Informationen zu Azure Key Vault-ZertifikatenAbout Azure Key Vault certificates

Die Unterstützung von Key Vault-Zertifikaten ermöglicht die Verwaltung Ihrer x509-Zertifikate sowie folgende Szenarien:Key Vault certificates support provides for management of your x509 certificates and the following behaviors:

  • Ermöglicht einem Zertifikatbesitzer die Erstellung eines Zertifikats über einen Key Vault-Erstellungsvorgang oder durch den Import eines vorhandenen Zertifikats.Allows a certificate owner to create a certificate through a Key Vault creation process or through the import of an existing certificate. Dies schließt sowohl selbstsignierte als auch von einer Zertifizierungsstelle generierte Zertifikate ein.Includes both self-signed and Certificate Authority generated certificates.
  • Ermöglicht dem Besitzer eines Key Vault-Zertifikats die Implementierung von sicherem Speicher sowie die Verwaltung von X509-Zertifikaten ohne Interaktion mit privaten Schlüsseln.Allows a Key Vault certificate owner to implement secure storage and management of X509 certificates without interaction with private key material.
  • Ermöglicht einem Zertifikatbesitzer die Erstellung einer Richtlinie, die Key Vault anweist, den Lebenszyklus eines Zertifikats zu verwalten.Allows a certificate owner to create a policy that directs Key Vault to manage the life-cycle of a certificate.
  • Ermöglicht Zertifikatbesitzern die Angabe von Kontaktinformationen zur Benachrichtigung über Lebenszyklusereignisse wie Ablauf und Verlängerung eines Zertifikats.Allows certificate owners to provide contact information for notification about life-cycle events of expiration and renewal of certificate.
  • Unterstützt die automatische Verlängerung mit dem ausgewählten Aussteller – Key Vault-Partneranbieter oder -Partnerzertifizierungsstellen für X509-Zertifikate.Supports automatic renewal with selected issuers - Key Vault partner X509 certificate providers / certificate authorities.

Hinweis

Anbieter/Zertifizierungsstellen, mit denen keine Partnerschaft besteht, sind ebenfalls zulässig. Das Feature für die automatische Verlängerung wird von ihnen jedoch nicht unterstützt.Non-partnered providers/authorities are also allowed but, will not support the auto renewal feature.

Zusammensetzung eines ZertifikatsComposition of a Certificate

Wenn ein Key Vault-Zertifikat erstellt wird, werden auch ein adressierbarer Schlüssel und ein Geheimnis gleichen Namens erstellt.When a Key Vault certificate is created, an addressable key and secret are also created with the same name. Der Key Vault-Schlüssel ermöglicht Schlüsselvorgänge, und das Key Vault-Geheimnis ermöglicht den Abruf des Zertifikatwerts als Geheimnis.The Key Vault key allows key operations and the Key Vault secret allows retrieval of the certificate value as a secret. Ein Key Vault-Zertifikat enthält auch öffentliche X509-Zertifikatmetadaten.A Key Vault certificate also contains public x509 certificate metadata.

Bezeichner und Version der Zertifikate entsprechen denen von Schlüsseln und Geheimnissen.The identifier and version of certificates is similar to that of keys and secrets. Eine bestimmte Version eines mit der Key Vault-Zertifikatversion erstellten adressierbaren Schlüssels und Geheimnisses ist in der Antwort des Key Vault-Zertifikats verfügbar.A specific version of an addressable key and secret created with the Key Vault certificate version is available in the Key Vault certificate response.

Zertifikate sind komplexe Objekte

Exportierbarer oder nicht exportierbarer SchlüsselExportable or Non-exportable key

Wenn ein Key Vault-Zertifikat erstellt wird, kann es aus dem adressierbaren Geheimnis mit dem privaten Schlüssel entweder im PFX- oder PEM-Format abgerufen werden.When a Key Vault certificate is created, it can be retrieved from the addressable secret with the private key in either PFX or PEM format. Die zum Erstellen des Zertifikats verwendete Richtlinie muss angeben, dass der Schlüssel exportierbar ist.The policy used to create the certificate must indicate that the key is exportable. Wenn die Richtlinie angibt, dass der Schlüssel nicht exportierbar ist, ist der private Schlüssel beim Abruf als Geheimnis kein Teil des Werts.If the policy indicates non-exportable, then the private key isn't a part of the value when retrieved as a secret.

Der adressierbare Schlüssel erhält bei nicht exportierbaren Key Vault-Zertifikaten höhere Relevanz.The addressable key becomes more relevant with non-exportable KV certificates. Die Vorgänge des adressierbaren Key Vault-Schlüssels werden vom Feld keyusage der Key Vault-Zertifikatrichtlinie zugeordnet, mit der das Key Vault-Zertifikat erstellt wird.The addressable KV key's operations are mapped from keyusage field of the KV certificate policy used to create the KV Certificate.

Der Typ des Schlüsselpaars, das für Zertifikate unterstützt wirdThe type of key pair to supported for certificates

  • Unterstützte Schlüsseltypen: RSA, RSA-HSM, EC, EC-HSM, oct (hier aufgeführt). Exportierbare Schlüssel sind nur bei RSA und EC zulässig.Supported keytypes: RSA, RSA-HSM, EC, EC-HSM, oct (listed here) Exportable is only allowed with RSA, EC. HSM-Schlüssel sind nicht exportierbar.HSM keys would be non-exportable.
SchlüsseltypKey type InfoAbout SicherheitSecurity
RSARSA Softwaregeschützter RSA-Schlüssel"Software-protected" RSA key FIPS 140-2 Level 1FIPS 140-2 Level 1
RSA-HSMRSA-HSM Durch HSM geschützter RSA-Schlüssel (nur Premium-SKU)"HSM-protected" RSA key (Premium SKU only) HSM mit FIPS 140-2 Level 2FIPS 140-2 Level 2 HSM
ECEC Softwaregeschützter Elliptic Curve-Schlüssel."Software-protected" Elliptic Curve key FIPS 140-2 Level 1FIPS 140-2 Level 1
EC-HSMEC-HSM Durch HSM geschützter Elliptic Curve-Schlüssel (nur Premium-SKU)"HSM-protected" Elliptic Curve key (Premium SKU only) HSM mit FIPS 140-2 Level 2FIPS 140-2 Level 2 HSM

Zertifikatattribute und TagsCertificate Attributes and Tags

Außer den Zertifikatmetadaten, einem adressierbaren Schlüssel und einem adressierbaren Geheimnis enthält ein Key Vault-Zertifikat auch Attribute und Tags.In addition to certificate metadata, an addressable key and addressable secret, a Key Vault certificate also contains attributes and tags.

AttributesAttributes

Die Zertifikatattribute werden in Attributen des adressierbaren Schlüssels und Geheimnisses gespiegelt, wenn ein Key Vault-Zertifikat erstellt wird.The certificate attributes are mirrored to attributes of the addressable key and secret created when KV certificate is created.

Ein Key Vault-Zertifikat weist folgende Attribute auf:A Key Vault certificate has the following attributes:

  • enabled: Boolesch, optional, Standardwert ist true.enabled: boolean, optional, default is true. Mit diesem Attribut kann angegeben werden, ob die Zertifikatdaten als Geheimnis oder als funktionsfähiger Schlüssel abgerufen werden können.Can be specified to indicate if the certificate data can be retrieved as secret or operable as a key. Das Attribut wird auch in Verbindung mit nbf und exp verwendet, wenn ein Vorgang zwischen nbf und exp stattfindet. Der Vorgang wird nur zugelassen, wenn „enabled“ auf „true“ festgelegt ist.Also used in conjunction with nbf and exp when an operation occurs between nbf and exp, and will only be permitted if enabled is set to true. Vorgänge außerhalb des Fensters zwischen nbf und exp werden automatisch nicht zugelassen.Operations outside the nbf and exp window are automatically disallowed.

Es gibt zusätzliche schreibgeschützte Attribute, die in die Antwort einbezogen werden:There are additional read-only attributes that are included in response:

  • created: IntDate: gibt an, wann diese Version des Zertifikats erstellt wurdecreated: IntDate: indicates when this version of the certificate was created.
  • updated: IntDate: gibt an, wann diese Version des Zertifikats aktualisiert wurdeupdated: IntDate: indicates when this version of the certificate was updated.
  • exp: IntDate: enthält den Wert des Ablaufdatums des X.509-Zertifikatsexp: IntDate: contains the value of the expiry date of the x509 certificate.
  • nbf: IntDate: enthält den Wert des Datums des X.509-Zertifikatsnbf: IntDate: contains the value of the date of the x509 certificate.

Hinweis

Wenn ein Key Vault-Zertifikat abläuft, sind sein adressierbarer Schlüssel und sein Geheimnis nicht mehr funktionsfähig.If a Key Vault certificate expires, it's addressable key and secret become inoperable.

TagsTags

Vom Client angegebenes Wörterbuch von Schlüssel-Wert-Paaren, die Tags in Schlüsseln und Geheimnissen ähneln.Client specified dictionary of key value pairs, similar to tags in keys and secrets.

Hinweis

Tags sind für Aufrufer lesbar, die über die list- oder get-Berechtigung für diesen Objekttyp (Schlüssel, Geheimnisse oder Zertifikate) verfügen.Tags are readable by a caller if they have the list or get permission to that object type (keys, secrets, or certificates).

ZertifikatrichtlinieCertificate policy

Eine Zertifikatrichtlinie enthält Informationen zum Erstellen und Verwalten des Lebenszyklus eines Key Vault-Zertifikats.A certificate policy contains information on how to create and manage lifecycle of a Key Vault certificate. Wenn ein Zertifikat mit privatem Schlüssel in den Schlüsseltresor importiert wird, wird durch Lesen des X509-Zertifikats eine Standardrichtlinie erstellt.When a certificate with private key is imported into the key vault, a default policy is created by reading the x509 certificate.

Wenn ein Key Vault-Zertifikat von Grund auf neu erstellt wird, muss eine Richtlinie angegeben werden.When a Key Vault certificate is created from scratch, a policy needs to be supplied. Die Richtlinie gibt an, wie diese oder die nächste Key Vault-Zertifikatversion erstellt werden soll.The policy specifies how to create this Key Vault certificate version, or the next Key Vault certificate version. Nachdem eine Richtlinie eingerichtet wurde, ist bei nachfolgenden Erstellungsvorgängen für zukünftige Versionen keine weitere Richtlinie erforderlich.Once a policy has been established, it isn't required with successive create operations for future versions. Es gibt nur eine Instanz einer Richtlinie für alle Versionen eines Key Vault-Zertifikats.There's only one instance of a policy for all the versions of a Key Vault certificate.

Generell enthält eine Zertifikatsrichtlinie folgende Informationen (deren Definitionen finden Sie hier):At a high level, a certificate policy contains the following information (their definitions can be found here):

  • Eigenschaften des X.509-Zertifikats: Enthält den Namen und einen alternativen Namen des Antragstellers sowie weitere Eigenschaften zum Erstellen einer X.509-Zertifikatanforderung.X509 certificate properties: Contains subject name, subject alternate names, and other properties used to create an x509 certificate request.

  • Schlüsseleigenschaften: enthalten Schlüsseltyp, Schlüssellänge sowie Exportierbarkeits- und ReuseKeyOnRenewal-Felder.Key Properties: contains key type, key length, exportable, and ReuseKeyOnRenewal fields. Diese Felder teilen Key Vault mit, wie ein Schlüssel generiert werden soll.These fields instruct key vault on how to generate a key.

    • Unterstützte Schlüsseltypen: RSA, RSA-HSM, EC, EC-HSM, oct (hier aufgeführt)Supported keytypes: RSA, RSA-HSM, EC, EC-HSM, oct (listed here)
  • Geheimniseigenschaften: enthält Geheimniseigenschaften wie den Inhaltstyp eines adressierbaren Geheimnisses zum Generieren des Geheimniswerts, um das Zertifikat als Geheimnis abzurufen.Secret properties: contains secret properties such as content type of addressable secret to generate the secret value, for retrieving certificate as a secret.

  • Lebensdaueraktionen: enthält Lebensdaueraktionen für das Key Vault-Zertifikat.Lifetime Actions: contains lifetime actions for the KV Certificate. Jede Lebensdaueraktion enthält:Each lifetime action contains:

    • Trigger: wird über Tage vor Ablauf oder Lebensdauerprozentsatz angegebenTrigger: specified via days before expiry or lifetime span percentage

    • Aktion: Angabe des Aktionstyps – emailContacts oder autoRenewAction: specifying action type – emailContacts or autoRenew

  • Aussteller: Parameter über den zum Ausstellen von X.509-Zertifikaten zu verwendenden Aussteller des Zertifikats.Issuer: Parameters about the certificate issuer to use to issue x509 certificates.

  • Richtlinienattribute: enthält Attribute, die der Richtlinie zugeordnet sindPolicy Attributes: contains attributes associated with the policy

Zuordnung von X509 zur Key Vault-VerwendungX509 to Key Vault usage mapping

In der folgenden Tabelle wird eine X509-Schlüsselverwendungsrichtlinie effektiven Schlüsselvorgängen eines Schlüssels zugeordnet, der im Rahmen einer Key Vault-Zertifikatserstellung erstellt wurde.The following table represents the mapping of x509 key usage policy to effective key operations of a key created as part of a Key Vault certificate creation.

X509-Flags für SchlüsselverwendungX509 Key Usage flags Key Vault-SchlüsseloptionenKey Vault key ops StandardverhaltenDefault behavior
DataEnciphermentDataEncipherment encrypt, decryptencrypt, decrypt N/A
DecipherOnlyDecipherOnly Entschlüsselndecrypt N/A
DigitalSignatureDigitalSignature sign, verifysign, verify Key Vault-Standard ohne Verwendungsspezifikation zum Zeitpunkt der ZertifikatserstellungKey Vault default without a usage specification at certificate creation time
EncipherOnlyEncipherOnly encryptencrypt N/A
KeyCertSignKeyCertSign sign, verifysign, verify N/A
KeyEnciphermentKeyEncipherment wrapKey, unwrapKeywrapKey, unwrapKey Key Vault-Standard ohne Verwendungsspezifikation zum Zeitpunkt der ZertifikatserstellungKey Vault default without a usage specification at certificate creation time
NonRepudiationNonRepudiation sign, verifysign, verify N/A
crlsigncrlsign sign, verifysign, verify N/A

ZertifikatausstellerCertificate Issuer

Ein Key Vault-Zertifikatsobjekt enthält eine Konfiguration zur Kommunikation mit einem ausgewählten Zertifikatsausstelleranbieter über das Bestellen von X509-Zertifikaten.A Key Vault certificate object holds a configuration used to communicate with a selected certificate issuer provider to order x509 certificates.

  • Key Vault-Partner mit den folgenden Zertifikatsausstelleranbietern für TSL-/SSL-ZertifikateKey Vault partners with following certificate issuer providers for TLS/SSL certificates
AnbieternameProvider Name SpeicherorteLocations
DigiCertDigiCert Wird an allen Key Vault-Dienststandorten in öffentlicher Cloud und Azure Government unterstütztSupported in all key vault service locations in public cloud and Azure Government
GlobalSignGlobalSign Wird an allen Key Vault-Dienststandorten in öffentlicher Cloud und Azure Government unterstütztSupported in all key vault service locations in public cloud and Azure Government

Bevor ein Zertifikatsaussteller in einer Key Vault-Instanz erstellt werden kann, müssen die folgenden erforderlichen Schritte 1 und 2 erfolgreich durchgeführt werden.Before a certificate issuer can be created in a Key Vault, following prerequisite steps 1 and 2 must be successfully accomplished.

  1. Integrieren in Anbieter von Zertifizierungsstellen (CA)Onboard to Certificate Authority (CA) Providers

    • Ein Organisationsadministrator muss sein Unternehmen (z.B.An organization administrator must on-board their company (ex. Contoso) in mindestens einen CA-Anbieter integrieren.Contoso) with at least one CA provider.
  2. Der Administrator erstellt die Anmeldeinformationen der anfordernden Person, damit Key Vault TSL-/SSL-Zertifikate registrieren (und erneuern) kann.Admin creates requester credentials for Key Vault to enroll (and renew) TLS/SSL certificates

    • Stellt die Konfiguration zum Erstellen eines Ausstellerobjekts des Anbieters im Schlüsseltresor bereitProvides the configuration to be used to create an issuer object of the provider in the key vault

Weitere Informationen zum Erstellen von Ausstellerobjekten im Zertifikateportal finden Sie im Blog zu Key Vault-Zertifikaten.For more information on creating Issuer objects from the Certificates portal, see the Key Vault Certificates blog

Key Vault ermöglicht die Erstellung mehrerer Ausstellerobjekte mit unterschiedlicher Ausstelleranbieterkonfiguration.Key Vault allows for creation of multiple issuer objects with different issuer provider configuration. Sobald ein Ausstellerobjekt erstellt ist, kann in einer oder mehreren Zertifikatrichtlinien auf seinen Namen verwiesen werden.Once an issuer object is created, its name can be referenced in one or multiple certificate policies. Beim Verweis auf das Ausstellerobjekt wird Key Vault angewiesen, die Konfiguration gemäß den Angaben im Ausstellerobjekt zu verwenden, wenn das X509-Zertifikat bei Zertifikaterstellung und -verlängerung beim CA-Anbieter angefordert wird.Referencing the issuer object instructs Key Vault to use configuration as specified in the issuer object when requesting the x509 certificate from CA provider during the certificate creation and renewal.

Ausstellerobjekte werden im Tresor erstellt und können nur in demselben Tresor mit Key Vault-Zertifikaten verwendet werden.Issuer objects are created in the vault and can only be used with KV certificates in the same vault.

ZertifikatkontakteCertificate contacts

Zertifikatkontakte enthalten Kontaktinformationen zum Senden von Benachrichtigungen, die durch Zertifikatlebensdauer-Ereignisse ausgelöst werden.Certificate contacts contain contact information to send notifications triggered by certificate lifetime events. Die Kontaktinformationen werden von allen Zertifikaten im Schlüsseltresor gemeinsam genutzt.The contacts information is shared by all the certificates in the key vault. Eine Benachrichtigung zu einem Ereignis eines beliebigen Zertifikats im Schlüsseltresor wird an alle angegebenen Kontakte gesendet.A notification is sent to all the specified contacts for an event for any certificate in the key vault. Informationen zum Festlegen des Zertifikatkontatks finden Sie hier.For information on how to set Certificate contact, see here

ZertifikatzugriffssteuerungCertificate Access Control

Die Zugriffssteuerung für Zertifikate wird von Key Vault verwaltet und wird von der Key Vault-Instanz bereitgestellt, die diese Zertifikate enthält.Access control for certificates is managed by Key Vault, and is provided by the Key Vault that contains those certificates. Die Zugriffssteuerungsrichtlinie für Zertifikate unterscheidet sich von der Zugriffssteuerungsrichtlinie für Schlüssel und Geheimnisse im selben Key Vault.The access control policy for certificates is distinct from the access control policies for keys and secrets in the same Key Vault. Benutzer können einen oder mehrere Tresore zum Speichern von Zertifikaten erstellen und müssen für eine dem Szenario entsprechende Segmentierung und Verwaltung von Zertifikaten sorgen.Users may create one or more vaults to hold certificates, to maintain scenario appropriate segmentation and management of certificates. Weitere Informationen zur Zertifikatzugriffssteuerung finden Sie hier.For more information on certificate access control, see here

Nächste SchritteNext steps