共用方式為


更新 Azure Key Vault 憑證

使用 Azure Key Vault,您可以輕鬆地佈建、管理及部署網路的數位憑證,以及啟用應用程式的安全通訊。 如需更多有關憑證的一般資訊,請參閱有關 Azure Key Vault 憑證

使用短期憑證或增加憑證輪替的頻率,您可以協助防止未經授權的使用者存取您的應用程式。

本文討論如何更新您的 Azure Key Vault 憑證。

取得憑證到期的通知

若要取得憑證生命事件的通知,您需要新增憑證連絡人。 憑證連絡人中包含連絡資訊,用來傳送由憑證存留期事件觸發的通知。 連絡人資訊會由金鑰保存庫中的所有憑證共用。 若金鑰保存庫中發生任何憑證事件,系統會將通知傳送給所有指定的連絡人。

設定憑證通知的步驟

首先,將憑證連絡人新增至您的金鑰保存庫。 您可以使用 Azure 入口網站或 PowerShell Cmdlet Add- AzKeyVaultCertificateContact 來新增。

再來,設定您想收到憑證到期通知的時間。 若要設定憑證的生命週期屬性,請參閱 Key Vault 中的設定憑證自動輪替

如果將憑證的原則設定為自動更新,則發生下列事件時會傳送通知:

  • 憑證更新之前
  • 在憑證更新之後,指出是否已成功更新憑證,或是如果發生錯誤,需要手動更新憑證。

如果憑證的原則設定為以手動方式更新 (僅限電子郵件),則會在需更新憑證時傳送通知。

在 Key Vault 中,有三種憑證類別:

  • 使用整合式憑證授權單位 (CA) 建立的憑證,例如 DigiCert 或透過 GlobalSign。
  • 使用未整合 CA 建立的憑證。
  • 自我簽署憑證。

更新整合的 CA 憑證

Azure Key Vault 會處理受信任的 Microsoft 憑證授權單位 DigiCert 和 GlobalSign 所發行的憑證端對端維護。 了解如何整合受信任的 CA 與 金鑰保存庫。 更新憑證時,會以新的 Key Vault 識別碼建立新的秘密版本。

更新未整合的 CA 憑證

藉由使用 Azure Key Vault,您可以從任何 CA 匯入憑證,這可讓您與數個 Azure 資源整合並輕鬆部署。 如果您擔心無法追蹤憑證到期日,或發生憑證已過期的情況,金鑰保存庫可協助您掌握最新情況。 針對未整合的 CA 憑證,金鑰保存庫可讓您設定即將到期的電子郵件通知。 也可以為多個使用者設定這類通知。

重要

憑證是已建立版本的物件。 如果目前的版本即將到期,您必須建立新的版本。 在概念上,每個新版本都是由金鑰所組成的新憑證,也是將該金鑰繫結至身分識別的 Blob。 使用未合作 CA 時,金鑰保存庫會產生金鑰鍵/值組,並傳回憑證簽署要求 (CSR)。

若要更新未整合的 CA 憑證:

  1. 登入 Azure 入口網站,然後開啟您要更新的憑證。
  2. 在 [憑證] 窗格中,選取 [新版本]
  3. 在 [建立憑證] 頁面上,確定已選取 [建立憑證的方法] 下的 [產生] 選項。
  4. 驗證憑證的 [主體] 和其他詳細資料,然後選取 [建立]
  5. 您現在應該會看到訊息「憑證<<憑證名稱>>的建立目前暫時停止。按一下這裡前往憑證作業已監視進度
  6. 在訊息上選取,即應會顯示新的窗格。 在窗格中,狀態應該會顯示為「進行中」。 此時,金鑰保存庫已產生 CSR,您可以使用 [下載 CSR] 選項進行下載
  7. 選取 [下載 CSR],以將 CSR 檔案下載到您的本機磁碟。
  8. 將 CSR 傳送至您選擇的 CA,以簽署要求。
  9. 恢復已簽署的要求,然後選取相同憑證作業窗格上的 [合併簽署要求]
  10. 合併後的狀態會顯示 [已完成],您可以在主要憑證窗格上按一下 [重新整理],以查看新版憑證。

注意

請務必將已簽署的 CSR 與您所建立的相同 CSR 要求合併。 否則,金鑰將不會相符。

如需建立新 CSR 的詳細資訊,請參閱在 Key Vault 中建立和合併 CSR

更新自我簽署憑證

Azure Key Vault 也會處理自我簽署憑證的自動更新。 若要深入了解如何變更發佈原則和更新憑證的生命週期屬性,請參閱在 Key Vault 中設定憑證自動輪替

下一步