Informace o certifikátech ve službě Azure Key Vault
Key Vault certifikáty poskytuje správu certifikátů x509 a následující chování:
- Umožňuje vlastníkovi certifikátu vytvořit certifikát prostřednictvím Key Vault nebo importem existujícího certifikátu. Zahrnuje certifikáty podepsané svým držitelem i vygenerované certifikační autoritou.
- Umožňuje vlastníkovi Key Vault implementovat zabezpečené úložiště a správu certifikátů X509 bez interakce s materiálem privátního klíče.
- Umožňuje vlastníkovi certifikátu vytvořit zásadu, která Key Vault spravovat životní cyklus certifikátu.
- Umožňuje vlastníkům certifikátů poskytovat kontaktní informace pro oznámení o událostech životního cyklu vypršení platnosti a prodloužení platnosti certifikátu.
- Podporuje automatické prodlužování u vybraných vystavitelů – Key Vault partnerských poskytovatelů certifikátů X509 / certifikačních autorit.
Poznámka
Povoleni jsou také poskytovatelé nebo autority, kteří nejsou partnery, ale nebudou podporovat funkci automatického prodlužování platnosti.
Složení certifikátu
Při Key Vault certifikátu se vytvoří také adresovatelný klíč a tajný klíč se stejným názvem. Klíč Key Vault umožňuje operace s klíči a tajný Key Vault umožňuje načtení hodnoty certifikátu jako tajného klíče. Certifikát Key Vault obsahuje také veřejná metadata certifikátu x509.
Identifikátor a verze certifikátů se podobají identifikátoru klíčů a tajných kódů. Konkrétní verze adresovatelného klíče a tajného klíče vytvořeného pomocí Key Vault certifikátu je k dispozici v odpovědi Key Vault certifikátu.
Exportovatelný nebo neexportovatelný klíč
Když se Key Vault certifikát, je možné ho načíst z adresovatelného tajného klíče s privátním klíčem ve formátu PFX nebo PEM. Zásada použitá k vytvoření certifikátu musí indikovat, že je klíč možné exportovat. Pokud zásada indikuje, že se neexportuje, pak privátní klíč při načtení jako tajný kód není součástí hodnoty.
Adresovatelný klíč bude relevantnější u neexportovatelných certifikátů KV. Operace adresovatelného klíče KV se mapují z pole keyusage zásad certifikátu KV použitého k vytvoření certifikátu KV.
Typ páru klíčů podporovaný pro certifikáty
- Podporované typy klíčů: RSA, RSA-HSM, EC, EC-HSM, oct (uvedené tady)Exportovatelný je povolený jenom u RSA, EC. Klíče HSM by neexportovatelné.
| Typ klíče | Informace | Zabezpečení |
|---|---|---|
| RSA | Klíč RSA chráněný softwarem | FIPS 140-2 Level 1 |
| RSA-HSM | Klíč RSA chráněný HSM (Premium SKU) | FIPS 140-2 Level 2 HSM |
| EC | Klávesa Elliptic Curve chráněná softwarem | FIPS 140-2 Level 1 |
| EC-HSM | Klíč Elliptic Curve chráněný HSM (Premium SKU) | FIPS 140-2 Level 2 HSM |
Atributy a značky certifikátu
Kromě metadat certifikátu, adresovatelného klíče a adresovatelného tajného klíče obsahuje certifikát Key Vault také atributy a značky.
Atributy
Atributy certifikátu se zrcadlí na atributy adresovatelného klíče a tajného klíče vytvořeného při vytvoření certifikátu KV.
Certifikát Key Vault má následující atributy:
- enabled: logická hodnota, volitelné, výchozí hodnota je true. Lze zadat , aby bylo možné určit, jestli je možné data certifikátu načíst jako tajný kód nebo je možné je použít jako klíč. Používá se také ve spojení s nbf a exp, když dojde k operaci mezi nbf a exp, a povolí se jenom v případě, že je povolené nastavení na true. Operace mimo okno nbf a exp jsou automaticky zakázané.
V odpovědi jsou zahrnuté další atributy jen pro čtení:
- created: IntDate: Určuje, kdy byla tato verze certifikátu vytvořena.
- updated: IntDate: Určuje, kdy byla tato verze certifikátu aktualizována.
- exp: IntDate: obsahuje hodnotu data vypršení platnosti certifikátu x509.
- nbf: IntDate: obsahuje hodnotu data certifikátu x509.
Poznámka
Pokud vyprší platnost certifikátu ve službě Key Vault, jeho adresovatelný klíč a tajný klíč přestanou fungovat.
Značky
Slovník párů hodnot klíčů zadaný klientem, podobně jako značky v klíčích a tajných klíčích.
Poznámka
Značky jsou čitelné pro volajícího, pokud má seznam nebo získá oprávnění k tomtou typu objektu (klíče, tajné kódy nebo certifikáty).
Zásady certifikátů
Zásady certifikátů obsahují informace o tom, jak vytvořit a spravovat životní cyklus Key Vault certifikátu. Při importu certifikátu s privátním klíčem do trezoru klíčů se vytvoří výchozí zásada přečtením certifikátu x509.
Když se Key Vault nový certifikát, je potřeba vytvořit zásadu. Zásada určuje, jak vytvořit tuto Key Vault certifikátu nebo další verzi Key Vault certifikátu. Po vytvoření zásady se u budoucích verzí nevyžaduje s následnými operacemi vytvoření. Pro všechny verze certifikátu je jenom jedna instance Key Vault certifikátu.
Zásady certifikátů na nejvyšší úrovni obsahují následující informace (jejich definice najdete tady):
Vlastnosti certifikátu X509: Obsahuje název subjektu, alternativní názvy subjektu a další vlastnosti použité k vytvoření žádosti o certifikát x509.
Vlastnosti klíče: Obsahuje typ klíče, délku klíče, exportovatelná pole a pole ReuseKeyOnRenewal. Tato pole instruují trezor klíčů, jak vygenerovat klíč.
- Podporované typy klíčů: RSA, RSA-HSM, EC, EC-HSM, oct (uvedené tady)
Vlastnosti tajného kódu: Obsahuje vlastnosti tajného kódu, jako je typ obsahu adresovatelného tajného klíče, pro vygenerování hodnoty tajného kódu pro načtení certifikátu jako tajného klíče.
Akce životnosti: Obsahuje akce životnosti certifikátu KV. Každá akce životnosti obsahuje:
Trigger: zadaný v dnech před vypršením platnosti nebo procentem doby života
Akce: Zadání typu akce – emailContacts nebo autoRenew
Vystavitel: Parametry vystavitele certifikátů, které se mají použít k vydávání certifikátů x509.
Atributy zásad: obsahuje atributy přidružené k zásadám.
Mapování využití Key Vault X509
Následující tabulka představuje mapování zásad použití klíče x509 na efektivní operace s klíči vytvořeným v rámci Key Vault certifikátu.
| Příznaky použití klíče X509 | Key Vault operací s klíči | Výchozí chování |
|---|---|---|
| Šifrování dat | šifrování, dešifrování | – |
| DecipherOnly | Dešifrování | – |
| Digitalsignature | sign, verify | Key Vault výchozí nastavení bez specifikace použití při vytváření certifikátu |
| EncipherOnly | encrypt | – |
| KeyCertSign | sign, verify | – |
| KeyEncipherment (Šifrování klíče) | wrapKey, unwrapKey | Key Vault výchozí bez specifikace použití při vytváření certifikátu |
| Nepopiratelnosti odpovědnosti | podepsat, ověřit | – |
| bit crlsign | podepsat, ověřit | – |
Vystavitel certifikátu
Objekt certifikátu Key Vault obsahuje konfiguraci, která se používá ke komunikaci s vybraným poskytovatelem vystavitele certifikátu pro řazení certifikátů x509.
- Key Vault partneři s následujícími poskytovateli vystavitelů certifikátů pro certifikáty TLS/SSL
| Název poskytovatele | Umístění |
|---|---|
| DigiCert | Podporuje se ve všech umístěních služby trezoru klíčů ve veřejném cloudu a Azure Government |
| GlobalSign | Podporuje se ve všech umístěních služby trezoru klíčů ve veřejném cloudu a Azure Government |
Předtím, než je možné vytvořit vystavitele certifikátu v Key Vault, je nutné provést následující kroky 1 a 2 úspěšně.
Připojení zprostředkovatelů certifikační autority (CA)
- Správce organizace musí být na své společnosti na své společnosti (např. Contoso) s alespoň jedním poskytovatelem CA.
Správce vytvoří přihlašovací údaje žadatele pro Key Vault k registraci (a obnovení) certifikátů TLS/SSL.
- Poskytuje konfiguraci, která se má použít k vytvoření objektu vystavitele zprostředkovatele v trezoru klíčů.
Další informace o vytváření objektů vystavitele z portálu Certificates najdete na blogu Key Vault Certificates .
Key Vault umožňuje vytvoření více objektů vystavitele s jinou konfigurací zprostředkovatele vystavitele. Po vytvoření objektu vystavitele se na jeho název dá odkazovat v jedné nebo několika zásadách certifikátu. Odkazování na objekt vystavitele instruuje Key Vault pro použití konfigurace, jak je uvedeno v objektu vystavitele při vyžádání certifikátu x509 od poskytovatele CA během vytváření a obnovování certifikátu.
Objekty vystavitele se vytvoří v trezoru a dají se použít jenom u certifikátů KV ve stejném trezoru.
Kontakty certifikátu
Kontakty certifikátu obsahují kontaktní informace pro odesílání oznámení aktivovaných událostmi životnosti certifikátu. Informace o kontaktech jsou sdíleny pomocí všech certifikátů v trezoru klíčů. Oznámení se pošle všem zadaným kontaktům pro událost pro libovolný certifikát v trezoru klíčů. Informace o tom, jak nastavit kontakt s certifikátem, najdete tady .
Access Control certifikátu
Řízení přístupu k certifikátům zajišťuje služba Key Vault, ve které se certifikáty nacházejí. Zásady řízení přístupu pro certifikáty se liší od zásad řízení přístupu pro klíče a tajné klíče ve stejné Key Vault. Uživatelé mohou vytvořit jeden nebo více trezorů pro ukládání certifikátů, aby bylo možné zachovat vhodné segmentaci a správu certifikátů. Další informace o řízení přístupu k certifikátu najdete tady .
Případy použití certifikátu
Zabezpečená komunikace a ověřování
Certifikáty TLS mohou přispět k šifrování komunikace přes Internet a k vytvoření identity webů a k zajištění zabezpečeného vstupního bodu a způsobu komunikace. Řetězný certifikát podepsaný veřejnou certifikační autoritou může navíc pomoct ověřit, že entity, které jsou držitelem certifikátů, jsou v nich vydávají námitky. V následujícím příkladu jsou některé skvělé případy použití používání certifikátů k zabezpečení komunikace a povolení ověřování:
- Intranetové/internetové weby: Chraňte přístup k intranetovým serverům a zajistěte přenos šifrovaných dat přes Internet pomocí certifikátů TLS.
- Zařízení IoT a sítě: Zabezpečte a zabezpečte svoje zařízení pomocí certifikátů pro ověřování a komunikaci.
- Cloud/Cloud: zabezpečené cloudové aplikace v Prem, mezi cloudech nebo v tenantovi poskytovatele cloudu.
Podepisování kódu
Certifikát může přispět k zabezpečení kódu nebo skriptu softwaru a tím zajistit, že autor může sdílet software přes Internet, aniž by se změnily škodlivými entitami. Kromě toho, jakmile autor podepíše kód pomocí certifikátu, který využívá technologii podepisování kódu, je software označen razítkem ověřování, které zobrazuje autora a jejich web. Proto certifikát použitý při podepisování kódu pomáhá ověřit pravost softwaru a zvyšuje tak komplexní zabezpečení.