Na cibersegurança, a configuração da renovação automática de certificados é importante para manter um ambiente seguro e fiável. A falha na atualização ou renovação de certificados em tempo hábil expõe os sistemas a vulnerabilidades. As áreas potencialmente vulneráveis incluem:
- Certificados TLS/SSL expirados.
- Redes sujeitas a potenciais violações.
- Dados confidenciais que não são seguros.
- Serviços que ficam inativos para processos business-to-business.
- Perda de reputação da marca que compromete a integridade e confidencialidade das transações digitais.
O Azure Key Vault suporta a renovação automática de certificados emitidos por uma autoridade de certificação (AC) integrada, como a DigiCert ou a GlobalSign. Para uma autoridade de certificação não integrada, é necessária uma abordagem manual .
Este artigo preenche a lacuna, fornecendo um processo de renovação automática adaptado a certificados de autoridades de certificação não integradas. Esse processo armazena perfeitamente os novos certificados no Cofre da Chave, melhora a eficiência, aumenta a segurança e simplifica a implantação integrando-se a vários recursos do Azure.
Um processo de renovação automática reduz o erro humano e minimiza as interrupções do serviço. Quando você automatiza a renovação de certificados, isso não apenas acelera o processo de renovação, mas diminui a probabilidade de erros que podem ocorrer durante o tratamento manual. Ao usar os recursos do Key Vault e suas extensões, você pode criar um processo automático eficiente para otimizar as operações e a confiabilidade.
Embora a renovação automática de certificados seja o foco inicial, um objetivo mais amplo é melhorar a segurança em todas as áreas do processo. Esse esforço inclui como implementar o princípio de menor privilégio (PoLP) ou controles de acesso semelhantes usando o Cofre de Chaves. Ele também enfatiza a importância de práticas robustas de registro e monitoramento para o Key Vault. Este artigo destaca a importância de usar o Key Vault para fortalecer todo o ciclo de vida do gerenciamento de certificados e demonstra que os benefícios de segurança não se limitam ao armazenamento de certificados.
Você pode usar o Cofre da Chave e seu processo de renovação automática para atualizar continuamente os certificados. A renovação automática desempenha um papel importante no processo de implantação e ajuda os serviços do Azure que se integram ao Cofre da Chave a se beneficiarem de certificados atualizados. Este artigo fornece informações sobre como a renovação contínua e a acessibilidade contribuem para a eficiência geral da implantação e a confiabilidade dos serviços do Azure.
Arquitetura
Aqui está uma breve visão geral da arquitetura subjacente que alimenta essa solução.
Transfira um ficheiro do Visio desta arquitetura.
O ambiente do Azure compreende os seguintes recursos de plataforma como serviço (PaaS): um Cofre de Chaves dedicado a armazenar certificados emitidos apenas pela mesma CA não integrada, um tópico do sistema de Grade de Eventos do Azure, uma fila de contas de armazenamento e uma conta de Automação do Azure que expõe um webhook direcionado pela Grade de Eventos.
Este cenário pressupõe que uma infraestrutura de chave pública (PKI) existente já está em vigor e consiste em uma autoridade de certificação Microsoft Enterprise associada a um domínio no Microsoft Entra ID. Tanto a PKI quanto o domínio do Ative Directory podem residir no Azure ou no local e os servidores que devem ser configurados para a renovação de certificados.
As máquinas virtuais (VMs) com certificados para monitorar a renovação não precisam ser associadas ao Ative Directory ou ao Microsoft Entra ID. O único requisito é que a autoridade de certificação e o trabalhador híbrido, se localizados em uma VM diferente da autoridade de certificação, sejam associados ao Ative Directory.
As seções a seguir fornecem detalhes do processo de renovação automática.
Fluxo de Trabalho
Esta imagem mostra o fluxo de trabalho automático para renovação de certificados no ecossistema do Azure.
Configuração do Cofre de Chaves: A fase inicial do processo de renovação envolve o armazenamento do objeto de certificado na seção Certificados designada do Cofre de Chaves.
Embora não seja obrigatório, você pode configurar notificações por e-mail personalizadas marcando o certificado com o endereço de e-mail do destinatário. A marcação do certificado garante notificações oportunas quando o processo de renovação for concluído. Se forem necessários vários destinatários, separe os seus endereços de e-mail por vírgula ou ponto e vírgula. O nome da tag para essa finalidade é Destinatário e seu valor é um ou mais endereços de e-mail dos administradores designados.
Ao usar tags em vez de notificações de certificado internas, você pode aplicar notificações a um certificado específico com um destinatário designado. As notificações de certificado incorporadas aplicam-se indiscriminadamente a todos os certificados no cofre de chaves e utilizam o mesmo destinatário para todos.
Você pode integrar notificações internas com a solução, mas usar uma abordagem diferente. Embora as notificações internas só possam notificar sobre uma próxima expiração do certificado, as tags podem enviar notificações quando o certificado for renovado na autoridade de certificação interna e quando estiver disponível no Cofre da Chave.
Configuração da extensão Key Vault: Você deve equipar os servidores que precisam usar os certificados com a extensão Key Vault, uma ferramenta versátil compatível com sistemas Windows e Linux . Há suporte para servidores IaaS (infraestrutura como serviço) do Azure e servidores locais ou em nuvem que se integram por meio do Azure Arc . Configure a extensão Key Vault para sondar periodicamente o Key Vault em busca de certificados atualizados. O intervalo de sondagem é personalizável e flexível para que possa alinhar-se com requisitos operacionais específicos.
Integração com Grade de Eventos: À medida que um certificado se aproxima da expiração, duas assinaturas de Grade de Eventos intercetam esse importante evento vitalício do cofre de chaves.
Gatilhos de Grade de Eventos: Uma assinatura de Grade de Eventos envia informações de renovação de certificado para uma fila de conta de armazenamento. A outra assinatura dispara o lançamento de um runbook através do webhook configurado na conta de automação. Se o runbook não conseguir renovar o certificado ou se a autoridade de certificação não estiver disponível, um processo agendado tentará renovar novamente o runbook a partir desse ponto até que a fila seja limpa. Este processo torna a solução robusta.
Para melhorar a resiliência da solução, configure um mecanismo de localização de letra morta. Ele gerencia possíveis erros que podem ocorrer durante o trânsito de mensagens da Grade de Eventos para os destinos de assinatura, a fila de armazenamento e o webhook.
Fila de contas de armazenamento: o runbook é iniciado no servidor da autoridade de certificação configurado como um Automation Hybrid Runbook Worker. Ele recebe todas as mensagens na fila da conta de armazenamento que contêm o nome do certificado que expira e o cofre de chaves que hospeda o runbook. As etapas a seguir ocorrem para cada mensagem na fila.
Renovação de certificado: o script no runbook se conecta ao Azure para recuperar o nome do modelo do certificado que você configurou durante a geração. O modelo é o componente de configuração da autoridade de certificação que define os atributos e a finalidade dos certificados a serem gerados.
Depois que o script faz interface com o Cofre da Chave, ele inicia uma solicitação de renovação de certificado. Essa solicitação aciona o Cofre da Chave para gerar uma solicitação de assinatura de certificado (CSR) e aplica o mesmo modelo que gerou o certificado original. Esse processo garante que o certificado renovado esteja alinhado com as políticas de segurança predefinidas. Para obter mais informações sobre segurança no processo de autenticação e autorização, consulte a seção Segurança .
O script baixa o CSR e o envia para a autoridade de certificação.
A autoridade de certificação gera um novo certificado x509 com base no modelo correto e o envia de volta para o script. Esta etapa garante que o certificado renovado esteja alinhado com as políticas de segurança predefinidas.
Mesclagem de certificados e atualização do Cofre de Chaves: o script mescla o certificado renovado de volta ao cofre de chaves, finalizando o processo de atualização e removendo a mensagem da fila. Durante todo o processo, a chave privada do certificado nunca é extraída do cofre de chaves.
Monitoramento e notificação por email: todas as operações executadas por vários componentes do Azure, como uma conta de automação, cofre de chaves, uma fila de conta de armazenamento e grade de eventos, são registradas no espaço de trabalho Logs do Azure Monitor para habilitar o monitoramento. Depois que o certificado é mesclado no cofre de chaves, o script envia uma mensagem de e-mail aos administradores para notificá-los sobre o resultado.
Recuperação de certificados: a extensão do Cofre de Chaves no servidor desempenha um papel importante durante esta fase. Ele baixa automaticamente a versão mais recente do certificado do cofre de chaves para o armazenamento local do servidor que está usando o certificado. Você pode configurar vários servidores com a extensão Cofre da Chave para recuperar o mesmo certificado (curinga ou com vários certificados SAN (Nome Alternativo da Entidade) do cofre de chaves.
Componentes
A solução usa vários componentes para lidar com a renovação automática de certificados no Azure. As seções a seguir descrevem cada componente e sua finalidade específica.
Extensão do Key Vault
A extensão Key Vault desempenha um papel vital na automação da renovação de certificados e deve ser instalada em servidores que exigem a automação. Para obter mais informações sobre procedimentos de instalação em servidores Windows, consulte Extensão Key Vault para Windows. Para obter mais informações sobre as etapas de instalação para servidores Linux, consulte Key Vault extension for Linux. Para obter mais informações sobre servidores habilitados para ArcGIS do Azure, consulte Extensão Key Vault para servidores habilitados para Arc.
Nota
A seguir estão scripts de exemplo que você pode executar a partir do Azure Cloud Shell para configurar a extensão Key Vault:
Os parâmetros de configuração da extensão Key Vault incluem:
- Nome do Cofre da Chave: O cofre da chave que contém o certificado para renovação.
- Nome do certificado: O nome do certificado a ser renovado.
- Armazenamento de certificados, nome e local: o armazenamento de certificados onde o certificado está armazenado. Em servidores Windows, o valor padrão para Name e
My
Location éLocalMachine
, que é o armazenamento de certificados pessoais do computador. Em servidores Linux, você pode especificar um caminho do sistema de arquivos, supondo que o valor padrão sejaAzureKeyVault
, que é o armazenamento de certificados para o Cofre de Chaves. - linkOnRenewal: um sinalizador que indica se o certificado deve ser vinculado ao servidor na renovação. Se definido como
true
em máquinas Windows, ele copia o novo certificado no armazenamento e o vincula ao certificado antigo, o que efetivamente revincula o certificado. O valor padrão significafalse
que uma ligação explícita é necessária. - pollingIntervalInS: O intervalo de sondagem para a extensão do Cofre da Chave para verificar se há atualizações de certificado. O valor padrão é
3600
segundos (1 hora). - authenticationSetting: A configuração de autenticação para a extensão Key Vault. Para servidores do Azure, você pode omitir essa configuração, o que significa que a identidade gerenciada atribuída pelo sistema da VM é usada no cofre de chaves. Para servidores locais, especificar a configuração
msiEndpoint = "http://localhost:40342/metadata/identity"
significa o uso da entidade de serviço associada ao objeto de computador criado durante a integração do Azure Arc.
Nota
Especifique os parâmetros de extensão do Key Vault somente durante a configuração inicial. Isso garante que eles não sofrerão alterações ao longo do processo de renovação.
Conta de automatização
A conta de automação lida com o processo de renovação do certificado. Você precisa configurar a conta com um runbook usando o script do PowerShell.
Você também precisa criar um Grupo de Trabalhadores Híbridos. Associe o Grupo de Trabalho Híbrido a um membro do Windows Server do mesmo domínio do Ative Directory da autoridade de certificação, idealmente a própria autoridade de certificação, para iniciar runbooks.
O runbook deve ter um webhook associado iniciado a partir do Hybrid Runbook Worker. Configure a URL do webhook no evento de assinatura do tópico do sistema Event Grid.
Fila de contas de armazenamento
A fila da conta de armazenamento armazena as mensagens que contêm o nome do certificado que está sendo renovado e o cofre de chaves que contém o certificado. Configure a fila da conta de armazenamento no evento de assinatura do tópico Sistema de grade de eventos. A fila lida com o desacoplamento do script do evento de notificação de expiração do certificado. Ele suporta a persistência do evento dentro de uma mensagem de fila. Essa abordagem ajuda a garantir que o processo de renovação de certificados seja repetido por meio de trabalhos agendados, mesmo que haja problemas durante a execução do script.
Função de Trabalho de Runbook Híbrida
O Hybrid Runbook Worker desempenha um papel vital no uso de runbooks. Você precisa instalar o Hybrid Runbook Worker com o método de extensão Azure Hybrid Worker, que é o modo com suporte para uma nova instalação. Você o cria e o associa a um membro do Windows Server no mesmo domínio do Ative Directory da autoridade de certificação, idealmente a própria autoridade de certificação.
Key Vault
O Key Vault é o repositório seguro de certificados. Na seção de eventos do cofre de chaves, associe o tópico do sistema de Grade de Eventos ao webhook da conta de Automação e a uma assinatura.
Event Grid
A Grade de Eventos lida com a comunicação controlada por eventos no Azure. Configure a Grade de Eventos configurando o tópico do sistema e a assinatura de eventos para monitorar eventos relevantes. Os eventos relevantes incluem alertas de expiração de certificado, acionamento de ações no fluxo de trabalho de automação e lançamento de mensagens na fila da conta de armazenamento. Configure o tópico do sistema Grade de Eventos com os seguintes parâmetros:
- Fonte: O nome do cofre de chaves que contém os certificados.
- Tipo de fonte: O tipo da fonte. Por exemplo, o tipo de origem para esta solução é
Azure Key Vault
. - Tipos de evento: O tipo de evento a ser monitorado. Por exemplo, o tipo de evento para esta solução é
Microsoft.KeyVault.CertificateNearExpiry
. Esse evento é acionado quando um certificado está perto da expiração. - Subscrição do Webhook:
- Nome da assinatura: o nome da assinatura do evento.
- Tipo de ponto final: O tipo de ponto de extremidade a ser usado. Por exemplo, o tipo de ponto de extremidade para esta solução é
Webhook
. - Ponto de extremidade: A URL do webhook associado ao runbook da conta de automação. Para obter mais informações, consulte a seção Conta de automação .
- Assinatura para StorageQueue:
- Nome da assinatura: o nome da assinatura do evento.
- Tipo de ponto final: O tipo de ponto de extremidade a ser usado. Por exemplo, o tipo de ponto de extremidade para esta solução é
StorageQueue
. - Ponto de extremidade: A fila da conta de armazenamento.
Alternativas
Essa solução usa uma conta de automação para orquestrar o processo de renovação de certificados e usa o Hybrid Runbook Worker para fornecer a flexibilidade de integração com uma autoridade de certificação local ou em outras nuvens.
Uma abordagem alternativa é usar aplicativos lógicos. A principal diferença entre as duas abordagens é que a conta de automação é uma solução de plataforma como serviço (PaaS), enquanto Aplicativos lógicos é uma solução de software como serviço (SaaS).
A principal vantagem do Logic Apps é que é um serviço totalmente gerenciado. Você não precisa se preocupar com a infraestrutura subjacente. Além disso, os Aplicativos Lógicos podem se integrar facilmente com conectores externos, expandindo a gama de possibilidades de notificação, como interagir com o Microsoft Teams ou o Microsoft 365.
O Logic Apps não tem um recurso semelhante ao Hybrid Runbook Worker, o que resulta em uma integração menos flexível com a autoridade de certificação, portanto, uma conta de automação é a abordagem preferida.
Detalhes do cenário
Toda organização requer um gerenciamento seguro e eficiente do ciclo de vida de seus certificados. Não atualizar um certificado antes da expiração pode levar a interrupções de serviço e incorrer em custos significativos para os negócios.
As empresas normalmente operam infraestruturas de TI complexas envolvendo várias equipes responsáveis pelo ciclo de vida do certificado. A natureza manual do processo de renovação do certificado muitas vezes introduz erros e consome tempo valioso.
Esta solução aborda os desafios automatizando a renovação de certificados emitidos pelo Serviço de Certificados da Microsoft. O serviço é amplamente utilizado para vários aplicativos de servidor, como servidores web, servidores SQL e para criptografia, não repúdio, fins de assinatura e garantia de atualizações oportunas e armazenamento seguro de certificados no Cofre de Chaves. A compatibilidade do serviço com servidores do Azure e servidores locais dá suporte à implantação flexível.
Potenciais casos de utilização
Esta solução atende a organizações em vários setores que:
- Use o Serviço de Certificados da Microsoft para a geração de certificados do servidor.
- Exija automação no processo de renovação de certificados para acelerar as operações e minimizar erros, o que ajuda a evitar perdas de negócios e violações de SLA (Service Level Agreement, contrato de nível de serviço).
- Exija armazenamento seguro de certificados em repositórios como o Cofre de Chaves.
Essa arquitetura serve como uma abordagem de implantação fundamental em assinaturas de zona de aterrissagem de aplicativos.
Considerações
Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios orientadores que você pode usar para melhorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Microsoft Azure Well-Architected Framework.
Segurança
A segurança oferece garantias contra ataques deliberados e o abuso de seus valiosos dados e sistemas. Para obter mais informações, consulte Visão geral do pilar de segurança.
No sistema Key Vault, os certificados são armazenados com segurança como segredos criptografados, protegidos pelo RBAC (controle de acesso baseado em função) do Azure.
Durante todo o processo de renovação do certificado, os componentes que usam identidades são:
- A conta do sistema do Hybrid Runbook Worker, que opera sob a conta da VM.
- A extensão Key Vault, que usa a identidade gerenciada associada à VM.
- A conta de automação, que usa sua identidade gerenciada designada.
O princípio do menor privilégio é rigorosamente aplicado em todas as identidades envolvidas no procedimento de renovação do certificado.
A conta do sistema do servidor Hybrid Runbook Worker deve ter o direito de registrar certificados em um ou mais modelos de certificado que geram novos certificados.
No cofre de chaves que contém os certificados, a identidade da conta de automação deve ter a Key Vault Certificate Officer
função. Além disso, os servidores que exigem acesso a certificados devem ter Get
permissões dentro List
do armazenamento de certificados do Cofre da Chave.
Na fila da conta de armazenamento, a identidade da conta de automação deve ter as Storage Queue Data Contributor
funções , Reader and Data Access
e Reader
.
Em cenários em que a extensão do Cofre da Chave é implantada em uma VM do Azure, a autenticação ocorre por meio da identidade gerenciada da VM. No entanto, quando implantada em um servidor habilitado para Azure Arc, a autenticação é tratada usando uma entidade de serviço. A identidade gerenciada e a entidade de serviço devem receber a função de usuário secreta do Cofre da Chave dentro do cofre de chaves que armazena o certificado. Você deve usar uma função secreta porque o certificado é armazenado no cofre de chaves como um segredo.
Otimização de custos
A otimização de custos consiste em procurar formas de reduzir despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, consulte Lista de verificação de revisão de design para otimização de custos.
Esta solução utiliza soluções PaaS do Azure que operam sob uma estrutura de pagamento conforme o uso para otimizar os custos. As despesas dependem do número de certificados que precisam de renovação e do número de servidores equipados com a extensão Key Vault, o que resulta em baixa sobrecarga.
As despesas resultantes da extensão Key Vault e do Hybrid Runbook Worker dependem das opções de instalação e dos intervalos de sondagem. O custo da Grade de Eventos corresponde ao volume de eventos gerados pelo Cofre de Chaves. Ao mesmo tempo, o custo da conta de automação se correlaciona com o número de runbooks que você usa.
O custo do Key Vault depende de vários fatores, incluindo o SKU (Standard ou Premium) escolhido, a quantidade de certificados armazenados e a frequência das operações realizadas nos certificados.
Considerações semelhantes às configurações descritas para o Cofre da Chave aplicam-se igualmente à conta de armazenamento. Nesse cenário, uma SKU padrão com replicação de armazenamento localmente redundante é suficiente para a conta de armazenamento. Geralmente, o custo da fila da conta de armazenamento é mínimo.
Para estimar o custo de implementação dessa solução, use a calculadora de preços do Azure, inserindo os serviços descritos neste artigo.
Excelência operacional
A excelência operacional abrange os processos operacionais que implantam um aplicativo e o mantêm em execução na produção. Para obter mais informações, consulte Lista de verificação de revisão de design para excelência operacional.
O procedimento de renovação automática de certificados armazena certificados de forma segura por meio de processos padronizados aplicáveis a todos os certificados dentro do cofre de chaves.
A integração com a Grade de Eventos aciona ações suplementares, como notificar o Microsoft Teams ou o Microsoft 365 e simplificar o processo de renovação. Essa integração reduz significativamente o tempo de renovação do certificado e reduz o potencial de erros que podem levar a interrupções de negócios e violações de SLAs.
Além disso, a integração perfeita com o Azure Monitor, o Microsoft Sentinel, o Microsoft Copilot for Security e o Microsoft Defender for Cloud facilita o monitoramento contínuo do processo de renovação do certificado. Ele suporta a deteção de anomalias e garante que medidas de segurança robustas sejam mantidas.
Implementar este cenário
Selecione o botão a seguir para implantar o ambiente descrito neste artigo. A implantação leva cerca de dois minutos para ser concluída e cria um cofre de chaves, um tópico do sistema de Grade de Eventos configurado com as duas assinaturas, uma conta de armazenamento contendo a fila de certificados e uma conta de Automação contendo o runbook e o webhook vinculado à Grade de Eventos.
Informações detalhadas sobre os parâmetros necessários para a implantação podem ser encontradas no portal de exemplo de código.
Importante
Você pode implantar um ambiente de laboratório completo para demonstrar todo o fluxo de trabalho de renovação automática de certificados. Use o exemplo de código para implantar os seguintes recursos:
- Serviços de Domínio Ative Directory (AD DS) dentro de uma VM de controlador de domínio.
- Os Serviços de Certificados do Ative Directory (AD CS) dentro de uma VM de CA, ingressaram no domínio, configurados com um modelo, WebServerShort, para registrar os certificados a serem renovados.
- Um servidor SMTP (Simple Mail Transfer Protocol) do Windows instalado na mesma VM da autoridade de certificação para enviar notificações por email. O MailViewer também é instalado para verificar as notificações por e-mail enviadas.
- A extensão Key Vault instalada na VM do controlador de domínio para recuperar os certificados renovados da extensão Key Vault.
Contribuidores
Este artigo é mantido pela Microsoft. Foi originalmente escrito pelos seguintes contribuidores.
Principais autores:
- Fabio Masciotra - Brasil | Consultor Principal
- Angelo Mazzucchi - Brasil | Arquiteto de Entregas
Para ver perfis não públicos do LinkedIn, inicie sessão no LinkedIn.
Recursos relacionados
Extensão Key Vault
Key Vault para Windows
Extensão Key Vault para Linux
O que é a Automação do Azure?
Trabalhador
de runbook híbrido da Automação do Azure Azure Event Grid