Konfigurieren der Sicherung und Wiederherstellung von Zertifikaten, Geheimnissen und Schlüsseln

  • 7 Minuten

Azure Key Vault stellt automatisch Features zur Gewährleistung der Verfügbarkeit und zur Vermeidung von Datenverlusten zur Verfügung. Sichern Sie Geheimnisse nur dann, wenn eine wichtige geschäftliche Begründung vorliegt. Das Sichern von Geheimnissen in Ihrem Schlüsseltresor kann betriebliche Herausforderungen mit sich bringen, etwa im Zusammenhang mit der Verwaltung von mehreren Protokoll-, Berechtigungs- und Sicherungssätzen beim Ablauf oder bei der Rotation von Geheimnissen.

Key Vault gewährleistet die Verfügbarkeit in Notfallszenarien und führt automatisch ein Failover von Anforderungen auf ein Regionspaar aus, ohne dass ein Eingreifen des Benutzers erforderlich ist.

Wenn Sie Ihre Geheimnisse vor versehentlichem oder böswilligem Löschen schützen möchten, konfigurieren Sie für Ihren Schlüsseltresor die Funktionen zum Schutz vor vorläufigem und endgültigem Löschen.

Key Vault unterstützt derzeit keine Methode zum Sichern eines gesamten Schlüsseltresors in einem einzigen Vorgang. Versuche, die in diesem Dokument aufgeführten Befehle zum Ausführen einer automatisierten Sicherung eines Schlüsseltresors zu verwenden, können zu Fehlern führen und werden von Microsoft oder dem Azure Key Vault-Team nicht unterstützt.

Berücksichtigen Sie außerdem folgende Auswirkungen:

  • Das Sichern von Geheimnissen mit mehreren Versionen kann zu Timeoutfehlern führen.
  • Bei der Sicherung wird eine Point-in-Time-Momentaufnahme erstellt. Geheimnisse werden während einer Sicherung unter Umständen erneuert, was zu einem Konflikt mit den Verschlüsselungsschlüsseln führt.
  • Wenn die Grenzwerte des Schlüsseltresordiensts für Anforderungen pro Sekunde überschritten werden, wird der Schlüsseltresor gedrosselt. Dies führt zu einem Fehler bei der Sicherung.

Überlegungen zum Entwurf

Wenn Sie ein Schlüsseltresorobjekt (Geheimnis, Schlüssel oder Zertifikat) sichern, wird das Objekt beim Sicherungsvorgang als verschlüsseltes Blob heruntergeladen. Dieses Blob kann außerhalb von Azure nicht entschlüsselt werden. Um verwendbare Daten aus diesem Blob zu erhalten, müssen Sie das Blob in einem Schlüsseltresor innerhalb desselben Azure-Abonnements und derselben Azure-Geografie wiederherstellen.

Voraussetzungen

Zum Sichern eines Schlüsseltresorobjekts benötigen Sie Folgendes:

  • Mindestens Berechtigungen auf der Ebene „Mitwirkender“ für ein Azure-Abonnement
  • Einen primären Schlüsseltresor mit den zu sichernden Geheimnissen
  • Sekundärer Schlüsseltresor, in dem Geheimnisse wiederhergestellt werden

Sichern und Wiederherstellen über das Azure-Portal

Führen Sie die Schritte in diesem Abschnitt aus, um Objekte mithilfe des Azure-Portals zu sichern und wiederherzustellen.

Sichern

  1. Öffnen Sie das Azure-Portal.
  2. Wählen Sie Ihren Schlüsseltresor aus.
  3. Navigieren Sie zu dem Objekt (Geheimnis, Schlüssel oder Zertifikat), das Sie sichern möchten.
  4. Wählen Sie das Objekt aus.
  5. Wählen Sie Sicherung herunterladen aus.
  6. Wählen Sie Herunterladen aus.
  7. Speichern Sie das verschlüsselte Blob an einem sicheren Speicherort.

Restore

  1. Öffnen Sie das Azure-Portal.
  2. Wählen Sie Ihren Schlüsseltresor aus.
  3. Navigieren Sie zu dem Typ des Objekts (Geheimnis, Schlüssel oder Zertifikat), das Sie wiederherstellen möchten.
  4. Wählen Sie Sicherung wiederherstellen aus.
  5. Navigieren Sie zu dem Speicherort, an dem Sie das verschlüsselte Blob gespeichert haben.
  6. Klickan Sie auf OK.