Bewerken

Delen via

Levenscyclusbeheer van certificaten in Azure

Azure Automation
Azure Event Grid
Azure Key Vault

In cyberbeveiliging is het instellen van automatische certificaatvernieuwing belangrijk voor het onderhouden van een veilige en betrouwbare omgeving. Als u certificaten niet tijdig kunt bijwerken of vernieuwen, worden systemen blootgesteld aan beveiligingsproblemen. Potentieel kwetsbare gebieden zijn onder andere:

  • TLS/SSL-certificaten die zijn verlopen.
  • Netwerken die onderhevig zijn aan potentiële schendingen.
  • Gevoelige gegevens die onbeveiligd zijn.
  • Services die omlaag gaan voor bedrijfsprocessen van bedrijf tot bedrijf.
  • Merkreputatieverlies dat inbreuk maakt op de integriteit en vertrouwelijkheid van digitale transacties.

Azure Key Vault ondersteunt automatische certificaatvernieuwing die is uitgegeven door een geïntegreerde certificeringsinstantie (CA), zoals DigiCert of GlobalSign. Voor een niet-geïntegreerde CA is een handmatige benadering vereist.

Dit artikel overbrugt de kloof door een automatisch verlengingsproces te bieden dat is afgestemd op certificaten van niet-geïntegreerde CA's. Dit proces slaat de nieuwe certificaten naadloos op in Key Vault, verbetert de efficiëntie, verbetert de beveiliging en vereenvoudigt de implementatie door te integreren met verschillende Azure-resources.

Een automatisch verlengingsproces vermindert menselijke fouten en minimaliseert serviceonderbrekingen. Wanneer u certificaatvernieuwing automatiseert, wordt het vernieuwingsproces niet alleen versneld, maar wordt de kans verkleind dat er fouten optreden tijdens handmatige verwerking. Wanneer u de mogelijkheden van Key Vault en de bijbehorende extensies gebruikt, kunt u een efficiënt automatisch proces bouwen om bewerkingen en betrouwbaarheid te optimaliseren.

Hoewel automatische certificaatvernieuwing de eerste focus heeft, is een breder doel om de beveiliging op alle gebieden van het proces te verbeteren. Deze inspanning omvat het implementeren van het principe van minimale bevoegdheden (PoLP) of vergelijkbare toegangsbeheer met behulp van Key Vault. Het benadrukt ook het belang van robuuste procedures voor logboekregistratie en bewaking voor Key Vault. In dit artikel wordt het belang van het gebruik van Key Vault benadrukt om de volledige levenscyclus van certificaatbeheer te versterken en ziet u dat de beveiligingsvoordelen niet beperkt zijn tot het opslaan van certificaten.

U kunt Key Vault en het automatische verlengingsproces gebruiken om certificaten continu bij te werken. Automatische verlenging speelt een belangrijke rol in het implementatieproces en helpt Azure-services die kunnen worden geïntegreerd met Key Vault profiteren van up-to-date certificaten. In dit artikel wordt uitgelegd hoe continue verlenging en toegankelijkheid bijdragen aan de algehele implementatie-efficiëntie en betrouwbaarheid van Azure-services.

Architectuur

Hier volgt een kort overzicht van de onderliggende architectuur die deze oplossing mogelijk maakt.

Diagram van de architectuur voor levenscyclusbeheer van certificaten.

Een Visio-bestand van deze architectuur downloaden.

De Azure-omgeving omvat de volgende PaaS-resources (Platform as a Service): een Key Vault die is toegewezen aan het opslaan van certificaten die alleen zijn uitgegeven door dezelfde niet-geïntegreerde CA, een Azure Event Grid-systeemonderwerp, een opslagaccountwachtrij en een Azure Automation-account dat een webhook beschikbaar maakt waarop Event Grid is gericht.

Als u het proces en de status van verlopen en verlopen certificaten wilt bewaken, slaat Log Analytics de gegevens op en geeft de werkruimte deze weer in de vorm van tabellaire en grafische dashboards.

In dit scenario wordt ervan uitgegaan dat er al een bestaande PKI (Public Key Infrastructure) aanwezig is en bestaat uit een Microsoft Enterprise-CA die is gekoppeld aan een domein in Microsoft Entra-id. Zowel de PKI als het Active Directory-domein kunnen zich in Azure of on-premises bevinden en de servers die moeten worden geconfigureerd voor certificaatvernieuwing.

De virtuele machines (VM's) met certificaten voor het bewaken van verlenging hoeven niet te worden gekoppeld aan Active Directory of Microsoft Entra-id. De enige vereiste is dat de CA en de hybrid worker, indien deze zich op een andere VM van de CA bevinden, lid moeten worden van Active Directory.

In de volgende secties vindt u meer informatie over het automatische verlengingsproces.

Workflow

In deze afbeelding ziet u de automatische werkstroom voor certificaatvernieuwing binnen het Azure-ecosysteem.

Diagram van de automatische werkstroom voor certificaatvernieuwing binnen het Azure-ecosysteem.

  1. Key Vault-configuratie: De eerste fase van het vernieuwingsproces houdt in dat het certificaatobject wordt opgeslagen in de sectie Certificaten van de sleutelkluis.

    Hoewel dit niet verplicht is, kunt u aangepaste e-mailmeldingen instellen door het certificaat te taggen met het e-mailadres van de geadresseerde. Het labelen van het certificaat zorgt voor tijdige meldingen wanneer het verlengingsproces is voltooid. Als meerdere geadresseerden nodig zijn, scheidt u hun e-mailadressen door een komma of puntkomma. De tagnaam voor dit doel is Ontvanger en de waarde is een of meer e-mailadressen van de aangewezen beheerders.

    Wanneer u tags gebruikt in plaats van ingebouwde certificaatmeldingen, kunt u meldingen toepassen op een specifiek certificaat met een aangewezen ontvanger. Ingebouwde certificaatmeldingen zijn van toepassing op alle certificaten in de sleutelkluis en gebruiken dezelfde ontvanger voor iedereen.

    U kunt ingebouwde meldingen integreren met de oplossing, maar een andere benadering gebruiken. Hoewel ingebouwde meldingen alleen op de hoogte kunnen worden gesteld van een aanstaande vervaldatum van een certificaat, kunnen de tags meldingen verzenden wanneer het certificaat wordt vernieuwd op de interne CA en wanneer het beschikbaar is in Key Vault.

  2. Key Vault-extensieconfiguratie: u moet de servers uitrusten die de certificaten moeten gebruiken met de Key Vault-extensie, een veelzijdig hulpprogramma dat compatibel is met Windows - en Linux-systemen . IaaS-servers (Infrastructure as a Service) van Azure en on-premises of andere cloudservers die worden geïntegreerd via Azure Arc , worden ondersteund. Configureer de Key Vault-extensie om Key Vault periodiek te peilen voor bijgewerkte certificaten. Het polling-interval kan worden aangepast en flexibel, zodat het kan worden afgestemd op specifieke operationele vereisten.

    Notitie

    De Key Vault-extensie is niet beschikbaar in Linux RedHat en CentOS. Als u de oplossing wilt uitbreiden naar deze systemen, plant u het script_for_not_supported_ARC_on_Linux_distro script waarmee Key Vault periodiek wordt gecontroleerd op certificaatupdates en deze toepast op de server. Het script kan worden uitgevoerd op zowel systeemeigen Azure-VM's (IaaS) als on-premises servers die zijn geïntegreerd met Azure Arc.

  3. Event Grid-integratie: als een certificaat verloopt, onderschept twee Event Grid-abonnementen deze belangrijke levensduurgebeurtenis uit de sleutelkluis.

  4. Event Grid-triggers: met één Event Grid-abonnement worden certificaatvernieuwingsgegevens naar een opslagaccountwachtrij verzonden. Het andere abonnement activeert het starten van een runbook via de geconfigureerde webhook in het Automation-account. Als het runbook het certificaat niet kan vernieuwen of als de CA niet beschikbaar is, probeert een gepland proces het runbook vanaf dat moment opnieuw te vernieuwen totdat de wachtrij wordt gewist. Dit proces maakt de oplossing robuust.

    Als u de tolerantie van de oplossing wilt verbeteren, stelt u een mechanisme voor een dode letter in . Het beheert potentiële fouten die kunnen optreden tijdens de berichtenoverdracht van Event Grid naar de abonnementsdoelen, de opslagwachtrij en de webhook.

  5. Opslagaccountwachtrij: het runbook wordt gestart binnen de CA-server die is geconfigureerd als automation Hybrid Runbook Worker. Het ontvangt alle berichten in de opslagaccountwachtrij die de naam van het verlopende certificaat en de sleutelkluis bevatten die als host fungeert voor het runbook. De volgende stappen worden uitgevoerd voor elk bericht in de wachtrij.

  6. Certificaatvernieuwing: het script in het runbook maakt verbinding met Azure om de sjabloonnaam van het certificaat op te halen die u tijdens het genereren hebt ingesteld. De sjabloon is het configuratieonderdeel van de certificeringsinstantie waarmee de kenmerken en het doel van de certificaten worden gedefinieerd die moeten worden gegenereerd.

    Nadat de scriptinterfaces met Key Vault zijn uitgevoerd, wordt er een aanvraag voor certificaatvernieuwing gestart. Met deze aanvraag wordt Key Vault geactiveerd voor het genereren van een aanvraag voor certificaatondertekening (CSR) en wordt dezelfde sjabloon toegepast die het oorspronkelijke certificaat heeft gegenereerd. Dit proces zorgt ervoor dat het vernieuwde certificaat overeenkomt met het vooraf gedefinieerde beveiligingsbeleid. Zie de sectie Beveiliging voor meer informatie over beveiliging in het verificatie- en autorisatieproces.

    Het script downloadt de CSR en verzendt deze naar de CA.

    De CA genereert een nieuw x509-certificaat op basis van de juiste sjabloon en stuurt het terug naar het script. Deze stap zorgt ervoor dat het vernieuwde certificaat overeenkomt met het vooraf gedefinieerde beveiligingsbeleid.

  7. Certificaat samenvoegen en Key Vault-update: het script voegt het vernieuwde certificaat weer samen in de sleutelkluis, voltooit het updateproces en verwijdert het bericht uit de wachtrij. Tijdens het hele proces wordt de persoonlijke sleutel van het certificaat nooit uit de sleutelkluis geëxtraheerd.

  8. Bewaking en e-mailmelding: alle bewerkingen die door verschillende Azure-onderdelen worden uitgevoerd, zoals een Automation-account, Key Vault, een wachtrij voor opslagaccounts en Event Grid, worden vastgelegd in de Werkruimte Azure Monitor-logboeken om bewaking mogelijk te maken. Nadat het certificaat is samengevoegd in de sleutelkluis, stuurt het script een e-mailbericht naar beheerders om hen op de hoogte te stellen van het resultaat.

  9. Certificaat ophalen: De Key Vault-extensie op de server speelt een belangrijke rol tijdens deze fase. De meest recente versie van het certificaat wordt automatisch vanuit de sleutelkluis gedownload naar het lokale archief van de server die het certificaat gebruikt. U kunt meerdere servers met de Key Vault-extensie configureren om hetzelfde certificaat (jokerteken of met meerdere SAN-certificaten (Subject Alternative Name) op te halen uit de sleutelkluis.

    Voor Linux-distributies waarbij de Azure Key Vault-extensie niet kan worden geïnstalleerd, kan het script_for_not_supported_ARC_on_Linux_distro script worden gepland om dezelfde functionaliteit te bereiken als de extensie.

Onderdelen

De oplossing maakt gebruik van verschillende onderdelen voor het afhandelen van automatische certificaatvernieuwing in Azure. In de volgende secties worden elk onderdeel en het specifieke doel ervan beschreven.

Key Vault-extensie

De Key Vault-extensie speelt een belangrijke rol bij het automatiseren van certificaatvernieuwing en moet worden geïnstalleerd op servers waarvoor de automatisering is vereist. Zie de Key Vault-extensie voor Windows voor meer informatie over installatieprocedures op Windows-servers. Zie de Key Vault-extensie voor Linux voor meer informatie over de installatiestappen voor Linux-servers. Zie de Key Vault-extensie voor servers met Arc voor meer informatie over servers met Azure Arc.

Notitie

Hieronder vindt u voorbeeldscripts die u vanuit Azure Cloud Shell kunt uitvoeren voor het configureren van de Key Vault-extensie:

De configuratieparameters voor de Key Vault-extensie zijn onder andere:

  • Key Vault-naam: de sleutelkluis die het certificaat bevat voor verlenging.
  • Certificaatnaam: de naam van het certificaat dat moet worden vernieuwd.
  • Certificaatarchief, naam en locatie: het certificaatarchief waar het certificaat is opgeslagen. Op Windows-servers is de standaardwaarde voor My en LocatieLocalMachine, het persoonlijke certificaatarchief van de computer. Op Linux-servers kunt u een bestandssysteempad opgeven, ervan uitgaande dat de standaardwaarde is AzureKeyVault. Dit is het certificaatarchief voor Key Vault.
  • linkOnRenewal: Een vlag die aangeeft of het certificaat moet worden gekoppeld aan de server bij verlenging. Als dit is ingesteld true op Windows-computers, wordt het nieuwe certificaat in het archief gekopieerd en gekoppeld aan het oude certificaat, waardoor het certificaat effectief opnieuw wordt gekoppeld. De standaardwaarde betekent false dat een expliciete binding vereist is.
  • pollingIntervalInS: het polling-interval voor de Key Vault-extensie om te controleren op certificaatupdates. De standaardwaarde is 3600 seconden (1 uur).
  • authenticationSetting: de verificatie-instelling voor de Key Vault-extensie. Voor Azure-servers kunt u deze instelling weglaten, wat betekent dat de door het systeem toegewezen beheerde identiteit van de virtuele machine wordt gebruikt voor de sleutelkluis. Voor on-premises servers betekent het opgeven van de instelling msiEndpoint = "http://localhost:40342/metadata/identity" het gebruik van de service-principal die is gekoppeld aan het computerobject dat is gemaakt tijdens de onboarding van Azure Arc.

Notitie

Geef de key Vault-extensieparameters alleen op tijdens de eerste installatie. Dit zorgt ervoor dat ze tijdens het verlengingsproces geen wijzigingen ondergaan.

Automation-account

Het Automation-account verwerkt het proces voor certificaatvernieuwing. U moet het account configureren met een runbook met behulp van het PowerShell-script.

U moet ook een Hybrid Worker-groep maken. Koppel de Hybrid Worker-groep aan een Windows Server-lid van hetzelfde Active Directory-domein van de CA, idealiter de CA zelf, voor het starten van runbooks.

Het runbook moet een gekoppelde webhook hebben die is geïnitieerd vanuit hybrid Runbook Worker. Configureer de webhook-URL in het gebeurtenisabonnement van het Event Grid-systeemonderwerp.

Opslagaccountwachtrij

De opslagaccountwachtrij slaat de berichten op die de naam bevatten van het certificaat dat wordt vernieuwd en de sleutelkluis die het certificaat bevat. Configureer de opslagaccountwachtrij in het gebeurtenisabonnement van het Event Grid-systeemonderwerp. De wachtrij verwerkt het loskoppelen van het script van de meldings gebeurtenis voor het verlopen van het certificaat. Het ondersteunt het behouden van de gebeurtenis in een wachtrijbericht. Deze aanpak zorgt ervoor dat het vernieuwingsproces voor certificaten wordt herhaald via geplande taken, zelfs als er problemen zijn die optreden tijdens de uitvoering van het script.

Hybrid Runbook Worker

Hybrid Runbook Worker speelt een belangrijke rol bij het gebruik van runbooks. U moet Hybrid Runbook Worker installeren met de Azure Hybrid Worker-extensiemethode . Dit is de ondersteunde modus voor een nieuwe installatie. U maakt het en koppelt het aan een Windows Server-lid in hetzelfde Active Directory-domein van de CA, in het ideale ideale instantie de CA zelf.

Key Vault

Key Vault is de beveiligde opslagplaats voor certificaten. Koppel onder de gebeurtenissectie van de sleutelkluis het Event Grid-systeemonderwerp aan de webhook van het Automation-account en een abonnement.

Event Grid

Event Grid verwerkt gebeurtenisgestuurde communicatie in Azure. Configureer Event Grid door het systeemonderwerp en gebeurtenisabonnement in te stellen om relevante gebeurtenissen te bewaken. Relevante gebeurtenissen zijn waarschuwingen voor het verlopen van certificaten, het activeren van acties in de automatiseringswerkstroom en het plaatsen van berichten in de wachtrij van het opslagaccount. Configureer het Event Grid-systeemonderwerp met de volgende parameters:

  • Bron: De naam van de sleutelkluis met de certificaten.
  • Brontype: het type bron. Het brontype voor deze oplossing is Azure Key Vaultbijvoorbeeld .
  • Gebeurtenistypen: het gebeurtenistype dat moet worden bewaakt. Het gebeurtenistype voor deze oplossing is Microsoft.KeyVault.CertificateNearExpirybijvoorbeeld . Deze gebeurtenis wordt geactiveerd wanneer een certificaat bijna verloopt.
  • Abonnement voor webhook:
    • Abonnementsnaam: de naam van het gebeurtenisabonnement.
    • Eindpunttype: het type eindpunt dat moet worden gebruikt. Het eindpunttype voor deze oplossing is Webhookbijvoorbeeld .
    • Eindpunt: de URL van de webhook die is gekoppeld aan het Automation-accountrunbook. Zie de sectie Automation-account voor meer informatie.
  • Abonnement voor StorageQueue:
    • Abonnementsnaam: de naam van het gebeurtenisabonnement.
    • Eindpunttype: het type eindpunt dat moet worden gebruikt. Het eindpunttype voor deze oplossing is StorageQueuebijvoorbeeld .
    • Eindpunt: de wachtrij van het opslagaccount.

Log Analytics-werkruimte en Azure-werkmap

De oplossing maakt gebruik van Log Analytics Workspace en Azure Workbook om de bewaking en visualisatie van certificaatstatussen die zijn opgeslagen in Key Vault te verbeteren. Deze onderdelen spelen een cruciale rol bij het behoud van de zichtbaarheid van de certificaatstatus:

  • Log Analytics-werkruimte: verzamelt en slaat gegevens op met betrekking tot certificaatstatussen, waarbij wordt aangegeven of ze binnenkort verlopen of nog geldig zijn.

  • Azure-werkmap: haalt gegevens op uit de Log Analytics-werkruimte en presenteert deze in een dashboard met visuele weergaven, zoals cirkeldiagrammen en gedetailleerde tabellen, waarbij certificaten worden gecategoreerd in 'Niet verlopen' (groen), 'Binnenkort verlopen' (geel) en 'Verlopen' (rood).

Hier ziet u hoe certificaatgegevens worden opgehaald en weergegeven in de werkmap:

  • Uitvoering van runbook voor gegevensopname: een runbook, rechtstreeks uitgevoerd vanuit Azure (zonder de context van een Hybrid Worker), haalt certificaatgegevens op uit de Key Vault en verzendt deze informatie naar een aangepaste tabel die is gedefinieerd in de Log Analytics-werkruimte. Het runbook wordt uitgevoerd op een geplande frequentie.

  • Werkmapvisualisatie: een werkmap doorzoekt de gegevens uit de aangepaste tabel en geeft deze weer in een cirkeldiagram en een gedetailleerde tabel, waarbij certificaten worden gemarkeerd op basis van hun verloopstatus.

Door deze aanvullende onderdelen te integreren, bouwt uw oplossing een uitgebreidere benadering voor levenscyclusbeheer van certificaten.

Schermopname van het dashboard met de status van de certificaten.

Alternatieven

Deze oplossing maakt gebruik van een Automation-account voor het organiseren van het certificaatvernieuwingsproces en maakt gebruik van Hybrid Runbook Worker om de flexibiliteit te bieden om te integreren met een on-premises CA of in andere clouds.

Een alternatieve benadering is het gebruik van Logic Apps. Het belangrijkste verschil tussen de twee benaderingen is dat het Automation-account een PaaS-oplossing (Platform as a Service) is, terwijl Logic Apps een SaaS-oplossing (Software as a Service) is.

Het belangrijkste voordeel van Logic Apps is dat het een volledig beheerde service is. U hoeft zich geen zorgen te maken over de onderliggende infrastructuur. Logic Apps kan ook eenvoudig worden geïntegreerd met externe connectors, zodat de mogelijkheden voor meldingen worden uitgebreid, zoals het betrekken bij Microsoft Teams of Microsoft 365.

Logic Apps heeft geen functie die vergelijkbaar is met Hybrid Runbook Worker, wat resulteert in minder flexibele integratie met de CA, dus een Automation-account is de voorkeursbenadering.

Scenariodetails

Elke organisatie vereist een veilig en efficiënt beheer van de levenscyclus van hun certificaat. Het bijwerken van een certificaat voordat de vervaldatum kan leiden tot serviceonderbrekingen en aanzienlijke kosten voor het bedrijf.

Ondernemingen gebruiken doorgaans complexe IT-infrastructuren met meerdere teams die verantwoordelijk zijn voor de levenscyclus van het certificaat. De handmatige aard van het proces voor certificaatvernieuwing introduceert vaak fouten en verbruikt waardevolle tijd.

Deze oplossing biedt een oplossing voor de uitdagingen door het automatiseren van certificaatvernieuwing die is uitgegeven door Microsoft Certificate Service. De service wordt veel gebruikt voor verschillende servertoepassingen, zoals webservers, SQL-servers en voor versleuteling, niet-aanvragen, ondertekeningsdoeleinden en het garanderen van tijdige updates en veilige certificaatopslag in Key Vault. De compatibiliteit van de service met Azure-servers en on-premises servers ondersteunt flexibele implementatie.

Potentiële gebruikscases

Deze oplossing is geschikt voor organisaties in verschillende branches die:

  • Gebruik Microsoft Certificate Service voor het genereren van servercertificaten.
  • Automatisering in het proces voor certificaatvernieuwing vereisen om bewerkingen te versnellen en fouten te minimaliseren, waardoor bedrijfsverlies en SLA-schendingen (Service Level Agreement) worden voorkomen.
  • Veilige certificaatopslag vereisen in opslagplaatsen zoals Key Vault.

Deze architectuur fungeert als een basisimplementatiebenadering voor abonnementen op landingszones van toepassingen.

Overwegingen

Met deze overwegingen worden de pijlers van het Azure Well-Architected Framework geïmplementeerd. Dit is een set richtlijnen die u kunt gebruiken om de kwaliteit van een workload te verbeteren. Zie Microsoft Azure Well-Architected Framework voor meer informatie.

Beveiliging

Beveiliging biedt garanties tegen opzettelijke aanvallen en misbruik van uw waardevolle gegevens en systemen. Zie Overzicht van de beveiligingspijler voor meer informatie.

Binnen het Key Vault-systeem worden certificaten veilig opgeslagen als versleutelde geheimen, beveiligd door op rollen gebaseerd toegangsbeheer van Azure (RBAC).

Tijdens het proces voor certificaatvernieuwing zijn onderdelen die gebruikmaken van identiteiten:

  • Het systeemaccount van de Hybrid Runbook Worker, die werkt onder het account van de VIRTUELE machine.
  • De Key Vault-extensie, die gebruikmaakt van de beheerde identiteit die is gekoppeld aan de virtuele machine.
  • Het Automation-account, dat gebruikmaakt van de toegewezen beheerde identiteit.

Het principe van minimale bevoegdheden wordt strikt afgedwongen voor alle identiteiten die betrokken zijn bij de procedure voor certificaatvernieuwing.

Het systeemaccount van de Hybrid Runbook Worker-server moet het recht hebben om certificaten in te schrijven voor een of meer certificaatsjablonen die nieuwe certificaten genereren.

In de sleutelkluis met de certificaten moet de identiteit van het Automation-account de Key Vault Certificate Officer rol hebben. Daarnaast moeten servers waarvoor certificaattoegang is vereist, beschikken Get over en List machtigingen in het Key Vault-certificaatarchief.

In de wachtrij van het opslagaccount moet de Automation-accountidentiteit de Storage Queue Data Contributorrollen en Reader and Data AccessReader rollen hebben.

In scenario's waarin de Key Vault-extensie wordt geïmplementeerd op een Azure-VM, vindt de verificatie plaats via de beheerde identiteit van de VIRTUELE machine. Wanneer de verificatie echter wordt geïmplementeerd op een server met Azure Arc, wordt verificatie afgehandeld met behulp van een service-principal. Zowel de beheerde identiteit als de service-principal moeten worden toegewezen aan de sleutelkluis voor geheime gebruikersrol in de sleutelkluis waarin het certificaat wordt opgeslagen. U moet een geheime rol gebruiken omdat het certificaat als geheim is opgeslagen in de sleutelkluis.

Kostenoptimalisatie

Kostenoptimalisatie gaat over manieren om onnodige uitgaven te verminderen en operationele efficiëntie te verbeteren. Zie de controlelijst ontwerpbeoordeling voor Kostenoptimalisatie voor meer informatie.

Deze oplossing maakt gebruik van Azure PaaS-oplossingen die werken onder een framework voor betalen per gebruik om de kosten te optimaliseren. Uitgaven zijn afhankelijk van het aantal certificaten dat moet worden vernieuwd en het aantal servers dat is uitgerust met de Key Vault-extensie, wat resulteert in een lage overhead.

Uitgaven die het gevolg zijn van de Key Vault-extensie en de Hybrid Runbook Worker, zijn afhankelijk van uw installatieopties en polling-intervallen. De kosten van Event Grid komen overeen met het aantal gebeurtenissen dat door Key Vault wordt gegenereerd. Tegelijkertijd komen de kosten van het Automation-account overeen met het aantal runbooks dat u gebruikt.

De kosten van Key Vault zijn afhankelijk van verschillende factoren, waaronder uw gekozen SKU (Standard of Premium), de hoeveelheid opgeslagen certificaten en de frequentie van bewerkingen die op de certificaten worden uitgevoerd.

Vergelijkbare overwegingen als bij de configuraties die voor Key Vault worden beschreven, zijn evenzeer van toepassing op het opslagaccount. In dit scenario is een Standard-SKU met lokaal redundante opslagreplicatie voldoende voor het opslagaccount. Over het algemeen zijn de kosten van de opslagaccountwachtrij minimaal.

Als u de kosten voor het implementeren van deze oplossing wilt schatten, gebruikt u de Azure-prijscalculator en voert u de services in die in dit artikel worden beschreven.

Operationele uitmuntendheid

Operationele uitmuntendheid omvat de operationele processen die een toepassing implementeren en deze in productie houden. Zie de controlelijst ontwerpbeoordeling voor Operational Excellence voor meer informatie.

De automatische procedure voor certificaatvernieuwing slaat certificaten veilig op door middel van gestandaardiseerde processen die van toepassing zijn op alle certificaten in de sleutelkluis.

Integratie met Event Grid activeert aanvullende acties, zoals het melden van Microsoft Teams of Microsoft 365 en het stroomlijnen van het verlengingsproces. Deze integratie vermindert de vernieuwingstijd van certificaten aanzienlijk en vermindert het potentieel van fouten die kunnen leiden tot bedrijfsonderbrekingen en schendingen van SLA's.

Naadloze integratie met Azure Monitor, Microsoft Sentinel, Microsoft Copilot for Security en Microsoft Defender voor Cloud vereenvoudigt continue bewaking van het certificaatvernieuwingsproces. Het biedt ondersteuning voor anomaliedetectie en zorgt ervoor dat robuuste beveiligingsmaatregelen worden gehandhaafd.

Dit scenario implementeren

Selecteer de volgende knop om de omgeving te implementeren die in dit artikel wordt beschreven. De implementatie duurt ongeveer twee minuten en maakt een sleutelkluis, een Event Grid-systeemonderwerp dat is geconfigureerd met de twee abonnementen, een opslagaccount met de certificaatlc-wachtrij en een Automation-account met het runbook en de webhook die is gekoppeld aan Event Grid.

Implementeren in Azure

Gedetailleerde informatie over de parameters die nodig zijn voor de implementatie vindt u in de codevoorbeeldportal .

Belangrijk

U kunt een volledige testomgeving implementeren om de volledige werkstroom voor automatische certificaatvernieuwing te demonstreren. Gebruik het codevoorbeeld om de volgende resources te implementeren:

  • Active Directory-domein Services (AD DS) binnen een domeincontroller-VM.
  • Active Directory Certificate Services (AD CS) binnen een CA-VM die is gekoppeld aan het domein, geconfigureerd met een sjabloon, WebServerShort, voor het inschrijven van de certificaten die moeten worden vernieuwd.
  • Een SMTP-server (Windows Simple Mail Transfer Protocol) die is geïnstalleerd op dezelfde VM van de CA voor het verzenden van e-mailmeldingen. MailViewer wordt ook geïnstalleerd om de verzonden e-mailmeldingen te controleren.
  • De Key Vault-extensie die is geïnstalleerd op de VIRTUELE machine van de domeincontroller voor het ophalen van de vernieuwde certificaten uit de Key Vault-extensie.

Implementeren in Azure

Medewerkers

Dit artikel wordt onderhouden door Microsoft. De tekst is oorspronkelijk geschreven door de volgende Inzenders.

Belangrijkste auteurs:

Als u niet-openbare LinkedIn-profielen wilt zien, meldt u zich aan bij LinkedIn.

Key Vault
Key Vault-extensie voor Windows
Key Vault-extensie voor Linux
Wat is Azure Automation?
Azure Automation Hybrid Runbook Worker
Azure Event Grid