Zelfstudie: Automatische rotatie van certificaten configureren in Key Vault
U kunt eenvoudig digitale certificaat inrichten, beheren en implementeren met behulp van Azure Key Vault. De certificaten kunnen openbare en privé SSL- (Secure Sockets Layer) of TSL-certificaten (Transport Layer Security) zijn en ondertekend zijn door een certificeringsinstantie (CA) of een zelfondertekend certificaat zijn. Key Vault kan ook nieuwe certificaten aanvragen en verlengen via partnerschappen met CA's, wat een robuuste oplossing biedt voor het levenscyclusbeheer van certificaten. In deze zelfstudie werkt u de geldigheidsperiode, frequentie van automatische rotatie en CA-kenmerken van een certificaat bij.
In deze zelfstudie leert u het volgende:
- Een certificaat beheren met de Azure-portal.
- Een CA-provideraccount toevoegen.
- De geldigheidsperiode van het certificaat bijwerken.
- De frequentie van automatische rotatie van het certificaat bijwerken.
- De kenmerken van het certificaat bijwerken met Azure PowerShell.
Lees voordat u verdergaat eerst Basisconcepten van Key Vault.
Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.
Aanmelden bij Azure
Meld u aan bij het Azure-portaal.
Een kluis maken
Maak een sleutelkluis met behulp van een van de volgende drie methoden:
- Een sleutelkluis maken met behulp van Azure Portal
- Een sleutelkluis maken met behulp van de Azure CLI
- Een sleutelkluis maken met Behulp van Azure PowerShell
Een certificaat maken in Key Vault
Maak een certificaat of importeer een certificaat in de sleutelkluis (zie Stappen voor het maken van een certificaat in Key Vault. In dit geval werkt u met een certificaat die Voorbeeldcertificaat heet.
De levenscycluskenmerken van een certificaat bijwerken
In Azure Key Vault kunt u de levenscycluskenmerken van een certificaat bijwerken op het moment dat het certificaat is gemaakt of daarna.
Een certificaat dat wordt gemaakt in Key Vault kan de volgende vorm aannemen:
- Een zelfondertekend certificaat.
- Een certificaat dat is gemaakt met een CA die partner is van Key Vault.
- Een certificaat met een CA die geen partner is van Key Vault.
De volgende CA's zijn momenteel partners van Key Vault:
- DigiCert: Key Vault biedt OV- of EV TLS/SSL-certificaten.
- GlobalSign: Key Vault biedt OV- of EV TLS/SSL-certificaten.
Key Vault roteert automatisch certificaten via gevestigde partnerschappen met CA's. Omdat Key Vault certificaten automatisch aanvraagt en verlengt via het partnerschap, is de mogelijkheid voor automatisch rouleren niet van toepassing op certificaten die zijn gemaakt met CA's die niet zijn gekoppeld aan Key Vault.
Notitie
Een accountbeheerder voor een CA-provider maakt referenties die Key Vault gebruikt om TLS-/SSL-certificaten te maken, vernieuwen en gebruiken.
Levenscycluskenmerken van het certificaat bijwerken op het moment van maken
Selecteer op de eigenschappenpagina's van de sleutelkluis Certificaten.
Selecteer Genereren/Importeren.
Werk op het scherm Een certificaat maken de volgende waarden bij:
Geldigheidsperiode: voer de waarde in (in maanden). Het maken van certificaten met een kort leven is een aanbevolen beveiligingspractice. Standaard is de geldigheidswaarde van nieuwe gemaakte certificaten 12 maanden.
Actietype Levensduur: selecteer de actie voor automatisch verlengen en waarschuwen van het certificaat en werk vervolgens de levensduur van het percentage of het aantal dagen vóór de vervaldatum bij. Standaard is de automatische verlenging van een certificaat ingesteld op 80% van de levensduur. Selecteer een van de volgende opties uit het vervolgkeuzemenu.
Automatische verlenging op een bepaald moment Alle contactpersonen e-mailen op een bepaald moment Als u deze optie selecteert, wordt automatische rotatie ingeschakeld. Als u deze optie selecteert, wordt automatische rotatie niet ingeschakeld, maar worden alleen contactpersonen gewaarschuwd. Meer informatie over het instellen van e-mailcontactpersoon vindt u hier
Selecteer Maken.
De levenscycluskenmerken van een bewaard certificaat bijwerken
Selecteer de sleutelkluis.
Selecteer op de eigenschappenpagina's van de sleutelkluis Certificaten.
Selecteer het certificaat dat u wilt bijwerken. In dit geval werkt u met een certificaat die Voorbeeldcertificaat heet.
Selecteer Uitgiftebeleid in de bovenste menubalk.
Werk op het scherm Uitgiftebeleid de volgende waarden bij:
- Geldigheidsperiode: werk de waarde (in maanden) bij.
- Actietype levensduur: selecteer de actie voor automatisch verlengen en waarschuwen van het certificaat en werk vervolgens het percentage levensduur of aantal dagen bij voordat het verloopt.
Selecteer Opslaan.
Belangrijk
Als u de het actietype Levensduur van een certificaat verandert, worden bewerkingen voor bestaande certificaten onmiddellijk geregistreerd.
Certificaatkenmerken bijwerken met PowerShell
Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName
-Name $certificateName
-RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]
Tip
Als u het verlengingsbeleid voor een lijst met certificaten wilt wijzigen, voert u File.csv
dit in, VaultName,CertName
zoals in het volgende voorbeeld:
vault1,Cert1
vault2,Cert2
$file = Import-CSV C:\Users\myfolder\ReadCSVUsingPowershell\File.csv
foreach($line in $file)
{
Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName -Name $certificateName -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]
}
Raadpleeg az keyvault certificate voor meer informatie over de parameters.
Resources opschonen
Andere Key Vault-zelfstudies borduren voort op deze zelfstudie. Als u van plan bent om met deze zelfstudies aan de slag te gaan, is het misschien handig om deze resources te bewaren. Wanneer u die niet meer nodig hebt, verwijdert u de resourcegroep. Hierdoor worden ook de sleutelkluis en de gerelateerde resources verwijderd.
De resourcegroep verwijderen via de portal:
- Typ de naam van uw resourcegroep in het zoekvak bovenaan de portal. Wanneer de in deze quickstart gebruikte resourcegroep in de zoekresultaten verschijnt, selecteert u deze.
- Selecteer Resourcegroep verwijderen.
- Typ in het vak TYP DE NAAM VAN DE RESOURCEGROEP de naam van de resourcegroep en selecteer vervolgens Verwijderen.
Volgende stappen
In deze zelfstudie hebt u de levenscycluskenmerken van een certificaat bijgewerkt. Voor meer informatie over Key Vault en hoe u Key Vault integreert met uw toepassingen gaat u verder met een van de volgende artikelen:
- Lees meer over Certificaten maken beheren in Azure Key Vault.
- Raadpleeg het Overzicht van Key Vault.