Tutoriel : Configuration de la rotation automatique d’un certificat dans Key Vault

Azure Key Vault vous permet de provisionner, gérer et déployer facilement des certificats numériques. Les certificats peuvent être des certificats TLS/SSL signés par une autorité de certification (CA) ou un certificat auto-signé. Key Vault peut également demander et renouveler des certificats via des partenariats avec des autorités de certification, en fournissant une solution robuste pour la gestion du cycle de vie des certificats. Dans ce tutoriel, vous mettez à jour les attributs de période de validité, fréquence de permutation automatique et autorité de certification d’un certificat.

Ce didacticiel explique les procédures suivantes :

• Gérer un certificat à l’aide du portail Azure.
• Ajouter un compte de fournisseur d’autorité de certification.
• Mettre à jour la période de validité du certificat.
• Mettre à jour la fréquence de rotation automatique du certificat.
• Mettre à jour les attributs du certificat avec Azure PowerShell.

Avant de continuer, lisez les concepts de base de Key Vault.

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Connexion à Azure

Connectez-vous au portail Azure.

Création d'un coffre

Créez un coffre de clés à l’aide de l’une des trois méthodes suivantes :

• Créer un coffre de clés avec le portail Azure
• Créer un coffre de clés à l’aide de l’interface de ligne de commande Azure
• Créer un coffre de clés à l’aide d'Azure PowerShell

Créer un certificat dans Key Vault

Créez un certificat ou importez un certificat dans le coffre de clés (voir les Étapes de création d’un certificat dans Key Vault). Dans le cas présent, nous allons utiliser un certificat nommé ExampleCertificate.

Mettre à jour les attributs du cycle de vie des certificats

Dans Azure Key Vault, vous pouvez mettre à jour les attributs de cycle de vie d’un certificat au moment de sa création ou après.

Un certificat créé dans le coffre de clés peut être :

• Un certificat auto-signé.
• Un certificat créé avec une autorité de certification qui est associée à Key Vault.
• Un certificat auprès d’une autorité de certification qui n’est pas associée à Key Vault.

Les autorités de certification suivantes sont les fournisseurs actuellement associés à Key Vault :

• DigiCert : Key Vault propose des certificats TLS/SSL OV ou EV.
• GlobalSign : Key Vault propose des certificats TLS/SSL OV ou EV.

Key Vault fait pivoter automatiquement les certificats via des partenariats établis avec les autorités de certification. Comme Key Vault demande et renouvelle automatiquement les certificats avec le partenariat, la fonctionnalité de permutation automatique n’est pas applicable pour les certificats créés avec des autorités de certification qui ne sont pas associées à Key Vault.

Notes

Un administrateur de compte d’un fournisseur d’autorité de certification crée des informations d’identification utilisables par Key Vault pour créer, renouveler et utiliser des certificats TSL/SSL.

Mettre à jour les attributs du cycle de vie du certificat au moment de la création

1. Dans les pages des propriétés Key Vault, sélectionnez Certificats.

2. Sélectionnez Générer/Importer.

3. Dans l’écran Créer un certificat, mettez à jour les valeurs suivantes :

   • Période de validité : entrez la valeur (en mois). La création de certificats à courte durée de vie est une pratique recommandée en matière de sécurité. Par défaut, la valeur de validité d’un certificat nouvellement créé est de 12 mois.

   • Type d’action de la durée de vie : Sélectionnez l’action de renouvellement automatique et d’alerte du certificat, puis mettez à jour le Pourcentage de la durée de vie ou le Nombre de jours avant l’expiration. Par défaut, le renouvellement automatique d’un certificat est défini à 80 % de sa durée de vie. Dans le menu déroulant, sélectionnez l'une des options suivantes.

     Automatically renew at a given time (Renouveler automatiquement à un moment donné)	Envoyer un e-mail à tous les contacts à un moment donné (Email all contacts at a given time)
     La sélection de cette option active la rotation automatique.	La sélection de cette option ne déclenche pas la rotation automatique, elle alerte uniquement les contacts.

     Vous pouvez en savoir plus sur la configuration d’un contact e-mail ici

4. Sélectionnez Create (Créer).

Mettre à jour les attributs de cycle de vie d’un certificat stocké

1. Sélectionnez le coffre de clés.

2. Dans les pages des propriétés Key Vault, sélectionnez Certificats.

3. Sélectionnez le certificat à mettre à jour. Dans le cas présent, nous allons utiliser un certificat nommé ExampleCertificate.

4. Dans la barre de menus supérieure, sélectionnez Stratégie d’émission.

   

5. Dans l’écran Stratégie d’émission, mettez à jour les valeurs suivantes :

   • Période de validité : mettez à jour la valeur (en mois).
   • Type d’action de la durée de vie : Sélectionnez l’action de renouvellement automatique et d’alerte du certificat, puis mettez à jour le Pourcentage de la durée de vie ou Nombre de jours avant l’expiration.

   

6. Sélectionnez Enregistrer.

Important

La modification du type d’action de la durée de vie d’un certificat enregistre immédiatement les modifications pour les certificats existants.

Mettre à jour les attributs de certificat à l’aide de PowerShell

Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName 
                                   -Name $certificateName 
                                   -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]

Conseil

Pour modifier la stratégie de renouvellement d’une liste de certificats, utilisez une entrée File.csv contenant VaultName,CertName comme dans l’exemple suivant :
vault1,Cert1​
vault2,Cert2​

$file = Import-CSV C:\Users\myfolder\ReadCSVUsingPowershell\File.csv ​
foreach($line in $file)​
{​
Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName -Name $certificateName -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]
}

Pour en savoir plus sur les paramètres, consultez az keyvault certificate.

Nettoyer les ressources

D’autres tutoriels de Key Vault s’appuient sur ce tutoriel. Si vous envisagez de travailler avec ces tutoriels, vous souhaiterez peut-être conserver ces ressources existantes. Si vous n’en avez plus besoin, supprimez le groupe de ressources. Ce faisant, vous supprimez le coffre de clés et les ressources associées.

Pour supprimer le groupe de ressources à l’aide du portail :

1. Entrez le nom de votre groupe de ressources dans la zone Recherche en haut du portail. Lorsque vous voyez le groupe de ressources utilisé dans ce démarrage rapide dans les résultats de recherche, sélectionnez-le.
2. Sélectionnez Supprimer le groupe de ressources.
3. Dans le champ TYPE THE RESOURCE GROUP NAME: (TAPER LE NOM DU GROUPE DE RESSOURCES :) , tapez le nom du groupe de ressources et sélectionnez Supprimer.

Étapes suivantes

Dans ce tutoriel, vous avez mis à jour les attributs de cycle de vie d’un certificat. Pour en savoir plus sur Key Vault et sur la manière de l’intégrer à vos applications, consultez les articles suivants :

• En savoir plus sur la Gestion de la création de certificats dans Azure Key Vault.
• Consultez la Vue d’ensemble de Key Vault.