Samouczek: konfigurowanie automatycznego obracania certyfikatów w usłudze Key Vault

Możesz łatwo aprowizować i wdrażać certyfikaty cyfrowe oraz zarządzać nimi przy użyciu usługi Azure Key Vault. Certyfikaty mogą być certyfikatami publicznymi i prywatnymi Secure Sockets Layer (SSL)/Transport Layer Security (TLS) podpisanymi przez urząd certyfikacji lub certyfikatem z podpisem własnym. Usługa Key Vault może również żądać i odnawiać certyfikaty za pośrednictwem partnerstwa z urzędami certyfikacji, zapewniając niezawodne rozwiązanie do zarządzania cyklem życia certyfikatów. W tym samouczku zaktualizujesz okres ważności certyfikatu, częstotliwość automatycznej rotacji i atrybuty urzędu certyfikacji.

Ten samouczek przedstawia sposób wykonania następujących czynności:

• Zarządzanie certyfikatem przy użyciu witryny Azure Portal.
• Dodaj konto dostawcy urzędu certyfikacji.
• Zaktualizuj okres ważności certyfikatu.
• Zaktualizuj częstotliwość automatycznego obracania certyfikatu.
• Zaktualizuj atrybuty certyfikatu przy użyciu programu Azure PowerShell.

Przed rozpoczęciem zapoznaj się z podstawowymi pojęciami dotyczącymi usługi Key Vault.

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Logowanie się do platformy Azure

Zaloguj się w witrynie Azure Portal.

Tworzenie magazynu

Utwórz magazyn kluczy przy użyciu jednej z następujących trzech metod:

• Tworzenie magazynu kluczy przy użyciu witryny Azure Portal
• Tworzenie magazynu kluczy przy użyciu interfejsu wiersza polecenia platformy Azure
• Tworzenie magazynu kluczy przy użyciu programu Azure PowerShell

Tworzenie certyfikatu w usłudze Key Vault

Utwórz certyfikat lub zaimportuj certyfikat do magazynu kluczy (zobacz Kroki tworzenia certyfikatu w usłudze Key Vault. W takim przypadku będziesz pracować nad certyfikatem o nazwie ExampleCertificate.

Aktualizowanie atrybutów cyklu życia certyfikatu

W usłudze Azure Key Vault można zaktualizować atrybuty cyklu życia certyfikatu zarówno w momencie utworzenia certyfikatu, jak i po nim.

Certyfikat utworzony w usłudze Key Vault może być:

• Certyfikat z podpisem własnym.
• Certyfikat utworzony przy użyciu urzędu certyfikacji, który współpracuje z usługą Key Vault.
• Certyfikat z urzędem certyfikacji, który nie jest partnerem usługi Key Vault.

Następujące urzędy certyfikacji są obecnie dostawcami partnerskimi w usłudze Key Vault:

• DigiCert: usługa Key Vault oferuje certyfikaty OV lub EV TLS/SSL.
• GlobalSign: usługa Key Vault oferuje certyfikaty OV lub EV TLS/SSL.

Usługa Key Vault automatycznie obraca certyfikaty za pośrednictwem ustanowionych partnerstw z urzędami certyfikacji. Ponieważ usługa Key Vault automatycznie żąda i odnawia certyfikaty za pośrednictwem partnerstwa, funkcja automatycznego obracania nie ma zastosowania do certyfikatów utworzonych za pomocą urzędów certyfikacji, które nie są partnerem usługi Key Vault.

Uwaga

Administrator konta dostawcy urzędu certyfikacji tworzy poświadczenia używane przez usługę Key Vault do tworzenia, odnawiania i używania certyfikatów TLS/SSL.

Aktualizowanie atrybutów cyklu życia certyfikatu podczas tworzenia

1. Na stronach właściwości usługi Key Vault wybierz pozycję Certyfikaty.

2. Wybierz Generuj/Import.

3. Na ekranie Tworzenie certyfikatu zaktualizuj następujące wartości:

   • Okres ważności: wprowadź wartość (w miesiącach). Tworzenie certyfikatów krótkotrwałych jest zalecaną praktyką zabezpieczeń. Domyślnie wartość ważności nowo utworzonego certyfikatu wynosi 12 miesięcy.

   • Typ akcji okresu istnienia: wybierz akcję automatycznego odnawiania i zgłaszania alertów certyfikatu, a następnie zaktualizuj okres istnienia procentu lub liczbę dni przed wygaśnięciem. Domyślnie automatyczne odnawianie certyfikatu jest ustawiane na 80 procent jego okresu istnienia. Z menu rozwijanego wybierz jedną z następujących opcji.

     Automatyczne odnawianie w danym momencie	Wyślij wiadomość e-mail do wszystkich kontaktów w danym momencie
     Wybranie tej opcji spowoduje włączenie autorotacji.	Wybranie tej opcji nie spowoduje automatycznego obracania, ale będzie otrzymywać alerty tylko o kontaktach.

     Tutaj możesz dowiedzieć się więcej o konfigurowaniu kontaktu e-mail

4. Wybierz pozycję Utwórz.

Aktualizowanie atrybutów cyklu życia przechowywanego certyfikatu

1. Wybierz magazyn kluczy.

2. Na stronach właściwości usługi Key Vault wybierz pozycję Certyfikaty.

3. Wybierz certyfikat, który chcesz zaktualizować. W takim przypadku będziesz pracować nad certyfikatem o nazwie ExampleCertificate.

4. Wybierz pozycję Zasady wystawiania na górnym pasku menu.

   

5. Na ekranie Zasady wystawiania zaktualizuj następujące wartości:

   • Okres ważności: zaktualizuj wartość (w miesiącach).
   • Typ akcji okresu istnienia: wybierz akcję automatycznego odnawiania i zgłaszania alertów certyfikatu, a następnie zaktualizuj okres istnienia procentu lub liczbę dni przed wygaśnięciem.

   

6. Wybierz pozycję Zapisz.

Ważne

Zmiana typu akcji okresu istnienia certyfikatu spowoduje natychmiastowe zarejestrowanie modyfikacji istniejących certyfikatów.

Aktualizowanie atrybutów certyfikatu przy użyciu programu PowerShell

Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName 
                                   -Name $certificateName 
                                   -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]

Napiwek

Aby zmodyfikować zasady odnawiania dla listy certyfikatów, wprowadź wartość File.csv zawierającą VaultName,CertName tak, jak w poniższym przykładzie:
vault1,Cert1​
vault2,Cert2​

$file = Import-CSV C:\Users\myfolder\ReadCSVUsingPowershell\File.csv ​
foreach($line in $file)​
{​
Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName -Name $certificateName -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]
}

Aby dowiedzieć się więcej o parametrach, zobacz az keyvault certificate (az keyvault certificate).

Czyszczenie zasobów

Inne samouczki usługi Key Vault bazują na tym samouczku. Jeśli planujesz pracę z tymi samouczkami, możesz pozostawić te istniejące zasoby. Gdy grupa zasobów nie jest już potrzebna, usuń grupę zasobów, która usuwa magazyn kluczy i powiązane zasoby.

Aby usunąć grupę zasobów przy użyciu portalu:

1. Wprowadź nazwę grupy zasobów w polu Wyszukaj w górnej części portalu. Gdy grupa zasobów używana w tym przewodniku Szybki start pojawi się w wynikach wyszukiwania, wybierz ją.
2. Wybierz pozycję Usuń grupę zasobów.
3. W polu WPISZ NAZWĘ GRUPY ZASOBÓW: wpisz nazwę grupy zasobów, a następnie wybierz pozycję Usuń.

Następne kroki

W tym samouczku zaktualizowano atrybuty cyklu życia certyfikatu. Aby dowiedzieć się więcej o usłudze Key Vault i sposobie jej integracji z aplikacjami, przejdź do następujących artykułów:

• Przeczytaj więcej na temat zarządzania tworzeniem certyfikatów w usłudze Azure Key Vault.
• Zapoznaj się z omówieniem usługi Key Vault.