Share via

حول شهادات Azure Key Vault

  • مقالة

يوفر دعم شهادة Azure Key Vault لإدارة شهادات X.509 والسلوكيات التالية:

  • يسمح لمالك الشهادة بإنشاء شهادة من خلال عملية إنشاء مخزن مفاتيح أو من خلال استيراد شهادة موجودة. تتضمن الشهادات المستوردة كلا من الشهادات الموقعة ذاتيا والشهادات التي يتم إنشاؤها من مرجع مصدق (CA).

  • يسمح لمالك شهادة Key Vault بتنفيذ التخزين الآمن وإدارة شهادات X.509 دون التفاعل مع مواد المفتاح الخاصة.

  • يسمح لمالك الشهادة بإنشاء نهج يوجه Key Vault لإدارة دورة حياة الشهادة.

  • يسمح لمالك الشهادة بتوفير معلومات جهة الاتصال للإعلامات حول أحداث دورة الحياة لانتهاء الصلاحية والتجديد.

  • يدعم التجديد التلقائي مع المصدرين المحددين: موفري شهادات شريك Key Vault X.509 وCAs.

    إشعار

    يسمح أيضا بموفري الخدمات والسلطات غير الشريكة ولكن لا يدعمون التجديد التلقائي.

للحصول على تفاصيل حول إنشاء الشهادة، راجع أساليب إنشاء الشهادة.

تكوين الشهادة

عند إنشاء شهادة "مفتاح Vault"، يتم أيضًا إنشاء مفتاح وبيانات سرية قابلين للعنونة بنفس الاسم. يسمح مفتاح Key Vault بعمليات المفاتيح، ويسمح سر Key Vault باسترداد قيمة الشهادة كبيانات سرية. تحتوي شهادة Key Vault أيضا على بيانات تعريف شهادة X.509 العامة.

المعرف وإصدار الشهادات مشابهان لتلك الخاصة بالمفاتيح والأسرار. يتوفر إصدار محدد من مفتاح وسر قابل للعنونة تم إنشاؤهما باستخدام إصدار شهادة Key Vault في استجابة شهادة Key Vault.

Diagram that shows the role of certificates in a key vault.

مفتاح قابل للتصدير أو غير قابل للتصدير

عند إنشاء شهادة Key Vault، يمكن استردادها من البيانات السرية القابل للعنونة باستخدام المفتاح الخاص بتنسيق PFX أو PEM. يجب أن يشير النهج المستخدم لإنشاء الشهادة إلى أن المفتاح قابل للتصدير. إذا كان النهج يشير إلى أن المفتاح غير قابل للتصدير، فإن المفتاح الخاص ليس جزءا من القيمة عند استرداده كبيانات سرية.

يصبح المفتاح القابل للعنونة أكثر ملاءمة مع شهادات " Key Vault" غير القابلة للتصدير. يتم تعيين عمليات مفتاح Key Vault القابلة للعنوان من keyusage حقل نهج شهادة Key Vault المستخدمة لإنشاء شهادة Key Vault.

للحصول على القائمة الكاملة من أنواع المفاتيح المدعومة، راجع حول المفاتيح: أنواع المفاتيح وأساليب الحماية. يسمح بالمفاتيح القابلة للتصدير فقط مع RSA وEC. مفاتيح HSM غير قابلة للتصدير.

سمات الشهادة وعلاماتها

بالإضافة إلى بيانات تعريف الشهادة ومفتاح قابل للعنوان وسر قابل للعنوان، تحتوي شهادة Key Vault على سمات وعلامات.

السمات

يتم عكس سمات الشهادة إلى سمات المفتاح القابل للعنوان والبيانات السرية التي يتم إنشاؤها عند إنشاء شهادة Key Vault.

تحتوي شهادة Key Vault على السمة التالية:

  • enabled: هذه السمة المنطقية اختيارية. القيمة الافتراضية هي true. يمكن تحديده للإشارة إلى ما إذا كان يمكن استرداد بيانات الشهادة كبيانات سرية أو قابلة للتشغيل كمفتاح.

    يتم استخدام هذه السمة أيضا مع nbf وعند exp حدوث عملية بين nbf و exp، ولكن فقط إذا enabled تم تعيين إلى true. العمليات خارج النافذة nbf و exp غير مسموح بها تلقائيا.

تتضمن الاستجابة هذه السمات الإضافية للقراءة فقط:

  • created: IntDate يشير إلى وقت إنشاء هذا الإصدار من الشهادة.
  • updated: IntDate يشير إلى وقت تحديث هذا الإصدار من الشهادة.
  • exp: IntDate يحتوي على قيمة تاريخ انتهاء صلاحية شهادة X.509.
  • nbf: IntDate يحتوي على قيمة تاريخ "ليس قبل" شهادة X.509.

إشعار

إذا انتهت صلاحية شهادة Key Vault، فلا يزال من الممكن استردادها، ولكن قد تصبح الشهادة غير قابلة للتشغيل في سيناريوهات مثل حماية TLS حيث يتم التحقق من انتهاء صلاحية الشهادة.

علامات

علامات الشهادات هي قاموس محدد من قبل العميل لأزواج المفاتيح/القيم، مثل العلامات في المفاتيح والأسرار.

إشعار

يمكن للمتصل قراءة العلامات إذا كان لديه القائمة أو الحصول على إذن لنوع الكائن هذا (المفاتيح أو الأسرار أو الشهادات).

نهجُ الشهادة

يحتوي نهج الشهادة على معلومات حول كيفية إنشاء دورة حياة شهادة Key Vault وإدارتها. عند استيراد شهادة ذات مفتاح خاص إلى مخزن المفاتيح، تنشئ خدمة Key Vault سياسة افتراضية من خلال قراءة شهادة X.509.

عند إنشاء شهادة Key Vault من البداية، يجبْ التزويد بالنهج. يحدد النهج كيفية إنشاء إصدار شهادة Key Vault هذا أو إصدار شهادة Key Vault التالي. بعد إنشاء نهج، لا يكون مطلوبا مع عمليات الإنشاء المتتالية للإصدارات المستقبلية. يوجد مثيل واحد فقط للسياسة لجميع إصدارات شهادة Key Vault.

على مستوى عالٍ، تحتوي سياسة الشهادة على المعلومات التالية:

  • خصائص شهادة X.509، والتي تتضمن اسم الموضوع والأسماء البديلة للموضوع والخصائص الأخرى المستخدمة لإنشاء طلب شهادة X.509.

  • خصائص المفتاح، والتي تتضمن نوع المفتاح وطول المفتاح وقابل للتصدير والحقول ReuseKeyOnRenewal . ترشد هذه الحقول Key Vault إلى كيفية إنشاء مفتاح.

    أنواع المفاتيح المدعومة هي RSA وRSA-HSM و EC و EC-HSM و oct.

  • خصائص سرية، مثل نوع محتوى سر قابل للعنونة لإنشاء قيمة سرية، لاسترداد شهادة كبيانات سرية.

  • إجراءات مدة البقاء لشهادة Key Vault. يحتوي كل إجراء مدة البقاء على:

    • المشغل: محدد كأيام قبل انتهاء الصلاحية أو النسبة المئوية لنسبة فترة البقاء.
    • الإجراء: emailContacts أو autoRenew.

  • نوع التحقق من صحة الشهادات: تم التحقق من صحة المؤسسة (OV-SSL) والتحقق من الصحة الموسع (EV-SSL) لمصدري DigiCert و GlobalSign.

  • معلمات حول مصدر الشهادة لاستخدامها لإصدار شهادات X.509.

  • السمات المقترنة بالنهج.

لمزيد من المعلومات، راجع Set-AzKeyVaultCertificatePolicy.

تعيين استخدام X.509 للعمليات الرئيسية

يمثل الجدول التالي تعيين نهج استخدام مفتاح X.509 للعمليات الرئيسية الفعالة لمفتاح تم إنشاؤه كجزء من إنشاء شهادة Key Vault.

علامات استخدام مفتاح X.509 عمليات مفتاح Key Vault السلوكْ الافتراضي
DataEncipherment encrypt, decrypt غير قابل للتطبيق
DecipherOnly decrypt غير قابل للتطبيق
DigitalSignature sign, verify Key Vault افتراضي بلا مواصفات استخدام في وقتِ إنشاء الشهادة
EncipherOnly encrypt غير قابل للتطبيق
KeyCertSign sign, verify غير قابل للتطبيق
KeyEncipherment wrapKey, unwrapKey Key Vault افتراضي بلا مواصفات استخدام في وقتِ إنشاء الشهادة
NonRepudiation sign, verify غير قابل للتطبيق
crlsign sign, verify غير قابل للتطبيق

مصدر الشهادة

يحتوي كائن شهادة Key Vault على تكوين يستخدم للاتصال بموفر مصدر شهادة محدد لطلب شهادات X.509.

شركاء Key Vault مع موفري مصدر الشهادة التاليين لشهادات TLS/SSL.

اسم الموفر المواقع
DigiCert مدعوم في جميع مواقع خدمة Key Vault في السحابة العامة وAzure Government
GlobalSign مدعوم في جميع مواقع خدمة Key Vault في السحابة العامة وAzure Government

قبل أن يمكن إنشاء مصدر شهادة في مخزن مفاتيح، يجب على المسؤول اتخاذ الخطوات الأساسية التالية:

  1. إلحاق المؤسسة بموفر CA واحد على الأقل.

  2. إنشاء بيانات اعتماد الطالب ل Key Vault لتسجيل (وتجديد) شهادات TLS/SSL. توفر هذه الخطوة التكوين لإنشاء عنصر مصدر للموفر في مخزن المفاتيح.

لمزيد من المعلومات حول إنشاء كائنات المصدر من مدخل الشهادة، راجع مدونة فريق Key Vault.

يسمح Key Vault بإنشاء كائنات مصدر متعددة مع تكوينات موفر إصدار مختلفة. بعد إنشاء كائن مصدر، يمكن الرجوع إلى اسمه في نهج شهادة واحد أو عدة نهج. الرجوع إلى كائن المصدر يوجه Key Vault لاستخدام التكوين كما هو محدد في كائن المصدر عندما يطلب شهادة X.509 من موفر المرجع المصدق أثناء إنشاء الشهادة وتجديدها.

يتم إنشاء كائنات المصدر في المخزن. يمكن استخدامها فقط مع شهادات Key Vault في نفس المخزن.

إشعار

يتم إرسال الشهادات الموثوق بها بشكل عام إلى المراجع المصدقة وسجلات شفافية الشهادات (CT) خارج حدود Azure أثناء التسجيل. وهي مشمولة بسياسات القانون العام لحماية البيانات (GDPR) لتلك الكيانات.

جهات اتصالْ الشهادات

تحتوي جهات اتصال الشهادة على معلومات جهة الاتصال لإرسال الإعلامات التي تم تشغيلها بواسطة أحداث مدة بقاء الشهادة. تشترك جميع الشهادات في key vault في معلومات جهة الاتصال.

يتم إرسال إشعار إلى جميع جهات الاتصال المحددة لأي حدث لأي شهادة في خزنة المفاتيح. للحصول على معلومات حول كيفية تعيين جهة اتصال شهادة، راجع تجديد شهادات Azure Key Vault.

التحكم في الوصول إلى الشهادة

يدير Key Vault التحكم في الوصول للشهادات. يوفر مخزن المفاتيح الذي يحتوي على هذه الشهادات التحكم في الوصول. يختلف نهج التحكم في الوصول للشهادات عن نهج التحكم في الوصول للمفاتيح والأسرار في نفس مخزن المفاتيح.

يمكن للمستخدمين إنشاء مخزن واحد أو أكثر للاحتفاظ بالشهادات، للحفاظ على تقسيم الشهادات وإدارتها بشكل مناسب للسيناريو. لمزيد من المعلومات، راجع التحكم في الوصول إلى الشهادة.

حالات استخدام الشهادة

تأمين الاتصال والمصادقة

يمكن أن تساعد شهادات TLS في تشفير الاتصالات عبر الإنترنت وتحديد هوية مواقع الويب. يجعل هذا التشفير نقطة الدخول ووضع الاتصال أكثر أمانا. بالإضافة إلى ذلك، يمكن أن تساعد الشهادة المتسلسلة الموقعة من قبل مرجع مصدق عام في التحقق من شرعية الكيانات التي تحمل الشهادات.

على سبيل المثال، فيما يلي بعض حالات استخدام الشهادات لتأمين الاتصال وتمكين المصادقة:

  • مواقع الإنترانت/الإنترنت: حماية الوصول إلى موقع الإنترانت الخاص بك وضمان نقل البيانات المشفرة عبر الإنترنت من خلال شهادات TLS.
  • أجهزة إنترنت الأشياء والشبكات: حماية أجهزتك وتأمينها باستخدام شهادات للمصادقة والاتصال.
  • السحابة/السحابة المتعددة: تأمين التطبيقات المستندة إلى السحابة في الموقع أو عبر السحابة أو في مستأجر موفر السحابة.

الخطوات التالية