlinie enthält Informationen zum Erstellen und Verwalten des Lebenszyklus eines Key Vault-Zertifikats. Wenn ein Zertifikat mit privatem Schlüssel in den Schlüsseltresor importiert wird, erstellt das Key Vault-Zertifikat eine Standardrichtlinie durch Lesen des X.509-Zertifikats.
Wenn ein Key Vault-Zertifikat von Grund auf neu erstellt wird, muss eine Richtlinie angegeben werden. Die Richtlinie gibt an, wie diese oder die nächste Key Vault-Zertifikatversion erstellt werden soll. Nachdem eine Richtlinie eingerichtet wurde, ist bei nachfolgenden Erstellungsvorgängen für zukünftige Versionen keine weitere Richtlinie erforderlich. Es gibt nur eine Instanz einer Richtlinie für alle Versionen eines Key Vault-Zertifikats.
Auf hoher Ebene enthält eine Zertifikatsrichtlinie folgende Informationen:
X.509-Zertifikateigenschaften, was den Namen des Antragstellers sowie einen alternativen Namen des Antragstellers und weitere Eigenschaften umfasst, die zum Erstellen einer X.509-Zertifikatanforderung verwendet werden.
Schlüsseleigenschaften, was den Schlüsseltyp, die Schlüssellänge, „exportierbar“ und
ReuseKeyOnRenewal
-Felder umfasst. Diese Felder teilen Key Vault mit, wie ein Schlüssel generiert werden soll.- Unterstützte Schlüsseltypen sind RSA, RSA-HSM, EC, EC-HSM und Oktett.
Geheimniseigenschaften wie der Inhaltstyp eines adressierbaren Geheimnisses zum Generieren des Geheimniswerts, um das Zertifikat als Geheimnis abzurufen.
Lebensdaueraktionen für das Key Vault-Zertifikat. Jede Lebensdaueraktion enthält:
Trigger: Wird als Tage vor Ablauf oder Prozentsatz der Lebensdauer angegeben.
Aktion:
emailContacts
oderautoRenew
.Zertifikatvalidierungstyp: Von der Organisation validiert (Organization Validation-Secure Socket Layer) und erweiterte Validierung (Extended Validation-Secure Socket Layer) für DigiCert- und GlobalSign-Aussteller.
Parameter über den zum Ausstellen von X.509-Zertifikaten zu verwendenden Zertifikataussteller.
Der Richtlinie zugeordnete Attribute.
Zuordnen der X.509-Verwendung zu Schlüsselvorgängen
In der folgenden Tabelle wird die Zuordnung von X.509-Schlüsselverwendungsrichtlinien zu wirksamen Schlüsselvorgängen eines Schlüssels dargestellt, der im Rahmen einer Key Vault-Zertifikaterstellung erstellt wurde.
X.509-Flags für Schlüsselverwendung | Key Vault-Schlüsselvorgänge | Standardverhalten |
---|---|---|
DataEncipherment | encrypt, decrypt | Nicht zutreffend |
DecipherOnly | decrypt | Nicht zutreffend |
DigitalSignature | sign, verify | Key Vault-Standard ohne Verwendungsspezifikation zum Zeitpunkt der Zertifikatserstellung |
EncipherOnly | encrypt | Nicht zutreffend |
KeyCertSign | sign, verify | Nicht zutreffend |
KeyEncipherment | wrapKey, unwrapKey | Key Vault-Standard ohne Verwendungsspezifikation zum Zeitpunkt der Zertifikatserstellung |
NonRepudiation | sign, verify | Nicht zutreffend |
crlsign | sign, verify | Nicht zutreffend |
Zertifikataussteller
Ein Key Vault-Zertifikatobjekt enthält eine Konfiguration, die zur Kommunikation mit einem ausgewählten Zertifikatausstelleranbieter verwendet wird, um X.509-Zertifikate zu bestellen.
Key Vault arbeitet mit den folgenden Zertifikatausstellern für Transport Layer Security- und Secure Sockets Layer-Zertifikate zusammen.
Anbietername | Speicherorte |
---|---|
DigiCert | Wird an allen Key Vault-Dienststandorten in der öffentlichen Cloud und in Azure Government unterstützt |
GlobalSign | Wird an allen Key Vault-Dienststandorten in der öffentlichen Cloud und in Azure Government unterstützt |
Bevor ein Zertifikataussteller in einem Schlüsseltresor erstellt werden kann, muss ein Administrator die folgenden vorausgesetzten Schritte ausführen:
- Onboarding der Organisation bei mindestens einem Zertifizierungsstellenanbieter.
- Erstellen Sie Key Vault-Anmeldeinformationen für Anfordernde, um Transport Layer Security- und Secure Sockets Layer-Zertifikate zu registrieren (und zu erneuern). Mit diesem Schritt wird die Konfiguration zum Erstellen eines Ausstellerobjekts des Anbieters im Schlüsseltresor bereitgestellt.
Key Vault ermöglicht die Erstellung mehrerer Ausstellerobjekte mit unterschiedlicher Ausstelleranbieterkonfiguration. Nachdem ein Ausstellerobjekt erstellt wurde, kann in einer oder mehreren Zertifikatrichtlinien auf seinen Namen verwiesen werden. Beim Verweis auf das Ausstellerobjekt wird Key Vault angewiesen, die Konfiguration gemäß den Angaben im Ausstellerobjekt zu verwenden, wenn das X.509-Zertifikat bei Zertifikaterstellung und -verlängerung beim Zertifizierungsstellenanbieter angefordert wird.
Ausstellerobjekte werden im Tresor erstellt. Sie können nur mit Key Vault-Zertifikaten im selben Tresor verwendet werden.
Zertifikatkontakte
Zertifikatkontakte enthalten Kontaktinformationen zum Senden von Benachrichtigungen, die durch Zertifikatlebensdauer-Ereignisse ausgelöst werden. Alle Zertifikate im Schlüsseltresor verwenden die Kontaktinformationen gemeinsam.
Eine Benachrichtigung zu einem Ereignis eines beliebigen Zertifikats im Schlüsseltresor wird an alle angegebenen Kontakte gesendet.
Zertifikatzugriffssteuerung
Key Vault verwaltet die Zugriffssteuerung für Zertifikate. Der Schlüsseltresor, der diese Zertifikate enthält, stellt die Zugriffssteuerung bereit. Die Zugriffssteuerungsrichtlinie für Zertifikate unterscheidet sich von den Zugriffssteuerungsrichtlinien für Schlüssel und Geheimnisse im selben Key Vault.
Benutzer können einen oder mehrere Tresore zum Speichern von Zertifikaten erstellen und müssen für eine dem Szenario entsprechende Segmentierung und Verwaltung von Zertifikaten sorgen.
Anwendungsfälle für Zertifikate
Sichere Kommunikation und Authentifizierung
Transport Layer Security-Zertifikate können die Kommunikation über das Internet verschlüsseln und die Identität von Websites einrichten. Durch diese Verschlüsselung werden der Einstiegspunkt und der Kommunikationsmodus besser geschützt. Darüber hinaus kann mit einem von einer öffentlichen Zertifizierungsstelle signierten verketteten Zertifikat überprüft werden, ob die Entitäten mit den Zertifikaten legitim sind.
Nachfolgend werden beispielsweise einige Anwendungsfälle für die Verwendung von Zertifikaten zum Sichern der Kommunikation und zum Aktivieren der Authentifizierung beschrieben:
- Intranet-/Internetwebsites: Schützen Sie den Zugriff auf Ihre Intranetwebsite, und stellen Sie sicher, dass verschlüsselte Daten über Transport Layer Security-Zertifikate über das Internet übertragen werden.
- IoT- und Netzwerkgeräte: Schützen Ihrer Geräte mithilfe von Zertifikaten für die Authentifizierung und Kommunikation.
- Cloud/Multicloud: Schützen cloudbasierter Anwendungen lokal, cloudübergreifend oder im Mandanten Ihres Cloudanbieters.
Codesignierung
Ein Zertifikat kann zum Schutz des Softwarecodes/-skripts beitragen und so sicherstellen, dass der Autor die Software über das Internet freigeben kann, ohne dass es durch böswillige Entitäten zu Störungen kommt. Sobald der Autor den Code mithilfe eines Zertifikats signiert hat und die Codesignaturtechnologie nutzt, wird die Software mit einem Authentifizierungsstempel gekennzeichnet, der den Autor und seine Website anzeigt. Das bei der Codesignierung verwendete Zertifikat hilft dabei, die Authentizität der Software zu überprüfen und die End-to-End-Sicherheit zu fördern.