Rinnovare i certificati di Azure Key Vault

Azure Key Vault consente di effettuare facilmente il provisioning, la gestione e la distribuzione di certificati digitali per la rete e di abilitare comunicazioni sicure per le applicazioni. Per altre informazioni sui certificati, vedere Informazioni sui certificati di Azure Key Vault.

Usando certificati di breve durata o incrementando la frequenza della rotazione dei certificati, è possibile contribuire a evitare l'accesso alle applicazioni da parte di utenti non autorizzati.

Questo articolo illustra come rinnovare i certificati di Azure Key Vault.

Ricevere notifiche sulle scadenze dei certificati

Per ricevere notifiche sugli eventi di durata del certificato, è necessario aggiungere il contatto del certificato. I contatti relativi al certificato contengono le informazioni di contatto per inviare notifiche attivate da eventi di durata dei certificati. Le informazioni dei contatti vengono condivise da tutti i certificati nell'insieme di credenziali delle chiavi. Viene inviata una notifica a tutti i contatti specificati per un evento per qualsiasi certificato presente nell'insieme di credenziali delle chiavi.

Passaggi per impostare le notifiche sui certificati

Aggiungere prima di tutto un contatto del certificato all'insieme di credenziali delle chiavi. È possibile aggiungere usando il portale di Azure o il cmdlet Add-AzKeyVaultCertificateContact di PowerShell.

Configurare quindi quando si vogliono ricevere notifiche sulla scadenza dei certificati. Per configurare gli attributi del ciclo di vita del certificato, vedere Configurare la rotazione automatica dei certificati in Key Vault.

Se i criteri del certificato sono impostati per il rinnovo automatico, viene inviata una notifica sugli eventi seguenti:

• Prima del rinnovo del certificato
• Dopo il rinnovo del certificato, che indica se il certificato è stato rinnovato, o se si è verificato un errore, richiede il rinnovo manuale del certificato.

Se i criteri del certificato sono impostati per il rinnovo manuale (solo posta elettronica), viene inviata una notifica al momento del rinnovo.

In Key Vault sono disponibili tre categorie di certificati:

• Certificati creati con un'autorità di certificazione integrata, ad esempio DigiCert o GlobalSign.
• Certificati creati con un'autorità di certificazione non integrata.
• Certificati autofirmati.

Rinnovare un certificato di un'autorità di certificazione integrata

Azure Key Vault gestisce la manutenzione end-to-end dei certificati rilasciati da autorità di certificazione Microsoft attendibili, ovvero DigiCert e GlobalSign. Informazioni su come integrare un'autorità di certificazione con Key Vault. Quando un certificato viene rinnovato, viene creata una nuova versione privata con un nuovo identificatore di Key Vault.

Rinnovare un certificato di un'autorità di certificazione non integrata

Azure Key Vault consente di importare certificati da un'autorità di certificazione. Questo vantaggio permette l'integrazione con alcune risorse di Azure e semplifica la distribuzione. Se si teme di dimenticare le date di scadenza dei certificati o si è addirittura scoperto che un certificato è già scaduto, l'insieme di credenziali delle chiavi può fornire informazioni sempre aggiornate. Per i certificati di autorità di certificazione non integrate, l'insieme di credenziali delle chiavi consente di configurare notifiche tramite posta elettronica all'avvicinarsi della scadenza. Queste notifiche possono essere configurate anche per più utenti.

Importante

Un certificato è un oggetto con versione. Se la versione corrente sta per scadere, è necessario creare una nuova versione. Ogni nuova versione è concettualmente un nuovo certificato costituito da una chiave e da un BLOB che associa la chiave a un'identità. Quando si usa un'autorità di certificazione non partner, l'insieme di credenziali delle chiavi genera una coppia chiave/valore e restituisce una richiesta di firma del certificato.

Per rinnovare un certificato :di un'autorità di certificazione non integrata:

Azure portal

1. Accedere al portale di Azure e quindi aprire il certificato da rinnovare.
2. Nel riquadro del certificato selezionare Nuova versione.
3. Nella pagina Crea un certificato verificare che l'opzione Genera sia selezionata in Metodo di creazione del certificato.
4. Verificare il Soggetto e altri dettagli sul certificato, quindi selezionare Crea.
5. Verrà visualizzato il messaggio La creazione del certificato << nome del certificato >> è attualmente in sospeso. Fare clic qui per passare alla rispettiva operazione di certificato per monitorare lo stato
6. Selezionando il messaggio, verrà visualizzato un nuovo riquadro. Il riquadro dovrebbe mostrare lo stato "In corso". A questo punto, l’insieme di credenziali delle chiavi ha generato un CSR che è possibile scaricare tramite l'opzione Scarica CSR.
7. Selezionare Scarica file CSR per scaricare un file CSR nell'unità locale.
8. Inviare il file CSR all'autorità di certificazione preferita per firmare la richiesta.
9. Visualizzare di nuovo la richiesta firmata e selezionare Unisci richiesta firmata nel riquadro delle operazioni dello stesso certificato.
10. Lo stato dopo l'unione mostrerà Completato e nel riquadro principale del certificato è possibile premere Aggiorna per visualizzare la nuova versione del certificato.

Interfaccia della riga di comando di Azure

Usare il comando az keyvault certificate create dell'interfaccia della riga di comando di Azure specificando il nome del certificato da rinnovare:

az keyvault certificate create --vault-name "<your-unique-keyvault-name>" -n "<name-of-certificate-to-renew>" -p "$(az keyvault certificate get-default-policy)"

Dopo aver rinnovato il certificato, è possibile visualizzare tutte le relative versioni usando il comando az keyvault certificate list-versions dell'interfaccia della riga di comando di Azure:

az keyvault certificate list-versions --vault-name "<your-unique-keyvault-name>" -n "<name-of-renewed-certificate>"

Azure PowerShell

Usare il cmdlet New-AzKeyVaultCertificatePolicy di Azure PowerShell specificano il nome del certificato da rinnovare:

$Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "Self" -ValidityInMonths 6 -ReuseKeyOnRenewal

Add-AzKeyVaultCertificate -VaultName "<your-unique-keyvault-name>" -Name "<name-of-certificate-to-renew>" -CertificatePolicy $Policy

Dopo aver rinnovato il certificato, è possibile visualizzare tutte le relative versioni usando il cmdlet Get-AzKeyVaultCertificate di Azure PowerShell:

Get-AzKeyVaultCertificate "<your-unique-keyvault-name>" -Name "<name-of-renewed-certificate>" -IncludeVersions

Nota

È importante unire la richiesta di firma del certificato firmata con la stessa richiesta di firma del certificato creata. In caso contrario, non corrisponderanno.

Per altre informazioni sulla creazione di una nuova richiesta di firma del certificato, vedere Creare e unire una richiesta di firma del certificato in Key Vault.

Rinnovare un certificato autofirmato

Azure Key Vault gestisce anche il rinnovo automatico dei certificati autofirmati. Per altre informazioni sulla modifica dei criteri di rilascio e sull'aggiornamento degli attributi del ciclo di vita di un certificato, vedere Configurare la rotazione automatica dei certificati in Key Vault.

Passaggi successivi

• Domande frequenti sul rinnovo dei certificati di Azure Key Vault
• Integrare Key Vault con l'autorità di certificazione DigiCert
• Esercitazione: Configurare la rotazione automatica dei certificati in Key Vault