Azure Key Vault の証明書の更新

[アーティクル]
01/30/2024

Azure Key Vault を使用すると、自社ネットワーク用のデジタル証明書のプロビジョニング、管理、およびデプロイを簡単に行うことができ、アプリケーションの通信でセキュリティを確保できます。証明書の詳細については、「Azure Key Vault の証明書について」を参照してください。

有効期限の短い証明書を使用したり、証明書のローテーション頻度を増やしたりすることで、不正なユーザーによるアプリケーションへのアクセスを防止する役に立ちます。

この記事では、Azure Key Vault の証明書を更新する方法について説明します。

証明書の有効期限を知らせる通知の受け取り

証明書の有効期限を知らせる通知を受け取るには、証明書の連絡先を追加する必要があります。証明書の連絡先には、証明書有効期間イベントによってトリガーされる通知を送信する連絡先情報が含まれています。連絡先情報は、キーコンテナー内のすべての証明書によって共有されます。通知は、キーコンテナー内の任意の証明書のイベントに指定されているすべての連絡先に送信されます。

証明書の通知を設定する手順

まず、キーコンテナーに証明書の連絡先を追加します。 Azure portal または PowerShell コマンドレット Add-AzKeyVaultCertificateContact を使用して追加できます。

次に、証明書の有効期限を知らせる通知を受け取るタイミングを構成します。証明書のライフサイクル属性の構成については、Key Vault における証明書の自動ローテーションの構成に関する記事を参照してください。

証明書のポリシーが自動更新に設定されている場合は、次のイベントで通知が送信されます。

証明書更新の前
証明書更新の後。証明書が正常に更新されたかどうか、またはエラーが発生して証明書の手動更新が必要かどうかを示します。

証明書のポリシーが手動更新に設定されている場合 (メールのみ)、証明書を更新する必要があるときに通知が送信されます。

Key Vault には、3 つのカテゴリの証明書があります。

DigiCert や GlobalSign など、統合された証明機関 (CA) によって作成される証明書。
統合されていない CA によって作成される証明書。
自己署名証明書。

統合された CA 証明書の更新

Azure Key Vault では、Microsoft の信頼された証明機関 (DigiCert および GlobalSign) によって発行された証明書をエンドツーエンドでメンテナンスします。信頼された CA と Key Vault を統合する方法についてご確認ください。証明書が更新されるとき、新しいシークレットバージョンが新しい Key Vault 識別子で作成されます。

統合されていない CA 証明書の更新

Azure Key Vault を使用すると、任意の CA から証明書をインポートできます。複数の Azure リソースと統合を行ってデプロイを容易にすることができるので便利です。ご利用の証明書の有効期限を追跡できなくなることが心配な場合や、もっと悪いことに証明書の有効期限が既に切れているのが判明した場合、最新の状態を維持するのにキーコンテナーが役に立ちます。統合されていない CA 証明書の場合、有効期限が近いことを知らせるメール通知をキーコンテナーで設定できます。このような通知は、複数のユーザーに対して設定することもできます。

重要

証明書はバージョン管理されるオブジェクトです。現在のバージョンの有効期限が近づいている場合は、新しいバージョンを作成する必要があります。概念的には、新しい各バージョンは、キーとそのキーを ID に関連付ける BLOB で構成された新しい証明書です。連携していない CA を使用すると、キーコンテナーによってキーと値のペアが生成され、証明書署名要求 (CSR) が返されます。

統合されていない CA 証明書を更新するには:

Azure portal にサインインし、更新したい証明書を開きます。
証明書のペインで、 [新しいバージョン] を選択します。
[証明書の作成] ページで、[証明書の作成方法] の [生成] オプションが選択されていることを確認します。
証明書に関する [サブジェクト] と他の詳細を確認し、[作成] を選択します。
"証明書 <<証明書名>> の作成は現在保留中です。進行状況を監視するには、ここをクリックして証明書操作に進みます" というメッセージが表示されます
メッセージを選択すると、新しいウィンドウが表示されます。このウィンドウには、状態が "進行中" と表示されます。この時点では、キーコンテナーによって CSR が生成されており、[CSR のダウンロード] オプションを使用してダウンロードできます。
[CSR のダウンロード] を選択して、CSR ファイルを自分のローカルドライブにダウンロードします。
選択した CA に CSR を送信して要求に署名します。
署名した要求を戻し、同じ [証明書の操作] ペインで [署名された要求をマージ] を選びます。
マージ後の状態は [完了] と表示され、メインの証明書ウィンドウで [最新の情報に更新] をクリックすると、新しいバージョンの証明書を確認できます。

更新する証明書の名前を指定して、Azure CLI az keyvault certificate create コマンドを使用します。

az keyvault certificate create --vault-name "<your-unique-keyvault-name>" -n "<name-of-certificate-to-renew>" -p "$(az keyvault certificate get-default-policy)"

証明書を更新したら、Azure CLI az keyvault certificate list-versions コマンドを使用して、証明書のすべてのバージョンを表示できます。

az keyvault certificate list-versions --vault-name "<your-unique-keyvault-name>" -n "<name-of-renewed-certificate>"

更新する証明書の名前を指定して、Azure PowerShell New-AzKeyVaultCertificatePolicy コマンドレット使用します。

$Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "Self" -ValidityInMonths 6 -ReuseKeyOnRenewal

Add-AzKeyVaultCertificate -VaultName "<your-unique-keyvault-name>" -Name "<name-of-certificate-to-renew>" -CertificatePolicy $Policy

証明書を更新したら、Azure PowerShell Get-AzKeyVaultCertificate コマンドレットを使用して証明書のすべてのバージョンを表示できます

Get-AzKeyVaultCertificate "<your-unique-keyvault-name>" -Name "<name-of-renewed-certificate>" -IncludeVersions

Note

署名した CSR を、自分が作成したのと同じ CSR 要求にマージすることが重要です。そうしないと、キーが一致しません。

新しい CSR の作成の詳細については、Key Vault での CSR の作成とマージに関するページを参照してください。

自己署名証明書を更新する

Azure Key Vault は、自己署名証明書の自動更新にも対応しています。発行ポリシーの変更と、証明書のライフサイクル属性の更新については、Key Vault における証明書の自動ローテーションの構成に関するページを参照してください。