Oktatóanyag: Tanúsítvány automatikus rotálásának konfigurálása Key Vault
Az Azure Key Vault használatával egyszerűen építhet ki, kezelhet és helyezhet üzembe digitális tanúsítványokat. A tanúsítványok lehetnek nyilvános és privát Secure Sockets Layer- (SSL-)/Transport Layer Security- (TLS-) tanúsítványok, amelyeket hitelesítésszolgáltató (CA) írt alá, vagy egy önaláírt tanúsítvány. Key Vault tanúsítványokat is kérhet és újíthat meg a hitelesítésszolgáltatókkal kialakított partnerségek révén, így robusztus megoldást kínál a tanúsítványok életciklusának kezelésére. Ebben az oktatóanyagban frissíteni fogja a tanúsítvány érvényességi időtartamát, az automatikus rotálás gyakoriságát és a hitelesítésszolgáltató attribútumait.
Ez az oktatóanyag a következőket mutatja be:
- Tanúsítvány kezelése a Azure Portal használatával.
- Adjon hozzá egy hitelesítésszolgáltatói fiókot.
- Frissítse a tanúsítvány érvényességi időtartamát.
- Frissítse a tanúsítvány automatikus rotálási gyakoriságát.
- Frissítse a tanúsítvány attribútumait a Azure PowerShell használatával.
Mielőtt hozzákezdene, olvassa el Key Vault alapfogalmakat.
Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.
Bejelentkezés az Azure-ba
Jelentkezzen be az Azure Portalra.
Tároló létrehozása
Hozzon létre egy kulcstartót az alábbi három módszer egyikével:
- Kulcstartó létrehozása a Azure Portal
- Kulcstartó létrehozása az Azure CLI használatával
- Kulcstartó létrehozása Azure PowerShell használatával
Tanúsítvány létrehozása Key Vault
Tanúsítvány létrehozása vagy tanúsítvány importálása a kulcstartóba (lásd a tanúsítvány létrehozásának lépéseit Key Vault. Ebben az esetben egy ExampleCertificate nevű tanúsítványon fog dolgozni.
Tanúsítvány életciklus-attribútumainak frissítése
Az Azure Key Vault a tanúsítvány életciklus-attribútumait a tanúsítvány létrehozásakor vagy után is frissítheti.
A Key Vault-ben létrehozott tanúsítvány a következő lehet:
- Önaláírt tanúsítvány.
- Olyan hitelesítésszolgáltatóval létrehozott tanúsítvány, amely Key Vault van partneri kapcsolatban.
- Olyan hitelesítésszolgáltatóval rendelkező tanúsítvány, amely nem Key Vault.
A következő hitelesítésszolgáltatók jelenleg Key Vault partnerszolgáltatók:
- DigiCert: Key Vault OV- vagy EV TLS-/SSL-tanúsítványokat kínál.
- GlobalSign: Key Vault OV- vagy EV TLS-/SSL-tanúsítványokat kínál.
Key Vault automatikusan elforgatja a tanúsítványokat a hitelesítésszolgáltatókkal létesített partnerségek révén. Mivel Key Vault automatikusan kérelmezi és megújítja a tanúsítványokat a partnerségen keresztül, az automatikus rotálási képesség nem alkalmazható azokra a hitelesítésszolgáltatókkal létrehozott tanúsítványokra, amelyek nem Key Vault.
Megjegyzés
A hitelesítésszolgáltató fiókadminisztrátora olyan hitelesítő adatokat hoz létre, amelyeket Key Vault TLS-/SSL-tanúsítványok létrehozásához, megújításához és használatához használ.
Tanúsítvány életciklus-attribútumainak frissítése a létrehozáskor
A Key Vault tulajdonságok lapján válassza a Tanúsítványok lehetőséget.
Válassza a Létrehozás/importálás lehetőséget.
A Tanúsítvány létrehozása képernyőn frissítse a következő értékeket:
Érvényességi időszak: Adja meg az értéket (hónapokban). A rövid élettartamú tanúsítványok létrehozása ajánlott biztonsági eljárás. Alapértelmezés szerint az újonnan létrehozott tanúsítvány érvényességi értéke 12 hónap.
Élettartam művelettípus: Válassza ki a tanúsítvány automatikus megújítási és riasztási műveletét, majd frissítse a százalékos élettartamot vagy a lejárat előtti napok számát. Alapértelmezés szerint a tanúsítvány automatikus megújítása az élettartamának 80 százalékára van beállítva. A legördülő menüben válassza az alábbi lehetőségek egyikét.
Automatikus megújítás adott időpontban Email az összes partnert egy adott időpontban Ha bejelöli ezt a beállítást, bekapcsolja az automatikus kiírást. Ha ezt a beállítást választja, az nem forgatja el automatikusan a névjegyeket, hanem csak a névjegyeket fogja figyelmeztetni. A Email kapcsolat beállításáról itt olvashat.
Válassza a Létrehozás lehetőséget.
Tárolt tanúsítvány életciklus-attribútumainak frissítése
Válassza ki a kulcstartót.
A Key Vault tulajdonságok lapján válassza a Tanúsítványok lehetőséget.
Válassza ki a frissíteni kívánt tanúsítványt. Ebben az esetben egy ExampleCertificate nevű tanúsítványon fog dolgozni.
A felső menüsávon válassza a Kiállítási szabályzat lehetőséget.
A Kiállítási szabályzat képernyőn frissítse a következő értékeket:
- Érvényességi időszak: Frissítse az értéket (hónapokban).
- Élettartam művelettípus: Válassza ki a tanúsítvány automatikus megújítási és riasztási műveletét, majd frissítse a százalékos élettartamot vagy a lejárat előtti napok számát.
Kattintson a Mentés gombra.
Fontos
A tanúsítvány élettartam-művelettípusának módosítása azonnal rögzíti a meglévő tanúsítványok módosításait.
Tanúsítványattribútumok frissítése a PowerShell használatával
Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName
-Name $certificateName
-RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]
Tipp
A tanúsítványlista megújítási szabályzatának módosításához írja be File.csv
a következő példában szereplő elemet VaultName,CertName
:
vault1,Cert1
vault2,Cert2
$file = Import-CSV C:\Users\myfolder\ReadCSVUsingPowershell\File.csv
foreach($line in $file)
{
Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName -Name $certificateName -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]
}
A paraméterekkel kapcsolatos további információkért lásd az az keyvault tanúsítványt.
Az erőforrások eltávolítása
Az egyéb Key Vault oktatóanyagok erre az oktatóanyagra épülnek. Ha ezeket az oktatóanyagokat tervezi használni, érdemes lehet ezeket a meglévő erőforrásokat helyben hagyni. Ha már nincs rájuk szüksége, törölje az erőforráscsoportot, amely törli a kulcstartót és a kapcsolódó erőforrásokat.
Az erőforráscsoport törlése a portál használatával:
- Írja be az erőforráscsoport nevét a portál tetején található Keresés mezőbe. Amikor az ebben a rövid útmutatóban használt erőforráscsoport megjelenik a keresési eredmények között, jelölje ki.
- Válassza az Erőforráscsoport törlése elemet.
- A TÍPUS AZ ERŐFORRÁSCSOPORT NEVE: mezőbe írja be az erőforráscsoport nevét, majd válassza a Törlés lehetőséget.
Következő lépések
Ebben az oktatóanyagban frissítette egy tanúsítvány életciklus-attribútumait. Ha többet szeretne megtudni a Key Vault és az alkalmazásokba való integrálásáról, folytassa a következő cikkekkel:
- További információ: Tanúsítványlétrehozás kezelése az Azure Key Vault-ben.
- Tekintse át a Key Vault áttekintését.