Información general de los certificados de Azure

Como se ha mencionado anteriormente, la Seguridad de la capa de transporte (TLS) es la base para el cifrado de datos de sitios web en tránsito. TLS usa certificados para cifrar y descifrar los datos. Sin embargo, estos certificados tienen un ciclo de vida que requiere administración de administradores. Un problema de seguridad común con los sitios web es cuando tienen certificados de TLS expirados que abren vulnerabilidades de seguridad.

Los certificados usados en Azure son de tipo x.509 v3 y pueden estar firmados por una autoridad certificada de confianza o estar autofirmados. Un certificado autofirmado está firmado por su propio creador; por lo tanto, no es de confianza de forma predeterminada. La mayoría de los exploradores pueden pasar por alto este problema. Sin embargo, solo debe usar certificados autofirmados cuando desarrolle y pruebe sus servicios en la nube. Estos certificados pueden contener una clave privada o pública y tener una huella digital que proporcione un medio para identificar un certificado de manera inequívoca. Esta huella digital se utiliza en el archivo de configuración de Azure para identificar qué certificado debe usar un servicio en la nube.

Tipos de certificados

En Azure, los certificados se usan con dos finalidades principales y se les asigna una designación concreta en función de su uso previsto.

  1. Los certificados de servicio se usan para los servicios en la nube.
  2. Los certificados de administración se usan para la autenticación con la API de administración.

Certificado de servicio

Los certificados de servicio están vinculados a los servicios en la nube y posibilitan la comunicación segura hacia el servicio y desde este. Por ejemplo, si se implementa un rol web, le interesaría proporcionar un certificado que pueda autenticar un punto de conexión HTTPS expuesto. Los certificados de servicio, especificados en la definición de servicio, se implementan automáticamente en la máquina virtual que está ejecutando una instancia del rol.

Puede cargar certificados de servicio en Azure mediante Azure Portal o mediante el modelo de implementación clásica. Los certificados de servicio están asociados a un servicio en la nube específico. Se asignan a una implementación en el archivo de definición de servicio.

Puede administrar certificados de servicio de forma independiente de los servicios y puede tener diferentes personas administrándolos. Por ejemplo, un desarrollador podría cargar un paquete de servicio que hiciera referencia a un certificado que un administrador de TI hubiera cargado previamente en Azure. Un administrador de TI puede administrar y renovar el certificado (cambiando la configuración del servicio) sin necesidad de cargar un nuevo paquete de servicio. La actualización sin un nuevo paquete de servicio es posible porque el nombre lógico, el nombre del almacén y la ubicación del certificado se encuentran en el archivo de definición de servicio, mientras que la huella digital del certificado se especifica en el archivo de configuración de servicio. Para actualizar el certificado, solo es necesario cargar un nuevo certificado y cambiar el valor de la huella digital en el archivo de configuración de servicio.

Certificados de administración

Los certificados de administración permiten autenticar con el modelo de implementación clásica. Muchos programas y herramientas (como Visual Studio o Azure SDK) utilizan estos certificados para automatizar la configuración y la implementación de diferentes servicios de Azure. Sin embargo, estos no están relacionados realmente con servicios en la nube.

Uso de Azure Key Vault con certificados

Puede almacenar los certificados en Azure Key Vault, como cualquier otro secreto. Sin embargo, Key Vault proporciona características adicionales más allá de la administración de certificados típica.

  • Puede crear certificados en Key Vault o importar certificados existentes.
  • Puede almacenar y administrar de manera segura los certificados sin ninguna interacción con el material de clave privada.
  • Puede crear una directiva que indique a Key Vault cómo administrar el ciclo de vida de un certificado.
  • Puede proporcionar información de contacto para la notificación de eventos del ciclo de vida de caducidad y renovación de certificados.
  • Puede renovar certificados de forma automática con emisores seleccionados: proveedores de certificados x509 y entidades de certificación asociados con Key Vault.

La automatización de la administración de certificados ayuda a reducir o eliminar la tarea de la administración manual de certificados, propensa a errores.