Odnawianie certyfikatów usługi Azure Key Vault

Usługa Azure Key Vault umożliwia łatwe aprowizowanie i wdrażanie certyfikatów cyfrowych dla sieci, zarządzanie nimi oraz włączanie bezpiecznej komunikacji dla aplikacji. Aby uzyskać więcej informacji na temat certyfikatów, zobacz About Azure Key Vault certificates (Informacje o certyfikatach usługi Azure Key Vault).

Dzięki korzystaniu z certyfikatów krótkotrwałych lub zwiększeniu częstotliwości rotacji certyfikatów można lepiej zapobiegać dostępowi do aplikacji przez nieautoryzowanych użytkowników.

W tym artykule omówiono sposób odnawiania certyfikatów usługi Azure Key Vault.

Otrzymywanie powiadomień o wygaśnięciu certyfikatu

Aby otrzymywać powiadomienia o zdarzeniach dotyczących życia certyfikatu, należy dodać kontakt z certyfikatem. Kontakty certyfikatów zawierają informacje kontaktowe do wysyłania powiadomień wyzwalanych przez zdarzenia okresu istnienia certyfikatu. Informacje o kontaktach są udostępniane przez wszystkie certyfikaty w magazynie kluczy. Powiadomienie jest wysyłane do wszystkich określonych kontaktów dla zdarzenia dla dowolnego certyfikatu w magazynie kluczy.

Procedura ustawiania powiadomień o certyfikacie

Najpierw dodaj kontakt z certyfikatem do magazynu kluczy. Możesz dodać za pomocą witryny Azure Portal lub polecenia cmdlet programu PowerShell Add-AzKeyVaultCertificateContact.

Po drugie skonfiguruj, gdy chcesz otrzymywać powiadomienia o wygaśnięciu certyfikatu. Aby skonfigurować atrybuty cyklu życia certyfikatu, zobacz Konfigurowanie autorotacji certyfikatu w usłudze Key Vault.

Jeśli zasady certyfikatu są ustawione na automatyczne odnawianie, powiadomienie jest wysyłane na następujące zdarzenia:

• Przed odnowieniem certyfikatu
• Po odnowieniu certyfikatu sprawdź, czy certyfikat został pomyślnie odnowiony, czy wystąpił błąd, co wymaga ręcznego odnowienia certyfikatu.

Jeśli zasady certyfikatu mają być odnawiane ręcznie (tylko wiadomość e-mail), zostanie wysłane powiadomienie, gdy nadszedł czas na odnowienie certyfikatu.

W usłudze Key Vault istnieją trzy kategorie certyfikatów:

• Certyfikaty tworzone przy użyciu zintegrowanego urzędu certyfikacji, takiego jak DigiCert lub GlobalSign.
• Certyfikaty tworzone przy użyciu nieintegrowanego urzędu certyfikacji.
• Certyfikaty z podpisem własnym.

Odnawianie zintegrowanego certyfikatu urzędu certyfikacji

Usługa Azure Key Vault obsługuje kompleksową konserwację certyfikatów wystawionych przez zaufane urzędy certyfikacji firmy Microsoft DigiCert i GlobalSign. Dowiedz się, jak zintegrować zaufany urząd certyfikacji z usługą Key Vault. Po odnowieniu certyfikatu zostanie utworzona nowa wersja wpisu tajnego przy użyciu nowego identyfikatora usługi Key Vault.

Odnów niezintegrowany certyfikat urzędu certyfikacji

Korzystając z usługi Azure Key Vault, można importować certyfikaty z dowolnego urzędu certyfikacji, co pozwala na integrację z kilkoma zasobami platformy Azure i ułatwić wdrażanie. Jeśli martwisz się o utratę śledzenia dat wygaśnięcia certyfikatu lub, co gorsza, okazało się, że certyfikat już wygasł, magazyn kluczy może pomóc w utrzymaniu aktualności. W przypadku niezintegrowanych certyfikatów urzędu certyfikacji magazyn kluczy umożliwia skonfigurowanie powiadomień e-mail o zbliżającym się wygaśnięciu. Takie powiadomienia można również ustawić dla kilku użytkowników.

Ważne

Certyfikat jest obiektem w wersji. Jeśli bieżąca wersja wygaśnie, musisz utworzyć nową wersję. Koncepcyjnie każda nowa wersja to nowy certyfikat składający się z klucza i obiektu blob, który łączy ten klucz z tożsamością. W przypadku korzystania z niepartnerowanego urzędu certyfikacji magazyn kluczy generuje parę klucz/wartość i zwraca żądanie podpisania certyfikatu (CSR).

Aby odnowić certyfikat urzędu certyfikacji bez liczby całkowitej:

Witryna Azure Portal

1. Zaloguj się do witryny Azure Portal, a następnie otwórz certyfikat, który chcesz odnowić.
2. W okienku certyfikatu wybierz pozycję Nowa wersja.
3. Na stronie Tworzenie certyfikatu upewnij się, że opcja Generuj jest wybrana w obszarze Metoda tworzenia certyfikatu.
4. Sprawdź Temat i inne szczegóły dotyczące certyfikatu, a następnie wybierz pozycję Utwórz.
5. Powinien zostać wyświetlony komunikat Tworzenie nazwy >> certyfikatu << jest obecnie oczekujące. Kliknij tutaj, aby przejść do operacji certyfikatu, aby monitorować postęp
6. Kliknij komunikat. Powinno wyświetlić się nowe okienko. W okienku powinien widnieć stan „W toku”. W tym momencie usługa Key Vault wygenerowała plik CSR, który można pobrać przy użyciu opcji Pobierz plik CSR.
7. Wybierz pozycję Pobierz plik CSR, aby pobrać plik CSR na dysk lokalny.
8. Wyślij plik CSR do wybranego urzędu certyfikacji, by podpisać żądanie.
9. Wróć do podpisanego żądania i wybierz pozycję Scal podpisane żądanie w tym samym okienku operacji certyfikatu.
10. Stan po scaleniu będzie wyświetlany w okienku Ukończono. W głównym okienku certyfikatu możesz nacisnąć pozycję Odśwież, aby wyświetlić nową wersję certyfikatu.

Interfejs wiersza polecenia platformy Azure

Użyj polecenia az keyvault certificate create interfejsu wiersza polecenia platformy Azure, podając nazwę certyfikatu, który chcesz odnowić:

az keyvault certificate create --vault-name "<your-unique-keyvault-name>" -n "<name-of-certificate-to-renew>" -p "$(az keyvault certificate get-default-policy)"

Po odnowieniu certyfikatu można wyświetlić wszystkie wersje certyfikatu przy użyciu polecenia az keyvault certificate list-versions interfejsu wiersza polecenia platformy Azure:

az keyvault certificate list-versions --vault-name "<your-unique-keyvault-name>" -n "<name-of-renewed-certificate>"

Azure PowerShell

Użyj polecenia cmdlet New-AzKeyVaultCertificatePolicy programu Azure PowerShell, podając nazwę certyfikatu, który chcesz odnowić:

$Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "Self" -ValidityInMonths 6 -ReuseKeyOnRenewal

Add-AzKeyVaultCertificate -VaultName "<your-unique-keyvault-name>" -Name "<name-of-certificate-to-renew>" -CertificatePolicy $Policy

Po odnowieniu certyfikatu można wyświetlić wszystkie wersje certyfikatu przy użyciu polecenia cmdlet Get-AzKeyVaultCertificate programu Azure PowerShell:

Get-AzKeyVaultCertificate "<your-unique-keyvault-name>" -Name "<name-of-renewed-certificate>" -IncludeVersions

Uwaga

Ważne jest scalenie podpisanego żądania CSR z tym samym utworzonym żądaniem CSR. W przeciwnym razie klucz nie będzie zgodny.

Aby uzyskać więcej informacji na temat tworzenia nowego csr, zobacz Tworzenie i scalanie csr w usłudze Key Vault.

Odnawianie certyfikatu z podpisem własnym

Usługa Azure Key Vault obsługuje również autorenewal certyfikatów z podpisem własnym. Aby dowiedzieć się więcej na temat zmieniania zasad wystawiania i aktualizowania atrybutów cyklu życia certyfikatu, zobacz Konfigurowanie autorotation certyfikatu w usłudze Key Vault.

Następne kroki

• Często zadawane pytania dotyczące odnawiania certyfikatu usługi Azure Key Vault
• Integrowanie usługi Key Vault z urzędem certyfikacji Firmy DigiCert
• Samouczek: konfigurowanie autorotacji certyfikatu w usłudze Key Vault