Konfigurieren der Sicherung und Wiederherstellung von Zertifikaten, Geheimnissen und Schlüsseln

  • 7 Minuten

Azure Key Vault bietet automatisch Features, mit denen Sie die Verfügbarkeit verwalten und Datenverluste verhindern können. Sichern Sie Geheimnisse nur, wenn Sie eine kritische geschäftliche Begründung haben. Das Sichern von Geheimnissen in Ihrem Schlüsseltresor kann zu betrieblichen Herausforderungen führen, wie z.B. dem Verwalten mehrerer Protokolle, Berechtigungen und Sicherungen, wenn Geheimnisse ablaufen oder erneuert werden.

Key Vault verwaltet die Verfügbarkeit in Notfallszenarien und schaltet automatisch ohne Eingreifen des Benutzers auf eine gekoppelte Region um.

Wenn Sie Schutz vor versehentlicher oder böswilliger Löschung Ihrer geheimen Schlüssel benötigen, konfigurieren Sie Soft Delete- und Löschschutzfeatures auf Ihrem Schlüsseltresor.

Key Vault bietet derzeit keine Möglichkeit, einen gesamten Schlüsseltresor in einem einzigen Vorgang zu sichern. Jeder Versuch, die in diesem Dokument aufgeführten Befehle zu verwenden, um eine automatisierte Sicherung eines Schlüsseltresors auszuführen, kann zu Fehlern führen und wird von Microsoft oder dem Azure Key Vault-Team nicht unterstützt.

Berücksichtigen Sie auch die folgenden Konsequenzen:

  • Das Sichern geheimer Daten mit mehreren Versionen kann zu Timeout-Fehlern führen.
  • Eine Sicherung erstellt eine Point-in-Time-Momentaufnahme. Geheimnisse könnten während einer Sicherung erneuert werden, was zu einem Missverhältnis bei den Verschlüsselungsschlüsseln führt.
  • Wenn Sie die Grenzwerte für den Key Vault für Anforderungen pro Sekunde überschreiten, wird Ihr Key Vault gedrosselt, und die Sicherung schlägt fehl.

Entwurfsüberlegungen

Wenn Sie ein Schlüsseltresorobjekt, z. B. einen geheimen Schlüssel, einen Schlüssel oder ein Zertifikat, sichern, lädt der Sicherungsvorgang das Objekt als verschlüsselten BLOB herunter. Dieses Blob kann nicht außerhalb von Azure entschlüsselt werden. Um verwendbare Daten aus diesem Blob zu erhalten, müssen Sie das Blob in einem Schlüsseltresor innerhalb desselben Azure-Abonnements und der Azure-Geografie wiederherstellen.

Voraussetzungen

Zum Sichern eines Schlüsseltresorobjekts benötigen Sie Folgendes:

  • Berechtigungen auf der Ebene 'Mitwirkender' oder höher für ein Azure-Abonnement.
  • Ein Primärschlüsseltresor, der die geheimen Schlüssel enthält, die Sie sichern möchten.
  • Ein sekundärer Schlüsseltresor, in dem geheime Schlüssel wiederhergestellt werden.

Sichern und Wiederherstellen über das Azure-Portal

Führen Sie die Schritte in diesem Abschnitt aus, um Objekte mithilfe des Azure-Portals zu sichern und wiederherzustellen.

Sicherung

  1. Wechseln Sie zum Azure-Portal.
  2. Wählen Sie Ihren Schlüsseltresor aus.
  3. Wechseln Sie zu dem Objekt (geheimer Schlüssel oder Zertifikat), das Sie sichern möchten.
  4. Wählen Sie das Objekt aus.
  5. Wählen Sie Sicherung herunterladen.
  6. Wählen Sie Downloadaus.
  7. Speichern Sie das verschlüsselte Blob an einem sicheren Speicherort.

Wiederherstellen

  1. Wechseln Sie zum Azure-Portal.
  2. Wählen Sie Ihren Schlüsseltresor aus.
  3. Wechseln Sie zu dem Objekttyp (geheimer Schlüssel oder Zertifikat), den Sie wiederherstellen möchten.
  4. Wählen Sie Sicherung wiederherstellenaus.
  5. Wechseln Sie zu dem Speicherort, an dem Sie das verschlüsselte Blob gespeichert haben.
  6. Wählen Sie OKaus.