قم بتجديد شهادات Azure Key Vault

باستخدام Azure Key Vault، يمكنك بسهولة توفير الشهادات الرقمية وإدارتها ونشرها لشبكتك وتمكين الاتصالات الآمنة لتطبيقاتك. لمزيد من المعلومات حول الشهادات، راجع حول شهادات Azure Key Vault.

باستخدام الشهادات قصيرة العمر أو عن طريق زيادة تكرار تدوير الشهادة، يمكنك المساعدة في منع وصول المستخدمين غير المصرح لهم إلى تطبيقاتك.

تتناول هذه المقالة كيفية تجديد شهادات Azure Key Vault.

احصل على إخطار حول انتهاء صلاحية الشهادة

لتلقي إخطارات حول أحداث مدة الشهادة، ستحتاج إلى إضافة جهة اتصال خاصة بالشهادة. تحتوي جهات اتصال الشهادة على معلومات جهة اتصال لإرسال إعلامات يتم تشغيلها بواسطة أحداث مدى صلاحية الشهادة. يتم مشاركة معلومات جهات الاتصال عبر جميع الشهادات الموجودة في المخزن الرئيسي. يتم إرسال إعلام إلى كافة جهات الاتصال المحددة لحدث لأي شهادة في مخزن المفاتيح.

خطوات تعيين إعلامات الشهادة

أولاً، قم بإضافة جهة اتصال شهادة إلى خزينة المفاتيح الخاصة بك. يمكنك الإضافة باستخدام مدخل Azure أو PowerShell cmdletAdd-AzKeyVaultCertificateContact.

ثانيًا، قم بالتكوين عندما تريد أن يتم إعلامك بانتهاء صلاحية الشهادة. لتكوين سمات دورة حياة الشهادة، راجع تهيئة التدوير التلقائي للشهادة في Key Vault.

إذا تم تعيين نهج الشهادة إلى التجديد التلقائي، فسيتم إرسال إشعار على الأحداث التالية:

• قبل تجديد الشهادة
• بعد تجديد الشهادة، يوضح ما إذا تم تجديد الشهادة بنجاح، أو إذا كان هناك خطأ، يتطلب التجديد اليدوي للشهادة.

عند تعيين نهج الشهادة ليتم تجديده يدويا (البريد الإلكتروني فقط)، يتم إرسال إعلام عندما حان الوقت لتجديد الشهادة.

في Key Vault، توجد ثلاث فئات من الشهادات:

• الشهادات التي يتم إنشاؤها باستخدام مرجع مصدق متكامل (CA)، مثل DigiCert أو GlobalSign.
• الشهادات التي تم إنشاؤها باستخدام مرجع مصدق غير صحيح.
• الشهادات الموقعة ذاتيا.

تجديد شهادة CA متكاملة

يتعامل Azure Key Vault مع الصيانة الشاملة للشهادات التي تم إصدارها من قِبل المراجع المصدقة الموثوق بها منMicrosoft DigiCert وGlobalSign. تعرف على كيفية دمج مرجع مصدق CA موثوق به مع Key Vault. عند تجديد شهادة، يتم إنشاء إصدار سري جديد بمعرف Key Vault جديد.

تجديد شهادة CA غير متكاملة

باستخدام Azure Key Vault، يمكنك استيراد الشهادات من أي مرجع مصدق CA، وهي ميزة تتيح لك التكامل مع العديد من موارد Azure وتسهيل النشر. إذا كنت قلقًا بشأن فقدان تتبع تواريخ انتهاء صلاحية شهادتك، أو الأسوأ من ذلك، أنك اكتشفت أن الشهادة قد انتهت صلاحيتها بالفعل، يمكن أن تساعدك خزينة المفاتيح في إبقائك على اطلاع دائم. بالنسبة إلى شهادات المرجع المصدق (CA) غير المتكاملة، يتيح لك مخزن المفاتيح إعداد إشعارات البريد الإلكتروني التي توشك على الانتهاء. يمكن أيضًا تعيين هذه الإخطارات لعدة مستخدمين.

هام

الشهادة هي كائن ذو إصدار. إذا كان الإصدار الحالي على وشك الانتهاء، فأنت بحاجة إلى إنشاء إصدار جديد. من الناحية المفاهيمية، كل إصدار جديد هو شهادة جديدة تتكون من مفتاح وblob يربط هذا المفتاح بالهوية. عند استخدام مرجع مصدق CA غير شريك، ينشئ مخزن المفاتيح زوجًا من المفاتيح/القيمة ويعيد طلب توقيع الشهادة (CSR).

لتجديد شهادة CA غير مصدقة:

⁩مدخل Microsoft Azure⁧

1. سجّل الدخول إلى مدخل Azure، ثم افتح الشهادة التي تريد تجديدها.
2. في جزء الشهادة، حدد إصدار جديد.
3. في صفحة Create a certificate ، تأكد من تحديد خيار Generate ضمن Method of Certificate Creation.
4. تحقق من الموضوع وتفاصيل أخرى حول الشهادة ثم حدد إنشاء.
5. من المفترض أن تظهر الرسالة الآن إن إنشاء اسم << الشهادة >>معلق حالياً. انقر هنا لمتابعة عملية الشهادة الخاصة بها لمراقبة التقدم
6. حدد في الرسالة ويجب عرض جزء جديد. يجب أن يُظهر الجزء الحالة كـ "قيد التقدم". في هذه المرحلة، قام Key Vault بإنشاء CSR يمكنك تنزيله باستخدام خيار تنزيل CSR.
7. حدد تنزيل CSR لتنزيل ملف CSR على محرك الأقراص المحلي.
8. أرسل CSR إلى CA الذي تختاره للتوقيع على الطلب.
9. قم بإعادة الطلب الموقع، ثم حدد Merge Signed Request على نفس جزء عملية الشهادة.
10. ستظهر الحالة بعد الدمج Completed، وعلى جزء الشهادة الرئيس، يمكنك الضغط على Refresh لرؤية الإصدار الجديد من الشهادة.

Azure CLI

استخدم الأمر Azure CLI az keyvault certificate create ، مع توفير اسم الشهادة التي ترغب في تجديدها:

az keyvault certificate create --vault-name "<your-unique-keyvault-name>" -n "<name-of-certificate-to-renew>" -p "$(az keyvault certificate get-default-policy)"

بعد تجديد الشهادة، يمكنك عرض جميع إصدارات الشهادة باستخدام الأمر Azure CLI az keyvault certificate list-versions :

az keyvault certificate list-versions --vault-name "<your-unique-keyvault-name>" -n "<name-of-renewed-certificate>"

Azure PowerShell

استخدم Azure PowerShell New-AzKeyVaultCertificatePolicy cmdlet، مع توفير اسم الشهادة التي ترغب في تجديدها:

$Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "Self" -ValidityInMonths 6 -ReuseKeyOnRenewal

Add-AzKeyVaultCertificate -VaultName "<your-unique-keyvault-name>" -Name "<name-of-certificate-to-renew>" -CertificatePolicy $Policy

بعد تجديد الشهادة، يمكنك عرض جميع إصدارات الشهادة باستخدام Azure PowerShell Get-AzKeyVaultCertificate cmdlet:

Get-AzKeyVaultCertificate "<your-unique-keyvault-name>" -Name "<name-of-renewed-certificate>" -IncludeVersions

ملاحظة

من المهم دمج CSR الموقع مع نفس طلب CSR الذي قمت بإنشائه. خلاف ذلك، لن يتطابق المفتاح.

لمزيد من المعلومات حول إنشاء CSR جديد، راجع إنشاء ودمج CSR في Key Vault.

تجديد شهادة موقعة ذاتيًا

يعالج Azure Key Vault أيضًا التجديد التلقائي للشهادات الموقعة ذاتيًا. لمعرفة المزيد حول تغيير سياسة الإصدار وتحديث سمات دورة حياة الشهادة، راجع تكوين التدوير التلقائي للشهادة في Key Vault.

الخطوات التالية

• الأسئلة المتداولة حول تجديد شهادة Azure Key Vault
• تكامل Key Vault مع مرجع مصدق DigiCert
• برنامج تعليمي: تهيئة التدوير التلقائي للشهادة في Key Vault