Tutoriel : Configuration de la rotation automatique d’un certificat dans Key VaultTutorial: Configure certificate auto-rotation in Key Vault

Azure Key Vault vous permet de provisionner, gérer et déployer facilement des certificats numériques.You can easily provision, manage, and deploy digital certificates by using Azure Key Vault. Les certificats peuvent être des certificats TLS/SSL signés par une autorité de certification (CA) ou un certificat auto-signé.The certificates can be public and private Secure Sockets Layer (SSL)/Transport Layer Security (TLS) certificates signed by a certificate authority (CA), or a self-signed certificate. Key Vault peut également demander et renouveler des certificats via des partenariats avec des autorités de certification, en fournissant une solution robuste pour la gestion du cycle de vie des certificats.Key Vault can also request and renew certificates through partnerships with CAs, providing a robust solution for certificate lifecycle management. Dans ce tutoriel, vous mettez à jour la période de validité, la fréquence de rotation automatique et l’autorité de certification d’un certificat.In this tutorial, you will update a certificate's validity period, auto-rotation frequency, and CA attributes.

Ce didacticiel explique les procédures suivantes :The tutorial shows you how to:

  • Gérer un certificat à l’aide du portail Azure.Manage a certificate by using the Azure portal.
  • Ajouter un compte de fournisseur d’autorité de certification.Add a CA provider account.
  • Mettre à jour la période de validité du certificat.Update the certificate's validity period.
  • Mettre à jour la fréquence de rotation automatique du certificat.Update the certificate's auto-rotation frequency.
  • Mettre à jour les attributs du certificat avec Azure PowerShell.Update the certificate's attributes by using Azure PowerShell.

Avant de continuer, lisez les concepts de base de Key Vault.Before you begin, read Key Vault basic concepts.

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.If you don't have an Azure subscription, create a free account before you begin.

Connexion à AzureSign in to Azure

Connectez-vous au portail Azure sur https://portal.azure.com.Sign in to the Azure portal at https://portal.azure.com.

Création d'un coffreCreate a vault

Créez un coffre de clés Azure à l’aide du portail Azure, d’Azure CLI ou d’Azure PowerShell.Create an Azure Key Vault using Azure portal, Azure CLI, or Azure PowerShell. Dans l’exemple, le nom du coffre de clés est Example-Vault.In the example, the key vault name is Example-Vault.

Sortie après la création du coffre de clés

Créer un certificat dans Key VaultCreate a certificate in Key Vault

Créez un certificat ou importez un certificat dans le coffre de clés (voir les Étapes de création d’un certificat dans Key Vault).Create a certificate or import a certificate into the key vault (see Steps to create a certificate in Key Vault). Dans le cas présent, nous allons utiliser un certificat nommé ExampleCertificate.In this case, you'll work on a certificate called ExampleCertificate.

Mettre à jour les attributs du cycle de vie des certificatsUpdate certificate lifecycle attributes

Dans Azure Key Vault, vous pouvez mettre à jour les attributs de cycle de vie d’un certificat à la fois avant et après la création du certificat.In Azure Key Vault, you can update a certificate's lifecycle attributes both before and after the time of certificate creation.

Un certificat créé dans le coffre de clés peut être :A certificate created in Key Vault can be:

  • Un certificat auto-signé.A self-signed certificate.
  • Un certificat créé avec une autorité de certification qui est associée à Key Vault.A certificate created with a CA that's partnered with Key Vault.
  • Un certificat auprès d’une autorité de certification qui n’est pas associée à Key Vault.A certificate with a CA that isn't partnered with Key Vault.

Les autorités de certification suivantes sont les fournisseurs actuellement associés à Key Vault :The following CAs are currently partnered providers with Key Vault:

  • DigiCert : Key Vault propose des certificats TLS/SSL OV.DigiCert: Key Vault offers OV TLS/SSL certificates.
  • GlobalSign : Key Vault propose des certificats TLS/SSL OV.GlobalSign: Key Vault offers OV TLS/SSL certificates.

Key Vault fait pivoter automatiquement les certificats via des partenariats établis avec les autorités de certification.Key Vault auto-rotates certificates through established partnerships with CAs. Étant donné que Key Vault demande et renouvelle automatiquement les certificats par le biais du partenariat, la fonctionnalité de rotation automatique n’est pas applicable pour les certificats créés avec des autorités de certification qui ne sont pas associées à Key Vault.Because Key Vault automatically requests and renews certificates through the partnership, auto-rotation capability is not applicable for certificates created with CAs that are not partnered with Key Vault.

Notes

Un administrateur de compte d’un fournisseur d’autorité de certification crée des informations d’identification utilisables par Key Vault pour créer, renouveler et utiliser des certificats TSL/SSL.An account admin for a CA provider creates credentials that Key Vault uses to create, renew, and use TLS/SSL certificates. Autorité de certificationCertificate authority

Mettre à jour les attributs du cycle de vie du certificat au moment de la créationUpdate certificate lifecycle attributes at the time of creation

  1. Dans les pages des propriétés Key Vault, sélectionnez Certificats.On the Key Vault properties pages, select Certificates.

  2. Sélectionnez Générer/Importer.Select Generate/Import.

  3. Dans l’écran Créer un certificat, mettez à jour les valeurs suivantes :On the Create a certificate screen, update the following values:

    • Période de validité : entrez la valeur (en mois).Validity Period: Enter the value (in months). La création de certificats à courte durée de vie est une pratique recommandée en matière de sécurité.Creating short-lived certificates is a recommended security practice. Par défaut, la valeur de validité d’un certificat nouvellement créé est de 12 mois.By default, the validity value of a newly created certificate is 12 months.

    • Type d’action de la durée de vie : Sélectionnez l’action de renouvellement automatique et d’alerte du certificat, puis mettez à jour le Pourcentage de la durée de vie ou le Nombre de jours avant l’expiration.Lifetime Action Type: Select the certificate's auto-renewal and alerting action and then update percentage lifetime or Number of days before expiry. Par défaut, le renouvellement automatique d’un certificat est défini à 80 % de sa durée de vie.By default, a certificate's auto-renewal is set at 80 percent of its lifetime. Dans le menu déroulant, sélectionnez l'une des options suivantes.From the drop-down menu, select one of the following options.

      Automatically renew at a given time (Renouveler automatiquement à un moment donné)Automatically renew at a given time Envoyer un e-mail à tous les contacts à un moment donné (Email all contacts at a given time)Email all contacts at a given time
      La sélection de cette option active la rotation automatique.Selecting this option will turn on autorotation. La sélection de cette option ne déclenche pas la rotation automatique, elle alerte uniquement les contacts.Selecting this option will not auto-rotate but will only alert the contacts.
  4. Sélectionnez Create (Créer).Select Create.

Cycle de vie du certificat

Mettre à jour les attributs de cycle de vie d’un certificat stockéUpdate lifecycle attributes of a stored certificate

  1. Sélectionnez le coffre de clés.Select the key vault.

  2. Dans les pages des propriétés Key Vault, sélectionnez Certificats.On the Key Vault properties pages, select Certificates.

  3. Sélectionnez le certificat à mettre à jour.Select the certificate you want to update. Dans le cas présent, nous allons utiliser un certificat nommé ExampleCertificate.In this case, you'll work on a certificate called ExampleCertificate.

  4. Dans la barre de menus supérieure, sélectionnez Stratégie d’émission.Select Issuance Policy from the top menu bar.

    Capture d’écran mettant en évidence le bouton Stratégie d’émission.

  5. Dans l’écran Stratégie d’émission, mettez à jour les valeurs suivantes :On the Issuance Policy screen, update the following values:

    • Période de validité : Mettez à jour la valeur (en mois).Validity Period: Update the value (in months).
    • Type d’action de la durée de vie : Sélectionnez l’action de renouvellement automatique et d’alerte du certificat, puis mettez à jour le Pourcentage de la durée de vie ou Nombre de jours avant l’expiration.Lifetime Action Type: Select the certificate's auto-renewal and alerting action and then update the percentage lifetime or Number of days before expiry.

    Propriétés du certificat

  6. Sélectionnez Enregistrer.Select Save.

Important

La modification du type d’action de la durée de vie d’un certificat enregistre immédiatement les modifications pour les certificats existants.Changing the Lifetime Action Type for a certificate will record modifications for the existing certificates immediately.

Mettre à jour les attributs de certificat à l’aide de PowerShellUpdate certificate attributes by using PowerShell



Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName 
                                   -Name $certificateName 
                                   -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]

Conseil

Pour modifier la stratégie de renouvellement d’une liste de certificats, utilisez une entrée File.csv contenant VaultName,CertName comme dans l’exemple suivant :To modify the renewal policy for a list of certificates, enter File.csv containing VaultName,CertName as in the following example:
vault1,Cert1
vault2,Cert2

$file = Import-CSV C:\Users\myfolder\ReadCSVUsingPowershell\File.csv 
foreach($line in $file)
{
Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName -Name $certificateName -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]
}

Pour en savoir plus sur les paramètres, consultez az keyvault certificate.To learn more about the parameters, see az keyvault certificate.

Nettoyer les ressourcesClean up resources

D’autres tutoriels de Key Vault s’appuient sur ce tutoriel.Other Key Vault tutorials build upon this tutorial. Si vous envisagez de travailler avec ces tutoriels, vous souhaiterez peut-être conserver ces ressources existantes.If you plan to work with these tutorials, you might want to leave these existing resources in place. Si vous n’en avez plus besoin, supprimez le groupe de ressources. Ce faisant, vous supprimez le coffre de clés et les ressources associées.When you no longer need them, delete the resource group, which deletes the key vault and related resources.

Pour supprimer le groupe de ressources à l’aide du portail :To delete the resource group by using the portal:

  1. Entrez le nom de votre groupe de ressources dans la zone Recherche en haut du portail.Enter the name of your resource group in the Search box at the top of the portal. Lorsque vous voyez le groupe de ressources utilisé dans ce démarrage rapide dans les résultats de recherche, sélectionnez-le.When the resource group used in this quickstart appears in the search results, select it.
  2. Sélectionnez Supprimer le groupe de ressources.Select Delete resource group.
  3. Dans le champ TYPE THE RESOURCE GROUP NAME: (TAPER LE NOM DU GROUPE DE RESSOURCES :) , tapez le nom du groupe de ressources et sélectionnez Supprimer.In the TYPE THE RESOURCE GROUP NAME: box, type the name of the resource group and then select Delete.

Étapes suivantesNext steps

Dans ce tutoriel, vous avez mis à jour les attributs de cycle de vie d’un certificat.In this tutorial, you updated a certificate's lifecycle attributes. Pour en savoir plus sur Key Vault et sur la manière de l’intégrer à vos applications, consultez les articles suivants :To learn more about Key Vault and how to integrate it with your applications, continue on to the following articles: