À propos des certificats Azure Key VaultAbout Azure Key Vault certificates

La prise en charge des certificats Key Vault permet de gérer vos certificats x509 et les comportements suivants :Key Vault certificates support provides for management of your x509 certificates and the following behaviors:

  • Permet à un propriétaire de certificat de créer un certificat via un processus de création de Key Vault ou l’importation d’un certificat existant.Allows a certificate owner to create a certificate through a Key Vault creation process or through the import of an existing certificate. Concerne à la fois les certificats auto-signés et ceux générés par une autorité de certification.Includes both self-signed and Certificate Authority generated certificates.
  • Permet à un propriétaire de certificat Key Vault d’implémenter le stockage sécurisé et la gestion des certificats X509 sans interaction avec des éléments de clé privée.Allows a Key Vault certificate owner to implement secure storage and management of X509 certificates without interaction with private key material.
  • Permet à un propriétaire de certificat de créer une stratégie qui ordonne à Key Vault de gérer le cycle de vie d’un certificat.Allows a certificate owner to create a policy that directs Key Vault to manage the life-cycle of a certificate.
  • Permet aux propriétaires de certificat de fournir des informations de contact pour les notifications concernant des événements d’expiration du cycle de vie et le renouvellement de certificat.Allows certificate owners to provide contact information for notification about life-cycle events of expiration and renewal of certificate.
  • Prend en charge le renouvellement automatique avec des émetteurs sélectionnés : fournisseurs de certificats X509 de partenaire Key Vault/autorités de certification.Supports automatic renewal with selected issuers - Key Vault partner X509 certificate providers / certificate authorities.

Notes

Les fournisseurs/autorités non partenaires sont également autorisés, mais ils ne prendront pas en charge la fonctionnalité de renouvellement automatique.Non-partnered providers/authorities are also allowed but, will not support the auto renewal feature.

Composition d’un certificatComposition of a Certificate

Lorsqu’un certificat Key Vault est créé, une clé et un secret adressables sont également créés avec le même nom.When a Key Vault certificate is created, an addressable key and secret are also created with the same name. La clé Key Vault permet d’exécuter des opérations sur les clés et le secret Key Vault permet de récupérer la valeur du certificat en tant que secret.The Key Vault key allows key operations and the Key Vault secret allows retrieval of the certificate value as a secret. Un certificat Key Vault contient également des métadonnées de certificat x509 publiques.A Key Vault certificate also contains public x509 certificate metadata.

L’identificateur et la version de certificats sont similaires à ceux de clés et de secrets.The identifier and version of certificates is similar to that of keys and secrets. Une version spécifique d’une clé et d’un secret adressables créés avec la version du certificat Key Vault est disponible dans la réponse de certificat Key Vault.A specific version of an addressable key and secret created with the Key Vault certificate version is available in the Key Vault certificate response.

Les certificats sont des objets complexes

Clé exportable ou non exportableExportable or Non-exportable key

Lorsqu’un certificat Key Vault est créé, il peut être récupéré dans le secret adressable avec la clé privée au format PFX ou PEM.When a Key Vault certificate is created, it can be retrieved from the addressable secret with the private key in either PFX or PEM format. La stratégie utilisée pour créer le certificat doit indiquer que la clé est exportable.The policy used to create the certificate must indicate that the key is exportable. Si la stratégie indique qu’elle n’est pas exportable, la clé privée ne fait pas partie de la valeur quand elle est récupérée en tant que secret.If the policy indicates non-exportable, then the private key isn't a part of the value when retrieved as a secret.

La clé adressable est plus pertinente avec des certificats KV non exportables.The addressable key becomes more relevant with non-exportable KV certificates. Les opérations de la clé KV adressable sont mappées à partir du champ keyusage de la stratégie de certificat KV utilisée pour créer le certificat KV.The addressable KV key's operations are mapped from keyusage field of the KV certificate policy used to create the KV Certificate.

  • Types de clés pris en charge : RSA, RSA-HSM, EC, EC-HSM, oct (listés ici) : « Exportable » est autorisé seulement avec RSA et EC.Supported keytypes: RSA, RSA-HSM, EC, EC-HSM, oct (listed here) Exportable is only allowed with RSA, EC. Les clés HSM sont non exportables.HSM keys would be non-exportable.

Attributs et balises de certificatCertificate Attributes and Tags

En plus des métadonnées de certificat, une clé adressable, un secret adressable et un certificat Key Vault contiennent également des attributs et des balises.In addition to certificate metadata, an addressable key and addressable secret, a Key Vault certificate also contains attributes and tags.

AttributsAttributes

Les attributs de certificat sont reproduits dans des attributs de la clé et du secret adressables créés lors de la création du certificat KV.The certificate attributes are mirrored to attributes of the addressable key and secret created when KV certificate is created.

Un certificat Key Vault comprend les attributs suivants :A Key Vault certificate has the following attributes:

  • enabled : booléen, facultatif, true par défaut.enabled : boolean, optional, default is true. Peut être spécifié pour indiquer si les données du certificat peuvent être récupérées en tant que secret ou utilisables en tant que clé.Can be specified to indicate if the certificate data can be retrieved as secret or operable as a key. Également utilisé avec nbf et exp. Quand une opération se produit entre nbf et exp , elle est autorisée seulement si enabled a la valeur true.Also used in conjunction with nbf and exp when an operation occurs between nbf and exp , and will only be permitted if enabled is set to true. Les opérations en dehors de la fenêtre nbf et exp sont automatiquement interdites.Operations outside the nbf and exp window are automatically disallowed.

Des attributs supplémentaires en lecture seule sont inclus dans la réponse :There are additional read-only attributes that are included in response:

  • created  : IntDate, indique quand cette version du certificat a été créée.created : IntDate: indicates when this version of the certificate was created.
  • updated  : IntDate, indique quand cette version du certificat a été mise à jour.updated : IntDate: indicates when this version of the certificate was updated.
  • exp  : IntDate, contient la valeur de la date d’expiration du certificat X.509.exp : IntDate: contains the value of the expiry date of the x509 certificate.
  • nbf  : IntDate, contient la valeur de la date du certificat X.509.nbf : IntDate: contains the value of the date of the x509 certificate.

Notes

Si un certificat Key Vault expire, sa clé et son secret adressables ne sont plus utilisables.If a Key Vault certificate expires, it's addressable key and secret become inoperable.

BalisesTags

Dictionnaire de paires clé/valeur spécifié par le client, similaire aux balises dans les clés et les secrets.Client specified dictionary of key value pairs, similar to tags in keys and secrets.

Notes

Les balises peuvent être lues par un appelant s’il dispose de l’autorisation list ou get sur ce type d’objet (clés, secrets ou certificats).Tags are readable by a caller if they have the list or get permission to that object type (keys, secrets, or certificates).

Stratégie de certificatCertificate policy

Une stratégie de certificat contient des informations sur la création et la gestion du cycle de vie d’un certificat Key Vault.A certificate policy contains information on how to create and manage lifecycle of a Key Vault certificate. Lorsqu’un certificat avec une clé privée est importé dans le coffre de clés, une stratégie par défaut est créée en lisant le certificat x509.When a certificate with private key is imported into the key vault, a default policy is created by reading the x509 certificate.

Quand un certificat Key Vault est créé de zéro, une stratégie doit être fournie.When a Key Vault certificate is created from scratch, a policy needs to be supplied. La stratégie spécifie comment créer cette version du certificat Key Vault ou la prochaine version.The policy specifies how to create this Key Vault certificate version, or the next Key Vault certificate version. Lorsqu’une stratégie a été définie, des opérations de création successives ne sont pas nécessaires pour les prochaines versions.Once a policy has been established, it isn't required with successive create operations for future versions. Il n’existe qu’une seule instance d’une stratégie pour toutes les versions d’un certificat Key Vault.There's only one instance of a policy for all the versions of a Key Vault certificate.

Globalement, une stratégie de certificat contient les informations suivantes (les définitions correspondantes se trouvent ici) :At a high level, a certificate policy contains the following information (their definitions can be found here):

  • Propriétés du certificat X.509 : contient le nom du sujet, les autres noms du sujet et d’autres propriétés utilisées pour créer une demande de certificat X.509.X509 certificate properties: Contains subject name, subject alternate names, and other properties used to create an x509 certificate request.

  • Propriétés des clés : contient les champs type de clé, longueur de clé, exportable et ReuseKeyOnRenewal.Key Properties: contains key type, key length, exportable, and ReuseKeyOnRenewal fields. Ces champs indiquent au coffre de clés comment générer une clé.These fields instruct key vault on how to generate a key.

    • Types de clés pris en charge : RSA, RSA-HSM, EC, EC-HSM, Oct (répertorié ici)Supported keytypes: RSA, RSA-HSM, EC, EC-HSM, oct (listed here)
  • Propriétés du secret : propriétés du secret comme le type de contenu de secret adressable pour générer la valeur du secret, pour récupérer le certificat en tant que secret.Secret properties: contains secret properties such as content type of addressable secret to generate the secret value, for retrieving certificate as a secret.

  • Actions de la durée de vie : actions de la durée de vie du certificat KV.Lifetime Actions: contains lifetime actions for the KV Certificate. Chaque action de la durée de vie contient :Each lifetime action contains:

    • Déclencheur : spécifié en jours avant l’expiration ou en pourcentage de la durée de vieTrigger: specified via days before expiry or lifetime span percentage

    • Action : spécifie le type d’action, emailContacts ou autoRenewAction: specifying action type – emailContacts or autoRenew

  • Émetteur : paramètres relatifs à l’émetteur de certificat à utiliser pour émettre des certificats X.509.Issuer: Parameters about the certificate issuer to use to issue x509 certificates.

  • Attributs de stratégie : attributs liés à la stratégiePolicy Attributes: contains attributes associated with the policy

Mappage d’utilisation de clé X509 avec Key VaultX509 to Key Vault usage mapping

Le tableau suivant représente le mappage de la stratégie d’utilisation de la clé x509 avec des opérations sur les clés effectives d’une clé créée lors de la création d’un certificat Key Vault.The following table represents the mapping of x509 key usage policy to effective key operations of a key created as part of a Key Vault certificate creation.

Indicateurs d’utilisation de la clé X509X509 Key Usage flags Opérations sur la clé Key VaultKey Vault key ops Comportement par défautDefault behavior
DataEnciphermentDataEncipherment encrypt, decryptencrypt, decrypt N/AN/A
DecipherOnlyDecipherOnly decryptdecrypt N/AN/A
DigitalSignatureDigitalSignature sign, verifysign, verify Valeur par défaut de Key Vault sans spécification de l’utilisation au moment de la création du certificatKey Vault default without a usage specification at certificate creation time
EncipherOnlyEncipherOnly encryptencrypt N/AN/A
KeyCertSignKeyCertSign sign, verifysign, verify N/AN/A
KeyEnciphermentKeyEncipherment wrapKey, unwrapKeywrapKey, unwrapKey Valeur par défaut de Key Vault sans spécification de l’utilisation au moment de la création du certificatKey Vault default without a usage specification at certificate creation time
NonRepudiationNonRepudiation sign, verifysign, verify N/AN/A
crlsigncrlsign sign, verifysign, verify N/AN/A

Émetteur de certificatCertificate Issuer

Un objet certificat Key Vault conserve une configuration utilisée pour communiquer avec un fournisseur de l’émetteur de certificat sélectionné pour demander des certificats x509.A Key Vault certificate object holds a configuration used to communicate with a selected certificate issuer provider to order x509 certificates.

  • Partenaires Key Vault avec les fournisseurs de l’émetteur de certificat suivants pour les certificats TLS/SSLKey Vault partners with following certificate issuer providers for TLS/SSL certificates
Nom du fournisseurProvider Name EmplacementsLocations
DigiCertDigiCert Pris en charge dans tous les emplacements de service de coffre de clés dans le cloud public et Azure GovernmentSupported in all key vault service locations in public cloud and Azure Government
GlobalSignGlobalSign Pris en charge dans tous les emplacements de service de coffre de clés dans le cloud public et Azure GovernmentSupported in all key vault service locations in public cloud and Azure Government

Avant de pouvoir créer un émetteur de certificat dans un coffre de clés, les étapes préliminaires 1 et 2 suivantes doivent être exécutées.Before a certificate issuer can be created in a Key Vault, following prerequisite steps 1 and 2 must be successfully accomplished.

  1. Intégrer aux fournisseurs d’autorités de certificationOnboard to Certificate Authority (CA) Providers

    • Un administrateur de l’organisation doit intégrer sa société (par ex.An organization administrator must on-board their company (ex. Contoso) à au moins un fournisseur d’autorité de certification.Contoso) with at least one CA provider.
  2. L’administrateur crée des informations d’identification du demandeur pour Key Vault afin d’inscrire (et de renouveler) des certificats TLS/SSLAdmin creates requester credentials for Key Vault to enroll (and renew) TLS/SSL certificates

    • Fournit la configuration à utiliser pour créer un objet émetteur du fournisseur dans le coffre de clésProvides the configuration to be used to create an issuer object of the provider in the key vault

Pour plus d’informations sur la création d’objets Émetteur à partir du portail Certificats, consultez le blog de certificats Key VaultFor more information on creating Issuer objects from the Certificates portal, see the Key Vault Certificates blog

Key Vault permet de créer plusieurs objets émetteurs avec une configuration de fournisseur de l’émetteur différente.Key Vault allows for creation of multiple issuer objects with different issuer provider configuration. Lorsqu’un objet émetteur est créé, son nom peut être référencé dans une ou plusieurs stratégies de certificat.Once an issuer object is created, its name can be referenced in one or multiple certificate policies. Le référencement de l’objet émetteur indique à Key Vault d’utiliser la configuration telle que spécifiée dans l’objet émetteur lors de la demande du certificat x509 à partir du fournisseur d’autorité de certification lors de la création ou du renouvellement du certificat.Referencing the issuer object instructs Key Vault to use configuration as specified in the issuer object when requesting the x509 certificate from CA provider during the certificate creation and renewal.

Les objets émetteur sont créés dans le coffre et ne peuvent être utilisés qu’avec des certificats KV dans le même coffre.Issuer objects are created in the vault and can only be used with KV certificates in the same vault.

Contacts du certificatCertificate contacts

Les contacts du certificat contiennent des informations de contact pour l’envoi de notifications déclenchées par des événements de durée de vie de certificat.Certificate contacts contain contact information to send notifications triggered by certificate lifetime events. Les informations de contact sont partagées par tous les certificats dans le coffre de clés.The contacts information is shared by all the certificates in the key vault. Une notification est envoyée à tous les contacts spécifiés pour un événement pour n’importe quel certificat dans le coffre de clés.A notification is sent to all the specified contacts for an event for any certificate in the key vault. Pour obtenir des informations sur la façon de définir un contact de certificat, reportez-vous ici.For information on how to set Certificate contact, see here

Contrôle d’accès aux certificatsCertificate Access Control

Le contrôle d’accès pour les certificats est géré par Key Vault et fourni par le coffre de clés qui contient ces certificats.Access control for certificates is managed by Key Vault, and is provided by the Key Vault that contains those certificates. La stratégie de contrôle d’accès pour les certificats est différente des stratégies de contrôle d’accès pour les clés et les secrets dans un même coffre de clés.The access control policy for certificates is distinct from the access control policies for keys and secrets in the same Key Vault. Les utilisateurs peuvent créer un ou plusieurs coffres pour stocker les certificats afin de maintenir une segmentation et une gestion des certificats appropriées au scénario.Users may create one or more vaults to hold certificates, to maintain scenario appropriate segmentation and management of certificates. Pour plus d’informations sur le contrôle d’accès aux certificats, reportez-vous ici.For more information on certificate access control, see here

Étapes suivantesNext steps