Verwaltung des Lebenszyklus von Zertifikaten in Azure

Im Bereich der Cybersicherheit ist die Einrichtung einer automatischen Zertifikatverlängerung ein wichtiger Bestandteil der Aufrechterhaltung einer sicheren und zuverlässigen Umgebung. Werden die Zertifikate nicht rechtzeitig aktualisiert oder erneuert, sind die Systeme anfällig für Schwachstellen. Zu den potenziell gefährdeten Gebieten gehören:

• SSL/TLS-Zertifikate, die abgelaufen sind.
• Netze, die potenziellen Verstößen ausgesetzt sind.
• Sensible Daten, die ungesichert sind.
• Dienste, die für Business-to-Business-Prozesse genutzt werden.
• Verlust des Markenrufs, der die Integrität und Vertraulichkeit digitaler Transaktionen gefährdet.

Azure Key Vault unterstützt die automatische Verlängerung von Zertifikaten, die von einer integrierten Zertifizierungsstelle (CA) ausgestellt wurden, wie z. B. DigiCert oder GlobalSign. Für eine nicht integrierte Zertifizierungsstelle ist ein manuelles Konzept erforderlich.

Dieser Artikel schließt diese Lücke, indem er einen automatisierten Verlängerungsprozess bereitstellt, der auf Zertifikate von nicht integrierten CAs zugeschnitten ist. Dieser Prozess speichert die neuen Zertifikate nahtlos in Key Vault, verbessert die Effizienz, erhöht die Sicherheit und vereinfacht die Bereitstellung durch Integration mit verschiedenen Azure-Ressourcen.

Ein automatischer Verlängerungsprozess reduziert menschliche Fehler und minimiert Dienstunterbrechungen. Wenn Sie die Zertifikatverlängerung automatisieren, beschleunigen Sie nicht nur den Prozess selbst, sondern verringern auch die Wahrscheinlichkeit von Fehlern, die bei der manuellen Bearbeitung auftreten können. Wenn Sie die Funktionen von Key Vault und seinen Erweiterungen nutzen, können Sie einen effizienten automatischen Prozess aufbauen, der den Betrieb und die Zuverlässigkeit optimiert.

Während der Schwerpunkt zunächst auf der automatischen Zertifikatverlängerung liegt, besteht ein weitergehendes Ziel darin, die Sicherheit in allen Bereichen des Prozesses zu verbessern. Dazu gehört auch die Implementierung des Prinzips der geringsten Rechte (PoLP) oder ähnlicher Zugangskontrollen mithilfe von Key Vault. Außerdem wird die Bedeutung robuster Protokollierungs- und Überwachungsverfahren für Key Vault hervorgehoben. In diesem Artikel wird hervorgehoben, wie wichtig die Verwendung von Key Vault zur Stärkung des gesamten Zertifikatverwaltungslebenszyklus ist. Dazu wird gezeigt, dass die Sicherheitsvorteile nicht auf das Speichern von Zertifikaten beschränkt sind.

Sie können Key Vault und den automatischen Verlängerungsprozess verwenden, um Zertifikate kontinuierlich zu aktualisieren. Die automatische Verlängerung spielt eine wichtige Rolle im Bereitstellungsprozess und trägt dazu bei, dass Azure-Dienste, die in Key Vault integriert sind, von stets aktuellen Zertifikaten profitieren. In diesem Artikel erfahren Sie, wie die kontinuierliche Verlängerung und Zugänglichkeit zur allgemeinen Effizienz und Zuverlässigkeit der Azure-Dienste beitragen.

Aufbau

Hier ein kurzer Überblick über die zugrunde liegende Architektur, die dieser Lösung zugrunde liegt.

Laden Sie eine Visio-Datei dieser Architektur herunter.

Die Azure-Umgebung beinhaltet die folgenden Platform-as-a-Service (PaaS)-Ressourcen: einen Key Vault, in dem nur Zertifikate gespeichert werden, die von derselben nicht integrierten Zertifizierungsstelle ausgestellt wurden, ein Azure Event Grid-Systemthema, eine Speicher-Kontowarteschlange und ein Azure Automation-Konto, das einen Webhook für Event Grid bereitstellt.

In diesem Szenario wird davon ausgegangen, dass bereits eine Public Key Infrastructure (PKI) vorhanden ist, die aus einer Microsoft Enterprise CA besteht, die mit einer Domäne in Microsoft Entra ID verbunden ist. Sowohl die PKI als auch die Active Directory-Domäne können sich auf Azure oder vor Ort befinden, und die Server, die für die Zertifikatserneuerung konfiguriert werden müssen.

Die virtuellen Maschinen (VMs) mit Zertifikaten zur Überwachung der Erneuerung müssen nicht mit Active Directory oder Microsoft Entra ID verbunden sein. Die einzige Voraussetzung ist, dass die CA und der Hybrid Worker, falls sie sich auf einer anderen VM als die CA befinden, über Active Directory verbunden sind.

In den folgenden Abschnitten werden die Einzelheiten des automatischen Verlängerungsprozesses erläutert.

Workflow

Dieses Bild zeigt den automatischen Workflow für die Zertifikatverlängerung innerhalb des Azure-Ökosystems.

1. Konfiguration des Key Vaults: In der Anfangsphase des Erneuerungsprozesses wird das Zertifikatsobjekt in dem dafür vorgesehenen Abschnitt Zertifikate des Key Vaults gespeichert.

   Es ist zwar nicht obligatorisch, aber Sie können benutzerdefinierte E-Mail-Benachrichtigungen einrichten, indem Sie das Zertifikat mit der E-Mail-Adresse des Empfängers versehen. Die Kennzeichnung des Zertifikats stellt sicher, dass Sie rechtzeitig benachrichtigt werden, wenn der Verlängerungsprozess abgeschlossen ist. Wenn mehrere Empfänger erforderlich sind, trennen Sie deren E-Mail-Adressen durch ein Komma oder ein Semikolon. Der Tag-Name für diesen Zweck ist Recipient, und sein Wert ist eine oder mehrere E-Mail-Adressen der designierten Administratoren.

   Wenn Sie Tags anstelle von integrierten Zertifikatbenachrichtigungen verwenden, können Sie Benachrichtigungen auf ein bestimmtes Zertifikat mit einem bestimmten Empfänger anwenden. Integrierte Zertifikatbenachrichtigungen gelten unterschiedslos für alle Zertifikate im Key Vault, wobei für alle derselbe Empfänger verwendet wird.

   Sie können integrierte Benachrichtigungen in die Lösung integrieren, aber einen anderen Ansatz verwenden. Während integrierte Benachrichtigungen nur über den Ablauf eines Zertifikats informieren können, können die Tags Benachrichtigungen senden, wenn das Zertifikat bei der internen Zertifizierungsstelle erneuert wird und wenn es in Key Vault verfügbar ist.

2. Konfiguration der Key Vault-Erweiterung: Sie müssen die Server, die die Zertifikate verwenden müssen, mit der Key Vault-Erweiterung ausstatten, einem vielseitigen Tool, das mit den Systemen Windows und Linux kompatibel ist. Azure Infrastructure as a Service (IaaS)-Server und lokale oder andere Cloud-Server, die über Azure Arc integriert werden, werden unterstützt. Konfigurieren Sie die Key Vault-Erweiterung so, dass sie Key Vault regelmäßig nach aktualisierten Zertifikaten abfragt. Das Abfrageintervall ist anpassbar und flexibel, sodass es an die jeweiligen betrieblichen Anforderungen angepasst werden kann.

3. Integration des Ereignisrasters: Wenn sich ein Zertifikat dem Ablaufdatum nähert, fangen zwei Event Grid-Abonnements dieses wichtige Lebenszeitereignis aus dem Key Vault ab.

4. Auslöser für das Ereignisraster: Ein Event Grid-Abonnement sendet Zertifikatserneuerungsinformationen an eine Speicherkonto-Warteschlange. Das andere Abonnement löst den Start eines Runbooks über den konfigurierten Webhook im Automatisierungskonto aus. Wenn das Runbook das Zertifikat nicht verlängern kann oder die Zertifizierungsstelle nicht verfügbar ist, versucht ein geplanter Prozess, das Runbook von diesem Zeitpunkt an zu verlängern, bis sich die Warteschlange leert. Dieser Prozess macht die Lösung äußerst robust.

   Um die Ausfallsicherheit der Lösung zu erhöhen, richten Sie einen Mechanismus dead-letter location ein. Sie verwaltet potenzielle Fehler, die bei der Übertragung der Nachrichten vom Event Grid zu den Abonnementzielen, der Speicherwarteschlange und dem Webhook auftreten können.

5. Warteschlange für Speicherkonten: Das Runbook wird auf dem CA-Server gestartet, der als Automation Hybrid Runbook Worker konfiguriert ist. Es empfängt alle Nachrichten in der Speicherkonto-Warteschlange, die den Namen des auslaufenden Zertifikats und den Key Vault enthalten, der das Runbook hostet. Die folgenden Schritte erfolgen für jede Nachricht in der Warteschlange.

6. Erneuerung des Zertifikats: Das Skript im Runbook stellt eine Verbindung zu Azure her, um den Vorlagennamen des Zertifikats abzurufen, den Sie bei der Erstellung festgelegt haben. Die Vorlage ist die Konfigurationskomponente der Zertifizierungsstelle, die die Attribute und den Zweck der zu erstellenden Zertifikate definiert.

   Nachdem sich das Skript mit Key Vault verbunden hat, leitet es eine Zertifikatserneuerungsanfrage ein. Diese Anfrage veranlasst Key Vault, eine Zertifikatsignierungsanforderung (CSR) zu erstellen, wobei dieselbe Vorlage verwendet wird, mit der das ursprüngliche Zertifikat generiert wurde. Dieser Prozess gewährleistet, dass das erneuerte Zertifikat mit den vordefinierten Sicherheitsrichtlinien übereinstimmt. Weitere Informationen zur Sicherheit im Authentifizierungs- und Autorisierungsprozess finden Sie im Abschnitt Sicherheit.

   Das Skript lädt die CSR herunter und sendet sie an die CA.

   Die CA generiert ein neues x509-Zertifikat auf der Grundlage der richtigen Vorlage und sendet es an das Skript zurück. Dieser Schritt stellt sicher, dass das erneuerte Zertifikat mit den vordefinierten Sicherheitsrichtlinien übereinstimmt.

7. Zusammenführung von Zertifikaten und Aktualisierung des Key Vault: Das Skript fügt das erneuerte Zertifikat wieder in den Key Vault ein, schließt den Aktualisierungsvorgang ab und entfernt die Nachricht aus der Warteschlange. Während des gesamten Prozesses wird der private Schlüssel des Zertifikats nie aus dem Key Vault entnommen.

8. Überwachung und E-Mail-Benachrichtigung: Alle Vorgänge, die verschiedene Azure-Komponenten ausführen, wie z. B. ein Automatisierungskonto, Key Vault, eine Speicherkonto-Warteschlange und Event Grid, werden im Arbeitsbereich Azure Monitor Logs protokolliert, um die Überwachung zu ermöglichen. Nachdem das Zertifikat in den Key Vault übertragen wurde, sendet das Skript eine E-Mail-Nachricht an die Administratoren, um sie über das Ergebnis zu informieren.

9. Abruf von Zertifikaten: Die Key Vault-Erweiterung auf dem Server spielt in dieser Phase eine wichtige Rolle. Es lädt automatisch die neueste Version des Zertifikats aus dem Key Vault in den lokalen Speicher des Servers herunter, der das Zertifikat verwendet. Sie können mehrere Server mit der Key Vault-Erweiterung so konfigurieren, dass sie dasselbe Zertifikat (Wildcard oder mit mehreren Subject Alternative Name (SAN)-Zertifikaten) aus dem Key Vault abrufen.

Komponenten

Die Lösung verwendet verschiedene Komponenten für die automatische Zertifikatserneuerung auf Azure. In den folgenden Abschnitten wird jede Komponente und ihr spezifischer Zweck beschrieben.

Key Vault-Erweiterung

Die Key Vault-Erweiterung spielt eine wichtige Rolle bei der Automatisierung der Zertifikatverlängerung und muss auf Servern installiert werden, die diese Automatisierung benötigen. Weitere Informationen zum Installationsverfahren auf Windows-Servern finden Sie unter Key Vault-Erweiterung für Windows. Weitere Informationen zu den Installationsschritten für Linux-Server finden Sie unter Key Vault-Erweiterung für Linux. Weitere Informationen zu für Azure Arc aktivierten Servern finden Sie unter Key Vault-Erweiterung für Arc-aktivierte Server.

Zu den wichtigsten Konfigurationsparametern der Key Vault-Erweiterung gehören:

• Name des Key Vaults: Der Key Vault, der das zu erneuernde Zertifikat enthält.
• Name des Zertifikats: Der Name des zu erneuernden Zertifikats.
• Zertifikatspeicher, Name und Ort: Der Zertifikatspeicher, in dem das Zertifikat gespeichert ist. Auf Windows-Servern ist der Standardwert für NameMy und Speicherort ist LocalMachine, was der persönliche Zertifikatspeicher des Computers ist. Auf Linux-Servern können Sie einen Dateisystempfad angeben, wobei Sie davon ausgehen, dass der Standardwert AzureKeyVault ist, der den Zertifikatspeicher für Key Vault darstellt.
• linkOnRenewal: Ein Kennzeichen, das anzeigt, ob das Zertifikat bei der Verlängerung mit dem Server verknüpft werden soll. Wenn auf Windows-Rechnern true eingestellt ist, wird das neue Zertifikat in den Speicher kopiert und mit dem alten Zertifikat verknüpft, wodurch das Zertifikat neu gebunden wird. Der Standardwert ist false, was bedeutet, dass eine explizite Bindung erforderlich ist.
• pollingIntervalInS: Das Abfrageintervall, in dem die Key Vault-Erweiterung nach Zertifikatupdates sucht. Der Standardwert ist 3600 Sekunden (1 Stunde).
• authenticationSetting: Die Authentifizierungseinstellung für die Key Vault-Erweiterung. Bei Azure-Servern können Sie diese Einstellung weglassen, was bedeutet, dass die vom System zugewiesene verwaltete Identität der VM für den Key Vault verwendet wird. Bei On-Premises-Servern bedeutet die Angabe der Einstellung msiEndpoint = "http://localhost:40342/metadata/identity" die Verwendung des Service-Principals, der mit dem während des Azure Arc-Onboarding erstellten Computerobjekt verbunden ist.

Automation-Konto

Das Automatisierungskonto wickelt den Prozess der Zertifikatserneuerung ab. Sie müssen das Konto mit einem Runbook konfigurieren, indem Sie das PowerShell-Skript verwenden.

Außerdem müssen Sie eine Hybrid Worker-Gruppe erstellen. Verbinden Sie die Hybrid Worker-Gruppe mit einem Windows Server, der zur gleichen Active Directory-Domäne wie die CA gehört, idealerweise mit der CA selbst, um Runbooks zu starten.

Dem Runbook muss ein Webhook zugeordnet sein, der von Hybrid Runbook Worker initiiert wird. Konfigurieren Sie die Webhook-URL im Ereignisabonnement des Systemthemas Ereignisraster.

Warteschlange für Speicherkonten

In der Warteschlange des Speicherkontos werden die Nachrichten gespeichert, die den Namen des zu erneuernden Zertifikats und den Key Vault, der das Zertifikat enthält, enthalten. Konfigurieren Sie die Warteschlange des Speicherkontos im Ereignisabonnement des Systemthemas Ereignisraster. Die Warteschlange kümmert sich um die Entkopplung des Skripts vom Ereignis der Benachrichtigung über den Ablauf des Zertifikats. Sie unterstützt die Speicherung des Ereignisses in einer Warteschlangennachricht. Auf diese Weise wird sichergestellt, dass der Verlängerungsprozess für Zertifikate durch geplante Aufträge wiederholt wird, auch wenn während der Ausführung des Skripts Probleme auftreten.

Hybrid-Runbook-Worker

Der hybride Runbook-Worker spielt eine wichtige Rolle bei der Verwendung von Runbooks. Sie müssen Hybrid Runbook Worker mit der Methode Azure Hybrid Worker-Erweiterung installieren. Dies ist der unterstützte Modus für eine neue Installation. Sie erstellen sie und verknüpfen sie mit einem Windows Server-Mitglied in derselben Active Directory-Domäne wie die CA, idealerweise mit der CA selbst.

Schlüsseltresor

Key Vault ist der sichere Aufbewahrungsort für Zertifikate. Verknüpfen Sie im Abschnitt Ereignis des Key Vaults das Systemthema Ereignisraster mit dem Webhook des Automatisierungskontos und einem Abonnement.

Event Grid

Event Grid verwaltet die ereignisgesteuerte Kommunikation innerhalb von Azure. Konfigurieren Sie das Ereignisraster, indem Sie das Systemthema und das Ereignisabonnement zur Überwachung relevanter Ereignisse einrichten. Zu den relevanten Ereignissen gehören Warnungen zum Ablauf von Zertifikaten, das Auslösen von Aktionen innerhalb des Automatisierungsworkflows und das Einstellen von Nachrichten in die Warteschlange des Speicherkontos. Konfigurieren Sie das Systemthema Ereignisraster mit den folgenden Parametern:

• Quelle: Der Name des Schlüsselspeichers, der die Zertifikate enthält.
• Quellenart: Der Typ der Quelle. Der Quellentyp für diese Lösung ist zum Beispiel Azure Key Vault.
• Ereignisarten: Der zu überwachende Ereignistyp. Der Ereignistyp für diese Lösung ist zum Beispiel Microsoft.KeyVault.CertificateNearExpiry. Dieses Ereignis wird ausgelöst, wenn ein Zertifikat bald abläuft.
• Abonnement für Webhook:
  • Name des Abonnements: Der Name des Ereignisabonnements.
  • Endpunkt-Typ: Der Typ des zu verwendenden Endpunkts. Der Endpunkttyp für diese Lösung ist zum Beispiel Webhook.
  • Endpunkt: Die URL des Webhooks, der mit dem Runbook des Automatisierungskontos verknüpft ist. Weitere Informationen finden Sie im Abschnitt Automation account .
• Abonnement für StorageQueue:
  • Name des Abonnements: Der Name des Ereignisabonnements.
  • Endpunkt-Typ: Der Typ des zu verwendenden Endpunkts. Der Endpunkttyp für diese Lösung ist zum Beispiel StorageQueue.
  • Endpunkt: Die Warteschlange des Speicherkontos.

Alternativen

Diese Lösung verwendet ein Automatisierungskonto, um den Prozess der Zertifikatverlängerung zu orchestrieren, und bietet mittels Hybrid Runbook Worker die Flexibilität, sich mit einer CA vor Ort oder in anderen Clouds zu integrieren.

Ein alternativer Ansatz ist die Verwendung von Logic Apps. Der Hauptunterschied zwischen den beiden Ansätzen besteht darin, dass das Automation-Konto eine PaaS (Platform-as-a-Service)-Lösung ist, während Logic Apps eine Software-as-a-Service (SaaS)-Lösung ist.

Der Hauptvorteil von Logic Apps ist, dass es sich um einen vollständig verwalteten Dienst handelt. Sie müssen sich nicht um die zugrunde liegende Infrastruktur kümmern. Außerdem können Logic Apps problemlos in externe Konnektoren integriert werden, wodurch sich die Bandbreite der Benachrichtigungsmöglichkeiten erweitert, z. B. durch die Einbindung von Microsoft Teams oder Microsoft 365.

Logic Apps verfügt über kein Feature, das Hybrid Runbook Worker ähnelt, was zu einer weniger flexiblen Integration mit der Zertifizierungsstelle führt. Daher ist ein Automation-Konto das zu bevorzugende Konzept.

Szenariodetails

Jede Organisation benötigt ein sicheres und effizientes Management des Lebenszyklus ihrer Zertifikate. Wird ein Zertifikat nicht vor Ablauf der Gültigkeit aktualisiert, kann dies zu Dienstunterbrechungen führen und erhebliche Kosten für das Unternehmen verursachen.

Unternehmen betreiben in der Regel komplexe IT-Infrastrukturen mit mehreren Teams, die für den Lebenszyklus von Zertifikaten verantwortlich sind. Der manuelle Prozess der Zertifikatserneuerung führt häufig zu Fehlern und verschlingt wertvolle Zeit.

Diese Lösung bewältigt die Herausforderungen, indem sie die Erneuerung von Zertifikaten automatisiert, die vom Microsoft Certificate Service ausgestellt werden. Der Dienst wird häufig für verschiedene Serveranwendungen wie Webserver und SQL-Server verwendet und dient der Verschlüsselung, der Nichtabstreitbarkeit, der Signierung, der rechtzeitigen Aktualisierung und der sicheren Speicherung von Zertifikaten im Key Vault. Die Kompatibilität des Dienstes mit Azure-Servern und Servern vor Ort unterstützt eine flexible Bereitstellung.

Mögliche Anwendungsfälle

Diese Lösung richtet sich an Unternehmen aus verschiedenen Branchen, die:

• Verwenden Sie den Microsoft Certificate Service für die Erstellung von Serverzertifikaten.
• Erfordern Sie eine Automatisierung des Zertifikatverlängerungsprozesses, um die Abläufe zu beschleunigen und Fehler zu minimieren, wodurch Geschäftsverluste und Verletzungen von Service-Level-Agreements (SLAs) vermieden werden können.
• Erfordern Sie eine sichere Speicherung von Zertifikaten in Repositories wie Key Vault.

Diese Architektur dient als grundlegender Bereitstellungsansatz für Zielzonenabonnements für Anwendungen.

Überlegungen

Diese Überlegungen bilden die Säulen des Azure Well-Architected Framework, einer Reihe von Leitprinzipien, die Sie zur Verbesserung der Qualität eines Workloads verwenden können. Weitere Informationen finden Sie unter Microsoft Azure Well-Architected Framework.

Sicherheit

Sicherheit bietet Schutz vor vorsätzlichen Angriffen und dem Missbrauch Ihrer wertvollen Daten und Systeme. Weitere Informationen finden Sie unter Übersicht über die Säule „Sicherheit“.

Innerhalb des Key Vault-Systems werden Zertifikate sicher als verschlüsselte Geheimnisse gespeichert und durch die rollenbasierte Zugriffskontrolle (RBAC) von Azure geschützt.

Während des gesamten Prozesses der Zertifikatserneuerung sind die Komponenten, die Identitäten verwenden:

• Das Systemkonto des Hybrid-Runbook-Workers, der unter dem Konto der VM arbeitet.
• Die Key Vault-Erweiterung, die die mit der VM verbundene verwaltete Identität verwendet.
• Das Automatisierungskonto, das seine festgelegte verwaltete Identität verwendet.

Der Grundsatz des geringsten Rechtsanspruchs wird bei allen am Zertifikatserneuerungsverfahren beteiligten Identitäten strikt durchgesetzt.

Das Systemkonto des Hybrid-Runbook-Worker-Servers muss das Recht haben, Zertifikate für eine oder mehrere Zertifikatsvorlagen zu registrieren, die neue Zertifikate generieren.

Auf dem Key Vault, der die Zertifikate enthält, muss die Identität des Automation-Kontos die Rolle Key Vault Certificate Officer haben. Darüber hinaus müssen Server, die Zugriff auf Zertifikate benötigen, über die Berechtigungen Get und List im Zertifikatspeicher des Key Vaults verfügen.

In der Warteschlange des Speicherkontos muss die Identität des Automatisierungskontos die Rollen Storage Queue Data Contributor, Reader and Data Access und Reader haben.

In Szenarien, in denen die Key Vault-Erweiterung auf einer Azure-VM eingesetzt wird, erfolgt die Authentifizierung über die verwaltete Identität der VM. Bei der Bereitstellung auf einem Azure Arc-fähigen Server wird die Authentifizierung jedoch über einen Dienstprinzipal abgewickelt. Sowohl der verwalteten Identität als auch dem Dienstprinzipal muss die geheime Benutzerrolle des Key Vaults zugewiesen werden, in dem das Zertifikat gespeichert ist. Sie müssen eine geheime Rolle verwenden, da das Zertifikat im Key Vault als Geheimnis gespeichert wird.

Kostenoptimierung

Bei der Kostenoptimierung geht es um die Suche nach Möglichkeiten, unnötige Ausgaben zu reduzieren und die Betriebseffizienz zu verbessern. Weitere Informationen finden Sie unter Erstellen einer Checkliste zur Überprüfung der Kostenoptimierung.

Diese Lösung nutzt Azure PaaS-Lösungen, die nach dem Pay-as-you-go-Prinzip funktionieren und so die Kosten optimieren. Die Kosten hängen von der Anzahl der zu verlängernden Zertifikate und der Anzahl der mit der Key Vault-Erweiterung ausgestatteten Server ab, was zu einem geringen Overhead führt.

Die Kosten, die durch die Key Vault-Erweiterung und Hybrid Runbook Worker entstehen, hängen von Ihren Installationsentscheidungen und Abfrageintervallen ab. Die Kosten für Event Grid entsprechen dem Volumen der von Key Vault generierten Ereignisse. Gleichzeitig korrelieren die Kosten für das Automatisierungskonto mit der Anzahl der von Ihnen verwendeten Runbooks.

Die Kosten für Key Vault hängen von verschiedenen Faktoren ab, darunter die von Ihnen gewählte SKU (Standard oder Premium), die Menge der gespeicherten Zertifikate und die Häufigkeit der mit den Zertifikaten durchgeführten Operationen.

Für das Speicherkonto gelten ähnliche Überlegungen wie für die für Key Vault beschriebenen Konfigurationen. In diesem Szenario reicht eine Standard-SKU mit lokal redundanter Speicherreplikation für das Speicherkonto aus. Im Allgemeinen sind die Kosten für die Warteschlange des Speicherkontos minimal.

Verwenden Sie den Azure-Preisrechner, um die Kosten für die Implementierung dieser Lösung abzuschätzen, und geben Sie dabei die in diesem Artikel beschriebenen Dienste ein.

Optimaler Betrieb

Die Säule „Optimaler Betrieb“ deckt die Betriebsprozesse ab, die für die Bereitstellung einer Anwendung und deren Ausführung in der Produktion sorgen. Weitere Informationen finden Sie unter Erstellen einer Checkliste zur Überprüfung des optimalen Betriebs.

Das automatische Verfahren zur Zertifikatverlängerung speichert Zertifikate sicher durch standardisierte Prozesse, die für alle Zertifikate innerhalb des Key Vaults gelten.

Durch die Integration mit Event Grid werden zusätzliche Aktionen ausgelöst, z. B. die Benachrichtigung von Microsoft Teams oder Microsoft 365 und die Rationalisierung des Erneuerungsprozesses. Durch diese Integration wird die Zeit für die Verlängerung von Zertifikaten erheblich verkürzt und die Gefahr von Fehlern, die zu Geschäftsunterbrechungen und Verstößen gegen SLAs führen können, verringert.

Die nahtlose Integration mit Azure Monitor, Microsoft Sentinel, Microsoft Copilot for Security und Azure Security Center erleichtert zudem die kontinuierliche Überwachung des Zertifikatverlängerungsprozesses. Sie unterstützt die Erkennung von Anomalien und trägt dazu bei, dass robuste Sicherheitsmaßnahmen aufrechterhalten werden.

Bereitstellen dieses Szenarios

Wählen Sie die folgende Schaltfläche, um die in diesem Artikel beschriebene Umgebung bereitzustellen. Die Bereitstellung dauert etwa zwei Minuten und erstellt einen Key Vault, ein Event Grid-Systemthema, das mit den beiden Abonnements konfiguriert ist, ein Speicherkonto, das die certlc-Warteschlange enthält, und ein Automation-Konto mit dem Runbook und dem Webhook, verknüpft mit Event Grid.

Ausführliche Informationen über die für die Bereitstellung erforderlichen Parameter finden Sie im Portal Codebeispiel.

Beitragende

Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:

Hauptautoren:

• Fabio Masciotra | Hauptberater
• Angelo Mazzucchi | Delivery Architect

Melden Sie sich bei LinkedIn an, um nicht öffentliche LinkedIn-Profile anzuzeigen.

Zugehörige Ressourcen

Key Vault
Key Vault-Erweiterung für Windows
Key Vault-Erweiterung für Linux
Was ist Azure Automation?
Azure Automation Hybrid Runbook Worker
Azure Event Grid