Over sleutels, geheimen en certificatenAbout keys, secrets, and certificates

Met Azure Key Vault kunnen Microsoft Azure toepassingen en gebruikers verschillende soorten geheime/sleutel gegevens opslaan en gebruiken:Azure Key Vault enables Microsoft Azure applications and users to store and use several types of secret/key data:

  • Cryptografische sleutels: Ondersteunt meerdere sleutel typen en algoritmen, en maakt het gebruik van HSM (Hardware Security modules) mogelijk voor sleutels met een hoge waarde.Cryptographic keys: Supports multiple key types and algorithms, and enables the use of Hardware Security Modules (HSM) for high value keys.
  • Geheim Biedt beveiligde opslag van geheimen, zoals wacht woorden en database verbindings reeksen.Secrets: Provides secure storage of secrets, such as passwords and database connection strings.
  • Bewijzen Biedt ondersteuning voor certificaten die zijn gebouwd op basis van sleutels en geheimen, en het toevoegen van een functie voor automatische verlenging.Certificates: Supports certificates, which are built on top of keys and secrets and add an automated renewal feature.
  • Azure Storage: Kan sleutels van een Azure Storage account voor u beheren.Azure Storage: Can manage keys of an Azure Storage account for you. Intern kunnen Key Vault met een Azure Storage-account (Sync) sleutels weer geven en de sleutels periodiek opnieuw genereren (draaien).Internally, Key Vault can list (sync) keys with an Azure Storage Account, and regenerate (rotate) the keys periodically.

Zie Wat is Azure Key Vault? voor meer algemene informatie over Key Vault.For more general information about Key Vault, see What is Azure Key Vault?

Azure Key VaultAzure Key Vault

De volgende secties bevatten algemene informatie die van toepassing is op de implementatie van de Key Vault service.The following sections offer general information applicable across the implementation of the Key Vault service.

Ondersteunende standaardenSupporting standards

De specificaties van de JavaScript Object Notation (JSON) en het Java Script-object Sign en Encryption (JOSE) zijn belang rijke achtergrond informatie.The JavaScript Object Notation (JSON) and JavaScript Object Signing and Encryption (JOSE) specifications are important background information.

GegevenstypenData types

Raadpleeg de JOSE-specificaties voor relevante gegevens typen voor sleutels, versleuteling en ondertekening.Refer to the JOSE specifications for relevant data types for keys, encryption, and signing.

  • algoritme : een ondersteund algoritme voor een sleutel bewerking, bijvoorbeeld RSA1_5algorithm - a supported algorithm for a key operation, for example, RSA1_5
  • gecodeerde tekst-gecodeerde octetten, gecodeerd met Base64URLciphertext-value - cipher text octets, encoded using Base64URL
  • Digest-value : de uitvoer van een hash-algoritme, gecodeerd met Base64URLdigest-value - the output of a hash algorithm, encoded using Base64URL
  • sleutel-type : een van de ondersteunde sleutel typen, bijvoorbeeld RSA (Rivest-Shamir-Adleman).key-type - one of the supported key types, for example RSA (Rivest-Shamir-Adleman).
  • tekst zonder opmaak : octetten met lees bare tekst, gecodeerd met Base64URLplaintext-value - plaintext octets, encoded using Base64URL
  • hand tekening-waarde -uitvoer van een handtekening algoritme, gecodeerd met Base64URLsignature-value - output of a signature algorithm, encoded using Base64URL
  • base64URL : een BASE64URL [RFC4648] gecodeerde binaire waardebase64URL - a Base64URL [RFC4648] encoded binary value
  • Booleaans : waar of onwaarboolean - either true or false
  • Identiteit : een identiteit van Azure Active Directory (Aad).Identity - an identity from Azure Active Directory (AAD).
  • IntDate : een JSON-decimale waarde waarmee het aantal seconden van 1970-01-01T0:0: 0Z UTC wordt weer gegeven tot de opgegeven UTC-datum/-tijd.IntDate - a JSON decimal value representing the number of seconds from 1970-01-01T0:0:0Z UTC until the specified UTC date/time. Zie RFC3339 voor meer informatie over datum/tijd, in het algemeen en UTC in het bijzonder.See RFC3339 for details regarding date/times, in general and UTC in particular.

Objecten, id's en versie beheerObjects, identifiers, and versioning

Objecten die zijn opgeslagen in Key Vault, worden geversiond wanneer er een nieuw exemplaar van een object wordt gemaakt.Objects stored in Key Vault are versioned whenever a new instance of an object is created. Aan elke versie wordt een unieke id en URL toegewezen.Each version is assigned a unique identifier and URL. Wanneer een object voor het eerst wordt gemaakt, wordt er een unieke versie-id gegeven en als de huidige versie van het object gemarkeerd.When an object is first created, it's given a unique version identifier and marked as the current version of the object. Het maken van een nieuw exemplaar met dezelfde object naam geeft het nieuwe object een unieke versie-id, waardoor het de huidige versie wordt.Creation of a new instance with the same object name gives the new object a unique version identifier, causing it to become the current version.

Objecten in Key Vault kunnen worden geadresseerd met de huidige ID of een versie-specifieke id.Objects in Key Vault can be addressed using the current identifier or a version-specific identifier. Als er bijvoorbeeld een sleutel met de naam MasterKeywordt gebruikt voor het uitvoeren van bewerkingen met de huidige ID, heeft het systeem de meest recente beschik bare versie.For example, given a Key with the name MasterKey, performing operations with the current identifier causes the system to use the latest available version. Door bewerkingen uit te voeren met de versie-specifieke id wordt het systeem gebruikt die specifieke versie van het object.Performing operations with the version-specific identifier causes the system to use that specific version of the object.

Objecten worden uniek geïdentificeerd binnen Key Vault met behulp van een URL.Objects are uniquely identified within Key Vault using a URL. Er zijn geen twee objecten in het systeem die dezelfde URL hebben, ongeacht de geografische locatie.No two objects in the system have the same URL, regardless of geo-location. De volledige URL naar een object wordt de object-id genoemd.The complete URL to an object is called the Object Identifier. De URL bestaat uit een voor voegsel waarmee de Key Vault, het object type, de door de gebruiker ingevoerde object naam en een object versie worden geïdentificeerd.The URL consists of a prefix that identifies the Key Vault, object type, user provided Object Name, and an Object Version. De object naam is hoofdletter gevoelig en onveranderbaar.The Object Name is case-insensitive and immutable. Id's die de object versie niet bevatten, worden aangeduid als basis-Id's.Identifiers that don't include the Object Version are referred to as Base Identifiers.

Zie verificatie, aanvragen en antwoorden voor meer informatie.For more information, see Authentication, requests, and responses

Een object-id heeft de volgende algemene notatie:An object identifier has the following general format:

https://{keyvault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}

Waar:Where:

keyvault-name De naam voor een sleutel kluis in de Microsoft Azure Key Vault-service.The name for a key vault in the Microsoft Azure Key Vault service.

Key Vault namen worden geselecteerd door de gebruiker en zijn wereld wijd uniek.Key Vault names are selected by the user and are globally unique.

Key Vault naam moet een teken reeks van 3-24 zijn die alleen 0-9, a-z, A-Z en-bevat.Key Vault name must be a 3-24 character string, containing only 0-9, a-z, A-Z, and -.
object-type Het type van het object, hetzij "sleutels" of "geheimen".The type of the object, either "keys" or "secrets".
object-name Een object-name is een door de gebruiker ingevoerde naam voor en moet uniek zijn binnen een Key Vault.An object-name is a user provided name for and must be unique within a Key Vault. De naam moet een teken reeks van 1-127 zijn die alleen 0-9, a-z, A-Z en-bevat.The name must be a 1-127 character string, containing only 0-9, a-z, A-Z, and -.
object-version Een object-version door het systeem gegenereerde 32 teken reeks-id die optioneel kan worden gebruikt * o adres een unieke versie van een object.An object-version is a system-generated, 32 character string identifier that is optionally used *o address a unique version of an object.

Key Vault sleutelsKey Vault keys

Sleutels en sleutel typenKeys and key types

Cryptografische sleutels in Key Vault worden weer gegeven als JSON Web Key [JWK]-objecten.Cryptographic keys in Key Vault are represented as JSON Web Key [JWK] objects. De basis-JWK/JWA-specificaties worden ook uitgebreid om sleutel typen die uniek zijn voor de Key Vault-implementatie in te scha kelen.The base JWK/JWA specifications are also extended to enable key types unique to the Key Vault implementation. Voor beelden van het importeren van sleutels met een HSM die specifiek is voor een leverancier, maakt het beveiligen van sleutels mogelijk die alleen kunnen worden gebruikt in Key Vault Hsm's.For example, importing keys using HSM vendor-specific packaging, enables secure transportation of keys that may only be used in Key Vault HSMs.

  • "Zachte" sleutels: Een sleutel die in software wordt verwerkt door Key Vault, maar is versleuteld met behulp van een systeem sleutel die zich in een HSM bevindt."Soft" keys: A key processed in software by Key Vault, but is encrypted at rest using a system key that is in an HSM. Clients kunnen een bestaande RSA-of EC-sleutel (elliptische curve) importeren of een aanvraag indienen om er een te Key Vault genereren.Clients may import an existing RSA or EC (Elliptic Curve) key, or request that Key Vault generate one.

  • "Hard" sleutels: Een sleutel die wordt verwerkt in een HSM (Hardware Security module)."Hard" keys: A key processed in an HSM (Hardware Security Module). Deze sleutels zijn beveiligd in een van de Key Vault HSM-beveiligings werelden (er is één beveiligings wereld per Geografie om isolatie te behouden).These keys are protected in one of the Key Vault HSM Security Worlds (there's one Security World per geography to maintain isolation). Clients kunnen een RSA-of EC-sleutel importeren in een zacht formulier of door vanaf een compatibel HSM-apparaat te exporteren.Clients may import an RSA or EC key, in soft form or by exporting from a compatible HSM device. Clients kunnen ook Key Vault aanvragen om een sleutel te genereren.Clients may also request Key Vault to generate a key. Met dit sleutel type voegt u het kenmerk key_hsm toe aan de JWK om het HSM-sleutel materiaal te kunnen dragen.This key type adds the key_hsm attribute to the JWK obtain to carry the HSM key material.

    Zie het vertrouwens centrum van Microsoft Azure voor meer informatie over geografische grenzenFor more information on geographical boundaries, see Microsoft Azure Trust Center

Key Vault ondersteunt alleen de sleutels RSA en elliptische curve.Key Vault supports RSA and Elliptic Curve keys only.

  • EC: "Zacht" elliptische-curve sleutel.EC: "Soft" Elliptic Curve key.
  • EC-HSM: "Hard" elliptische curve sleutel.EC-HSM: "Hard" Elliptic Curve key.
  • RSA: ' Zachte ' RSA-sleutel.RSA: "Soft" RSA key.
  • RSA-HSM: ' Harde ' RSA-sleutel.RSA-HSM: "Hard" RSA key.

Key Vault ondersteunt RSA-sleutels met een grootte van 2048, 3072 en 4096.Key Vault supports RSA keys of sizes 2048, 3072 and 4096. Key Vault ondersteunt de sleutel typen elliptische curve P-256, P-384, P-521 en P-256 kB (SECP256K1).Key Vault supports Elliptic Curve key types P-256, P-384, P-521, and P-256K (SECP256K1).

Cryptografische beveiligingCryptographic protection

De cryptografische modules die Key Vault gebruikt, of HSM of software, FIPS (Federal Information Processing Standards) zijn gevalideerd.The cryptographic modules that Key Vault uses, whether HSM or software, are FIPS (Federal Information Processing Standards) validated. U hoeft niets te doen om uit te voeren in de FIPS-modus.You don’t need to do anything special to run in FIPS mode. Sleutels die zijn gemaakt of GEÏMPORTEERD als met HSM beveiligd, worden verwerkt in een HSM, gevalideerd op FIPS 140-2 level 2.Keys created or imported as HSM-protected are processed inside an HSM, validated to FIPS 140-2 Level 2. Sleutels die zijn gemaakt of geïmporteerd als software-beveiligd, worden verwerkt in cryptografische modules die zijn gevalideerd voor FIPS 140-2 level 1.Keys created or imported as software-protected, are processed inside cryptographic modules validated to FIPS 140-2 Level 1. Zie sleutels en sleutel typenvoor meer informatie.For more information, see Keys and key types.

EC-algoritmenEC algorithms

De volgende algoritme-id's worden ondersteund met EC-en EC-HSM-sleutels in Key Vault.The following algorithm identifiers are supported with EC and EC-HSM keys in Key Vault.

Curve typenCurve Types

ONDERTEKENEN/CONTROLERENSIGN/VERIFY

  • ES256 -ECDSA voor SHA-256-samen vattingen en sleutels die zijn gemaakt met curve P-256.ES256 - ECDSA for SHA-256 digests and keys created with curve P-256. Dit algoritme wordt beschreven op RFC7518.This algorithm is described at RFC7518.
  • ES256K -ECDSA voor SHA-256-samen vattingen en sleutels gemaakt met bocht P-256 KB.ES256K - ECDSA for SHA-256 digests and keys created with curve P-256K. Dit algoritme is in afwachting van de standaardisatie.This algorithm is pending standardization.
  • ES384 -ECDSA voor SHA-384-samen vattingen en sleutels die zijn gemaakt met curve P-384.ES384 - ECDSA for SHA-384 digests and keys created with curve P-384. Dit algoritme wordt beschreven op RFC7518.This algorithm is described at RFC7518.
  • ES512 -ECDSA voor SHA-512-samen vattingen en sleutels die zijn gemaakt met curve P-521.ES512 - ECDSA for SHA-512 digests and keys created with curve P-521. Dit algoritme wordt beschreven op RFC7518.This algorithm is described at RFC7518.

RSA-algoritmenRSA algorithms

De volgende algoritme-id's worden ondersteund met RSA-en RSA-HSM-sleutels in Key Vault.The following algorithm identifiers are supported with RSA and RSA-HSM keys in Key Vault.

WRAPKEY/SLEUTEL UITPAKKEN, VERSLEUTELEN/ONTSLEUTELENWRAPKEY/UNWRAPKEY, ENCRYPT/DECRYPT

  • RSA1_5 - RSAES-PKCS1-V1_5 [RFC3447] key encryptionRSA1_5 - RSAES-PKCS1-V1_5 [RFC3447] key encryption
  • RSA-OAEP -RSAES met behulp van optimale geocoderings opvulling (OAEP) [RFC3447], waarbij de standaard parameters worden opgegeven door RFC 3447 in sectie A. 2.1.RSA-OAEP - RSAES using Optimal Asymmetric Encryption Padding (OAEP) [RFC3447], with the default parameters specified by RFC 3447 in Section A.2.1. Deze standaard parameters maken gebruik van een hash-functie van SHA-1 en een masker functie voor het genereren van MGF1 met SHA-1.Those default parameters are using a hash function of SHA-1 and a mask generation function of MGF1 with SHA-1.

ONDERTEKENEN/CONTROLERENSIGN/VERIFY

  • RS256 -ONDERTEKENINGSMETHODE RSASSA-PKCS-V1_5 met SHA-256.RS256 - RSASSA-PKCS-v1_5 using SHA-256. De waarde van de door de toepassing geleverde Digest moet worden berekend met SHA-256 en moet 32 bytes lang zijn.The application supplied digest value must be computed using SHA-256 and must be 32 bytes in length.
  • RS384 -ONDERTEKENINGSMETHODE RSASSA-PKCS-V1_5 met SHA-384.RS384 - RSASSA-PKCS-v1_5 using SHA-384. De waarde van de door de toepassing geleverde Digest moet worden berekend met SHA-384 en moet 48 bytes lang zijn.The application supplied digest value must be computed using SHA-384 and must be 48 bytes in length.
  • RS512 -ONDERTEKENINGSMETHODE RSASSA-PKCS-V1_5 met SHA-512.RS512 - RSASSA-PKCS-v1_5 using SHA-512. De waarde van de door de toepassing geleverde Digest moet worden berekend met SHA-512 en moet 64 bytes lang zijn.The application supplied digest value must be computed using SHA-512 and must be 64 bytes in length.
  • RSNULL -Zie [RFC2437], een gespecialiseerde use-case voor het inschakelen van bepaalde TLS-scenario's.RSNULL - See [RFC2437], a specialized use-case to enable certain TLS scenarios.

Belang rijke bewerkingenKey operations

Key Vault ondersteunt de volgende bewerkingen op belang rijke objecten:Key Vault supports the following operations on key objects:

  • Maken: Hiermee kan een client een sleutel maken in Key Vault.Create: Allows a client to create a key in Key Vault. De waarde van de sleutel wordt gegenereerd door Key Vault en opgeslagen en wordt niet vrijgegeven aan de client.The value of the key is generated by Key Vault and stored, and isn't released to the client. Er kunnen asymmetrische sleutels worden gemaakt in Key Vault.Asymmetric keys may be created in Key Vault.
  • Importeren: Hiermee kan een client een bestaande sleutel importeren in Key Vault.Import: Allows a client to import an existing key to Key Vault. Asymmetrische sleutels kunnen worden geïmporteerd in Key Vault met behulp van een aantal verschillende pakket methoden in een JWK-constructie.Asymmetric keys may be imported to Key Vault using a number of different packaging methods within a JWK construct.
  • Update: Hiermee kan een client met voldoende machtigingen de meta gegevens (sleutel kenmerken) wijzigen die zijn gekoppeld aan een sleutel die eerder is opgeslagen in Key Vault.Update: Allows a client with sufficient permissions to modify the metadata (key attributes) associated with a key previously stored within Key Vault.
  • Verwijderen: Hiermee kan een client met voldoende machtigingen een sleutel uit Key Vault verwijderen.Delete: Allows a client with sufficient permissions to delete a key from Key Vault.
  • Lijst: Hiermee kan een client alle sleutels in een bepaalde Key Vault weer geven.List: Allows a client to list all keys in a given Key Vault.
  • Versies weer geven: Hiermee kan een client alle versies van een bepaalde sleutel in een bepaalde Key Vault weer geven.List versions: Allows a client to list all versions of a given key in a given Key Vault.
  • Ophalen: Hiermee kan een client de open bare onderdelen van een bepaalde sleutel in een Key Vault ophalen.Get: Allows a client to retrieve the public parts of a given key in a Key Vault.
  • Back-up: Hiermee wordt een sleutel in een beveiligd formulier geëxporteerd.Backup: Exports a key in a protected form.
  • Herstellen: Hiermee wordt een eerder gemaakte back-upsleutel geïmporteerd.Restore: Imports a previously backed up key.

Zie voor meer informatie belang rijke bewerkingen in de referentie Key Vault rest API.For more information, see Key operations in the Key Vault REST API reference.

Zodra een sleutel is gemaakt in Key Vault, kunnen de volgende cryptografische bewerkingen worden uitgevoerd met behulp van de sleutel:Once a key has been created in Key Vault, the following cryptographic operations may be performed using the key:

  • Ondertekenen en verifiëren: Strikt is deze bewerking ' Sign hash ' of ' verify hash ', omdat Key Vault geen ondersteuning biedt voor hashing van inhoud als onderdeel van het maken van een hand tekening.Sign and Verify: Strictly, this operation is "sign hash" or "verify hash", as Key Vault doesn't support hashing of content as part of signature creation. Toepassingen moeten de gegevens die lokaal worden ondertekend hashen en vervolgens aanvragen dat Key Vault de hash ondertekenen.Applications should hash the data to be signed locally, then request that Key Vault sign the hash. Verificatie van ondertekende hashes wordt ondersteund als een gebruiks vriendelijke bewerking voor toepassingen die mogelijk geen toegang hebben tot het sleutel materiaal van [Public].Verification of signed hashes is supported as a convenience operation for applications that may not have access to [public] key material. Controleer voor de beste toepassings prestaties of de bewerkingen lokaal worden uitgevoerd.For best application performance, verify that operations are performed locally.
  • Sleutel versleuteling/terugloop: Een sleutel die is opgeslagen in Key Vault kan worden gebruikt om een andere sleutel te beveiligen, meestal een symmetrische versleutelings sleutel voor inhoud (CEK).Key Encryption / Wrapping: A key stored in Key Vault may be used to protect another key, typically a symmetric content encryption key (CEK). Wanneer de sleutel in Key Vault asymmetrisch is, wordt sleutel versleuteling gebruikt.When the key in Key Vault is asymmetric, key encryption is used. RSA-OAEP en de WRAPKEY/sleutel uitpakken-bewerkingen zijn bijvoorbeeld gelijk aan versleutelen/ontsleutelen.For example, RSA-OAEP and the WRAPKEY/UNWRAPKEY operations are equivalent to ENCRYPT/DECRYPT. Wanneer de sleutel in Key Vault symmetrisch is, wordt sleutel terugloop gebruikt.When the key in Key Vault is symmetric, key wrapping is used. Bijvoorbeeld: AES-KW.For example, AES-KW. De WRAPKEY-bewerking wordt ondersteund als gemak voor toepassingen die mogelijk geen toegang hebben tot het sleutel materiaal van [Public].The WRAPKEY operation is supported as a convenience for applications that may not have access to [public] key material. Voor de beste prestaties van toepassingen moeten WRAPKEY-bewerkingen lokaal worden uitgevoerd.For best application performance, WRAPKEY operations should be performed locally.
  • Versleutelen en ontsleutelen: Een sleutel die is opgeslagen in Key Vault kan worden gebruikt voor het versleutelen of ontsleutelen van één gegevens blok.Encrypt and Decrypt: A key stored in Key Vault may be used to encrypt or decrypt a single block of data. De grootte van het blok wordt bepaald door het sleutel type en het geselecteerde versleutelings algoritme.The size of the block is determined by the key type and selected encryption algorithm. De versleutelings bewerking is beschikbaar voor het gemak, voor toepassingen die mogelijk geen toegang tot het sleutel materiaal van [Public] hebben.The Encrypt operation is provided for convenience, for applications that may not have access to [public] key material. Voor de beste prestaties van toepassingen moeten versleutelings bewerkingen lokaal worden uitgevoerd.For best application performance, encrypt operations should be performed locally.

Hoewel WRAPKEY/sleutel uitpakken met behulp van asymmetrische sleutels wellicht overbodig lijkt (omdat de bewerking gelijk is aan versleutelen/ontsleutelen), is het gebruik van afzonderlijke bewerkingen belang rijk.While WRAPKEY/UNWRAPKEY using asymmetric keys may seem superfluous (as the operation is equivalent to ENCRYPT/DECRYPT), the use of distinct operations is important. Het onderscheid biedt semantische en autorisatie schei ding van deze bewerkingen en consistentie wanneer andere sleutel typen door de service worden ondersteund.The distinction provides semantic and authorization separation of these operations, and consistency when other key types are supported by the service.

Key Vault biedt geen ondersteuning voor EXPORT bewerkingen.Key Vault doesn't support EXPORT operations. Zodra een sleutel is ingericht in het systeem, kan deze niet worden geëxtraheerd of het sleutel materiaal is gewijzigd.Once a key is provisioned in the system, it cannot be extracted or its key material modified. Gebruikers van Key Vault kunnen echter hun sleutel voor andere gebruiks voorbeelden vereisen, bijvoorbeeld nadat deze is verwijderd.However, users of Key Vault may require their key for other use cases, such as after it has been deleted. In dit geval kunnen ze gebruikmaken van de back-up-en herstel bewerkingen voor het exporteren/importeren van de sleutel in een beveiligd formulier.In this case, they may use the BACKUP and RESTORE operations to export/import the key in a protected form. Sleutels die zijn gemaakt met de back-upbewerking, kunnen niet buiten Key Vault worden gebruikt.Keys created by the BACKUP operation are not usable outside Key Vault. De IMPORT bewerking kan ook worden gebruikt voor meerdere Key Vault exemplaren.Alternatively, the IMPORT operation may be used against multiple Key Vault instances.

Gebruikers kunnen de cryptografische bewerkingen die Key Vault ondersteunt per sleutel beperken met behulp van de eigenschap key_ops van het JWK-object.Users may restrict any of the cryptographic operations that Key Vault supports on a per-key basis using the key_ops property of the JWK object.

Zie JSON Web Key (JWK) (Engelstalig)voor meer informatie over JWK-objecten.For more information on JWK objects, see JSON Web Key (JWK).

Sleutel kenmerkenKey attributes

Naast het sleutel materiaal kunnen de volgende kenmerken worden opgegeven.In addition to the key material, the following attributes may be specified. In een JSON-aanvraag zijn de kenmerken tref woord en accolades, {}} vereist, zelfs als er geen kenmerken zijn opgegeven.In a JSON Request, the attributes keyword and braces, ‘{‘ ‘}’, are required even if there are no attributes specified.

  • ingeschakeld: Boole, optioneel, standaard waarde is True.enabled: boolean, optional, default is true. Hiermee geeft u op of de sleutel is ingeschakeld en bruikbaar is voor cryptografische bewerkingen.Specifies whether the key is enabled and useable for cryptographic operations. Het kenmerk enabled wordt gebruikt in combi natie met NBF en exp. Wanneer een bewerking plaatsvindt tussen NBF en exp, wordt deze alleen toegestaan als ingeschakeld is ingesteld op waar.The enabled attribute is used in conjunction with nbf and exp. When an operation occurs between nbf and exp, it will only be permitted if enabled is set to true. Bewerkingen buiten het venster NBF / exp worden automatisch niet toegestaan, met uitzonde ring van bepaalde bewerkings typen onder bepaalde voor waarden.Operations outside the nbf / exp window are automatically disallowed, except for certain operation types under particular conditions.
  • nbf: IntDate, optioneel, standaard is nu.nbf: IntDate, optional, default is now. Het kenmerk NBF (niet voor) geeft aan hoe lang de sleutel niet moet worden gebruikt voor cryptografische bewerkingen, met uitzonde ring van bepaalde typen bewerkingen onder bepaalde voor waarden.The nbf (not before) attribute identifies the time before which the key MUST NOT be used for cryptographic operations, except for certain operation types under particular conditions. Voor de verwerking van het NBF -kenmerk moet de huidige datum/tijd na of gelijk zijn aan de niet-voor-datum/-tijd die wordt vermeld in het NBF -kenmerk.The processing of the nbf attribute requires that the current date/time MUST be after or equal to the not-before date/time listed in the nbf attribute. Key Vault kan worden geboden voor sommige kleine Leeway, normaal gesp roken niet meer dan een paar minuten, om rekening te trekken met Clock scheefheid.Key Vault MAY provide for some small leeway, normally no more than a few minutes, to account for clock skew. De waarde moet een getal zijn dat een IntDate-waarde bevat.Its value MUST be a number containing an IntDate value.
  • exp: IntDate, optioneel, standaard is "permanent".exp: IntDate, optional, default is "forever". Met het kenmerk exp (verval tijd) wordt de verval tijd van of waarna de sleutel mag niet worden gebruikt voor een cryptografische bewerking, behalve voor bepaalde typen bewerkingen onder bepaalde voor waarden.The exp (expiration time) attribute identifies the expiration time on or after which the key MUST NOT be used for cryptographic operation, except for certain operation types under particular conditions. Voor de verwerking van het kenmerk exp moet de huidige datum/tijd vóór de verval datum/-tijd van het kenmerk exp zijn.The processing of the exp attribute requires that the current date/time MUST be before the expiration date/time listed in the exp attribute. Key Vault kan worden geboden voor sommige kleine Leeway, meestal niet meer dan een paar minuten, om rekening te trekken met Clock scheefheid.Key Vault MAY provide for some small leeway, typically no more than a few minutes, to account for clock skew. De waarde moet een getal zijn dat een IntDate-waarde bevat.Its value MUST be a number containing an IntDate value.

Er zijn aanvullende alleen-lezen kenmerken die zijn opgenomen in een antwoord dat sleutel kenmerken bevat:There are additional read-only attributes that are included in any response that includes key attributes:

  • gemaakt: IntDate, optioneel.created: IntDate, optional. Het kenmerk gemaakt geeft aan wanneer deze versie van de sleutel is gemaakt.The created attribute indicates when this version of the key was created. De waarde is null voor sleutels die zijn gemaakt vóór het toevoegen van dit kenmerk.The value is null for keys created prior to the addition of this attribute. De waarde moet een getal zijn dat een IntDate-waarde bevat.Its value MUST be a number containing an IntDate value.
  • bijgewerkt: IntDate, optioneel.updated: IntDate, optional. Het kenmerk bijgewerkt geeft aan wanneer deze versie van de sleutel is bijgewerkt.The updated attribute indicates when this version of the key was updated. De waarde is null voor de sleutels die voor het laatst zijn bijgewerkt vóór het toevoegen van dit kenmerk.The value is null for keys that were last updated prior to the addition of this attribute. De waarde moet een getal zijn dat een IntDate-waarde bevat.Its value MUST be a number containing an IntDate value.

Zie gegevens typen voor meer informatie over IntDate en andere gegevens typenFor more information on IntDate and other data types, see Data types

Datum-en tijd beheer bewerkingenDate-time controlled operations

Nog geen geldige en verlopen sleutels, buiten het venster NBF / exp , werken voor ontsleutelen, uitpakkenen controleren (niet 403, verboden).Not-yet-valid and expired keys, outside the nbf / exp window, will work for decrypt, unwrap, and verify operations (won’t return 403, Forbidden). De reden voor het gebruik van de niet-geldige status is het toestaan dat een sleutel wordt getest voordat het productie gebruik wordt uitgevoerd.The rationale for using the not-yet-valid state is to allow a key to be tested before production use. De motivering voor het gebruik van de verlopen status is het toestaan van herstel bewerkingen voor gegevens die zijn gemaakt toen de sleutel geldig was.The rationale for using the expired state is to allow recovery operations on data that was created when the key was valid. U kunt ook de toegang tot een sleutel met behulp van Key Vault-beleid uitschakelen of door het ingeschakelde sleutel kenmerk op Onwaarbij te werken.Also, you can disable access to a key using Key Vault policies, or by updating the enabled key attribute to false.

Zie gegevens typenvoor meer informatie over gegevens typen.For more information on data types, see Data types.

Zie de JSON Web Key (JWK)voor meer informatie over andere mogelijke kenmerken.For more information on other possible attributes, see the JSON Web Key (JWK).

Sleutel TagsKey tags

U kunt aanvullende toepassingsspecifieke meta gegevens opgeven in de vorm van tags.You can specify additional application-specific metadata in the form of tags. Key Vault ondersteunt Maxi maal 15 Tags, die elk een 256-teken naam en een 256-teken waarde kunnen bevatten.Key Vault supports up to 15 tags, each of which can have a 256 character name and a 256 character value.

Notitie

Labels kunnen worden gelezen door een beller als ze de lijst of machtiging voor dat object type (sleutels, geheimen of certificaten) hebben.Tags are readable by a caller if they have the list or get permission to that object type (keys, secrets, or certificates).

Toegangsbeheer voor sleutelsKey access control

Toegangs beheer voor sleutels die door Key Vault worden beheerd, wordt op het niveau van een Key Vault aangegeven dat fungeert als container met sleutels.Access control for keys managed by Key Vault is provided at the level of a Key Vault that acts as the container of keys. Het toegangscontrole beleid voor sleutels verschilt van het toegangs beheer beleid voor geheimen in hetzelfde Key Vault.The access control policy for keys is distinct from the access control policy for secrets in the same Key Vault. Gebruikers kunnen een of meer kluizen maken voor het bewaren van sleutels en zijn vereist voor het bijhouden van de juiste segmentatie en het beheer van sleutels.Users may create one or more vaults to hold keys, and are required to maintain scenario appropriate segmentation and management of keys. Toegangs beheer voor sleutels is onafhankelijk van toegangs beheer voor geheimen.Access control for keys is independent of access control for secrets.

De volgende machtigingen kunnen worden toegekend, op basis van gebruikers-en service-principals, in de toegangscontrole vermelding voor sleutels op een kluis.The following permissions can be granted, on a per user / service principal basis, in the keys access control entry on a vault. Deze machtigingen spie gelen de bewerkingen die zijn toegestaan voor een sleutel object.These permissions closely mirror the operations allowed on a key object. Het verlenen van toegang aan een Service-Principal in de sleutel kluis is een eenmalige-bewerking. deze blijft hetzelfde voor alle Azure-abonnementen.Granting access to an service principal in key vault is a onetime operation, and it will remain same for all Azure subscriptions. U kunt deze gebruiken om zoveel certificaten te implementeren als u wilt.You can use it to deploy as many certificates as you want.

  • Machtigingen voor sleutel beheer bewerkingenPermissions for key management operations

    • ophalen: Het open bare deel van een sleutel lezen, plus de kenmerkenget: Read the public part of a key, plus its attributes
    • lijst: De sleutels of versies van een sleutel die is opgeslagen in een sleutel kluis weer gevenlist: List the keys or versions of a key stored in a key vault
    • Update: De kenmerken voor een sleutel bijwerkenupdate: Update the attributes for a key
    • maken: Nieuwe sleutels makencreate: Create new keys
    • importeren: Een sleutel importeren in een sleutel kluisimport: Import a key to a key vault
    • verwijderen: Het sleutel object verwijderendelete: Delete the key object
    • herstellen: Een verwijderde sleutel herstellenrecover: Recover a deleted key
    • back-up: Een back-up maken van een sleutel in een sleutel kluisbackup: Back up a key in a key vault
    • herstellen: Een back-upsleutel herstellen naar een sleutel kluisrestore: Restore a backed up key to a key vault
  • Machtigingen voor cryptografische bewerkingenPermissions for cryptographic operations

    • ontsleutelen: De sleutel gebruiken voor het opheffen van de beveiliging van een reeks bytesdecrypt: Use the key to unprotect a sequence of bytes
    • versleutelen: De sleutel gebruiken voor het beveiligen van een wille keurige reeks bytesencrypt: Use the key to protect an arbitrary sequence of bytes
    • sleutel uitpakken: De sleutel gebruiken voor het opheffen van de beveiliging van verpakte symmetrische sleutelsunwrapKey: Use the key to unprotect wrapped symmetric keys
    • wrapKey: De sleutel gebruiken voor het beveiligen van een symmetrische sleutelwrapKey: Use the key to protect a symmetric key
    • controleren: De sleutel gebruiken om samen vattingen te controlerenverify: Use the key to verify digests
    • ondertekenen: De sleutel gebruiken om samen vattingen te ondertekenensign: Use the key to sign digests
  • Machtigingen voor bevoegde bewerkingenPermissions for privileged operations

    • opschonen: Een verwijderde sleutel leegmaken (permanent verwijderen)purge: Purge (permanently delete) a deleted key

Voor meer informatie over het werken met sleutels raadpleegt u belang rijke bewerkingen in de naslag informatie over Key Vault rest API.For more information on working with keys, see Key operations in the Key Vault REST API reference. Zie voor meer informatie over het instellen van machtigingen -kluizen-maken of bijwerken en kluizen-toegangs beleid bijwerken.For information on establishing permissions, see Vaults - Create or Update and Vaults - Update Access Policy.

Key Vault geheimenKey Vault secrets

Werken met geheimenWorking with secrets

Vanuit het oogpunt van een ontwikkelaar Key Vault Api's accepteren en geheime waarden retour neren als teken reeksen.From a developer's perspective, Key Vault APIs accept and return secret values as strings. Intern worden geheimen door Key Vault opgeslagen en beheerd als reeksen van octetten (8-bits bytes), met een maximale grootte van 25k bytes.Internally, Key Vault stores and manages secrets as sequences of octets (8-bit bytes), with a maximum size of 25k bytes each. De Key Vault-service biedt geen semantiek voor geheimen.The Key Vault service doesn't provide semantics for secrets. Alleen de gegevens worden geaccepteerd, versleuteld, opgeslagen en een geheime id (' id ') wordt geretourneerd.It merely accepts the data, encrypts it, stores it, and returns a secret identifier ("id"). De id kan worden gebruikt om het geheim op een later tijdstip op te halen.The identifier can be used to retrieve the secret at a later time.

Voor zeer gevoelige gegevens moeten clients extra beveiligings lagen voor gegevens overwegen.For highly sensitive data, clients should consider additional layers of protection for data. Het versleutelen van gegevens met behulp van een afzonderlijke beveiligings sleutel vóór opslag in Key Vault is een voor beeld.Encrypting data using a separate protection key prior to storage in Key Vault is one example.

Key Vault biedt ook ondersteuning voor een veld Content type voor geheimen.Key Vault also supports a contentType field for secrets. Clients kunnen het inhouds type van een geheim opgeven om te helpen bij het interpreteren van de geheime gegevens wanneer deze worden opgehaald.Clients may specify the content type of a secret to assist in interpreting the secret data when it's retrieved. De maximale lengte van dit veld is 255 tekens.The maximum length of this field is 255 characters. Er zijn geen vooraf gedefinieerde waarden.There are no pre-defined values. Het voorgestelde gebruik is als hint voor het interpreteren van de geheime gegevens.The suggested usage is as a hint for interpreting the secret data. Een implementatie kan bijvoorbeeld beide wacht woorden en certificaten opslaan als geheimen en vervolgens dit veld gebruiken om onderscheid te maken.For instance, an implementation may store both passwords and certificates as secrets, then use this field to differentiate. Er zijn geen vooraf gedefinieerde waarden.There are no predefined values.

Geheime kenmerkenSecret attributes

Naast de geheime gegevens kunnen de volgende kenmerken worden opgegeven:In addition to the secret data, the following attributes may be specified:

  • exp: IntDate, optioneel, standaard waarde is permanent.exp: IntDate, optional, default is forever. Met het kenmerk exp (verval tijd) geeft u de verval tijd op of waarna de geheime gegevens niet moeten worden opgehaald, behalve in bepaalde situaties.The exp (expiration time) attribute identifies the expiration time on or after which the secret data SHOULD NOT be retrieved, except in particular situations. Dit veld is alleen ter informatie bedoeld omdat gebruikers van de sleutel kluis service informeert dat een bepaald geheim niet mag worden gebruikt.This field is for informational purposes only as it informs users of key vault service that a particular secret may not be used. De waarde moet een getal zijn dat een IntDate-waarde bevat.Its value MUST be a number containing an IntDate value.
  • nbf: IntDate, optioneel, standaard is nu.nbf: IntDate, optional, default is now. Het kenmerk NBF (niet voor voor) geeft aan hoe lang de geheime gegevens niet moeten worden opgehaald, behalve in het geval van bepaalde situaties.The nbf (not before) attribute identifies the time before which the secret data SHOULD NOT be retrieved, except in particular situations. Dit veld is alleen ter informatie bedoeld.This field is for informational purposes only. De waarde moet een getal zijn dat een IntDate-waarde bevat.Its value MUST be a number containing an IntDate value.
  • ingeschakeld: Boole, optioneel, standaard waarde is True.enabled: boolean, optional, default is true. Dit kenmerk geeft aan of de geheime gegevens kunnen worden opgehaald.This attribute specifies whether the secret data can be retrieved. Het kenmerk enabled wordt gebruikt in combi natie met NBF en exp wanneer een bewerking plaatsvindt tussen NBF en exp, maar is alleen toegestaan als ingeschakeld is ingesteld op waar.The enabled attribute is used in conjunction with nbf and exp when an operation occurs between nbf and exp, it will only be permitted if enabled is set to true. Bewerkingen buiten het venster NBF en exp worden automatisch niet toegestaan, behalve in bepaalde situaties.Operations outside the nbf and exp window are automatically disallowed, except in particular situations.

Er zijn aanvullende alleen-lezen kenmerken die zijn opgenomen in een antwoord dat geheime kenmerken bevat:There are additional read-only attributes that are included in any response that includes secret attributes:

  • gemaakt: IntDate, optioneel.created: IntDate, optional. Het kenmerk gemaakt geeft aan wanneer deze versie van het geheim is gemaakt.The created attribute indicates when this version of the secret was created. Deze waarde is null voor geheimen die zijn gemaakt vóór het toevoegen van dit kenmerk.This value is null for secrets created prior to the addition of this attribute. De waarde moet een getal zijn dat een IntDate-waarde bevat.Its value must be a number containing an IntDate value.
  • bijgewerkt: IntDate, optioneel.updated: IntDate, optional. Het kenmerk bijgewerkt geeft aan wanneer deze versie van het geheim is bijgewerkt.The updated attribute indicates when this version of the secret was updated. Deze waarde is null voor geheimen die voor het laatst zijn bijgewerkt vóór het toevoegen van dit kenmerk.This value is null for secrets that were last updated prior to the addition of this attribute. De waarde moet een getal zijn dat een IntDate-waarde bevat.Its value must be a number containing an IntDate value.

Datum-en tijd beheer bewerkingenDate-time controlled operations

De Get -bewerking van een geheim werkt voor niet-geldige en verlopen geheimen, buiten het venster NBF / exp .A secret's get operation will work for not-yet-valid and expired secrets, outside the nbf / exp window. Het aanroepen van de Get -bewerking van een geheim voor een niet-geldig geheim, kan worden gebruikt voor test doeleinden.Calling a secret's get operation, for a not-yet-valid secret, can be used for test purposes. Hetophalen ( afmaken) van een verlopen geheim dat kan worden gebruikt voor herstel bewerkingen.Retrieving (getting) an expired secret, can be used for recovery operations.

Zie gegevens typenvoor meer informatie over gegevens typen.For more information on data types, see Data types.

Toegangsbeheer voor geheimenSecret access control

Access Control voor geheimen die worden beheerd in Key Vault, wordt op het niveau van de Key Vault die deze geheimen bevat, vermeld.Access Control for secrets managed in Key Vault, is provided at the level of the Key Vault that contains those secrets. Het toegangs beheer beleid voor geheimen verschilt van het toegangs beheer beleid voor sleutels in dezelfde Key Vault.The access control policy for secrets, is distinct from the access control policy for keys in the same Key Vault. Gebruikers kunnen een of meer kluizen maken om geheimen te bewaren en zijn vereist voor het bijhouden van de juiste segmentatie en het beheer van geheimen.Users may create one or more vaults to hold secrets, and are required to maintain scenario appropriate segmentation and management of secrets.

De volgende machtigingen kunnen per principal worden gebruikt, in de toegangscontrole vermelding geheimen in een kluis en de bewerkingen die zijn toegestaan voor een geheim object, nauw keurig spie gelen:The following permissions can be used, on a per-principal basis, in the secrets access control entry on a vault, and closely mirror the operations allowed on a secret object:

  • Machtigingen voor geheime beheer bewerkingenPermissions for secret management operations

    • ophalen: Een geheim lezenget: Read a secret
    • lijst: De geheimen of versies van een geheim dat is opgeslagen in een Key Vault weer gevenlist: List the secrets or versions of a secret stored in a Key Vault
    • instellen: Een geheim makenset: Create a secret
    • verwijderen: Een geheim verwijderendelete: Delete a secret
    • herstellen: Een verwijderd geheim herstellenrecover: Recover a deleted secret
    • back-up: Een back-up maken van een geheim in een sleutel kluisbackup: Back up a secret in a key vault
    • herstellen: Een back-up van een geheim naar een sleutel kluis herstellenrestore: Restore a backed up secret to a key vault
  • Machtigingen voor bevoegde bewerkingenPermissions for privileged operations

    • opschonen: Een verwijderd geheim opschonen (permanent verwijderen)purge: Purge (permanently delete) a deleted secret

Zie voor meer informatie over het werken met geheimen geheime bewerkingen in de naslag informatie over Key Vault rest API.For more information on working with secrets, see Secret operations in the Key Vault REST API reference. Zie voor meer informatie over het instellen van machtigingen -kluizen-maken of bijwerken en kluizen-toegangs beleid bijwerken.For information on establishing permissions, see Vaults - Create or Update and Vaults - Update Access Policy.

Geheime TagsSecret tags

U kunt aanvullende toepassingsspecifieke meta gegevens opgeven in de vorm van tags.You can specify additional application-specific metadata in the form of tags. Key Vault ondersteunt Maxi maal 15 Tags, die elk een 256-teken naam en een 256-teken waarde kunnen bevatten.Key Vault supports up to 15 tags, each of which can have a 256 character name and a 256 character value.

Notitie

Labels kunnen worden gelezen door een beller als ze de lijst of machtiging voor dat object type (sleutels, geheimen of certificaten) hebben.Tags are readable by a caller if they have the list or get permission to that object type (keys, secrets, or certificates).

Key Vault certificatenKey Vault Certificates

Key Vault ondersteuning voor certificaten voorziet in het beheer van uw x509-certificaten en het volgende gedrag:Key Vault certificates support provides for management of your x509 certificates and the following behaviors:

  • Hiermee kan een certificaat eigenaar een certificaat maken met behulp van een Key Vault aanmaak proces of door middel van het importeren van een bestaand certificaat.Allows a certificate owner to create a certificate through a Key Vault creation process or through the import of an existing certificate. Bevat zowel zelf-ondertekende als door de certificerings instantie gegenereerde certificaten.Includes both self-signed and Certificate Authority generated certificates.
  • Hiermee kan een Key Vault eigenaar van het certificaat beveiligde opslag en beheer van x509-certificaten implementeren zonder interactie met persoonlijke-sleutel materiaal.Allows a Key Vault certificate owner to implement secure storage and management of X509 certificates without interaction with private key material.
  • Hiermee kan een certificaat eigenaar een beleid maken dat Key Vault doorstuurt om de levens cyclus van een certificaat te beheren.Allows a certificate owner to create a policy that directs Key Vault to manage the life-cycle of a certificate.
  • Staat eigen aren van certificaten toe om contact gegevens op te geven voor meldingen over levenscyclus gebeurtenissen van de verval datum en verlenging van het certificaat.Allows certificate owners to provide contact information for notification about life-cycle events of expiration and renewal of certificate.
  • Ondersteunt automatische verlenging met geselecteerde verleners-Key Vault partner x509-certificaat providers/certificerings instanties.Supports automatic renewal with selected issuers - Key Vault partner X509 certificate providers / certificate authorities.

Notitie

Providers/instanties zonder partner zijn ook toegestaan, maar bieden geen ondersteuning voor de functie voor automatisch verlengen.Non-partnered providers/authorities are also allowed but, will not support the auto renewal feature.

Samen stelling van een certificaatComposition of a Certificate

Wanneer er een Key Vault certificaat wordt gemaakt, worden er ook een adresseer bare sleutel en een geheim gemaakt met dezelfde naam.When a Key Vault certificate is created, an addressable key and secret are also created with the same name. Met de Key Vault sleutel kunnen sleutel bewerkingen en het Key Vault geheim ophalen van de certificaat waarde als geheim toestaan.The Key Vault key allows key operations and the Key Vault secret allows retrieval of the certificate value as a secret. Een Key Vault certificaat bevat ook open bare meta gegevens voor x509-certificaten.A Key Vault certificate also contains public x509 certificate metadata.

De id en de versie van certificaten zijn vergelijkbaar met die van sleutels en geheimen.The identifier and version of certificates is similar to that of keys and secrets. Een specifieke versie van een adresseer bare sleutel en geheim dat is gemaakt met de Key Vault certificaat versie is beschikbaar in het Key Vault certificaat antwoord.A specific version of an addressable key and secret created with the Key Vault certificate version is available in the Key Vault certificate response.

Certificaten zijn complexe objecten

Exporteer bare of niet-Exporteer bare sleutelExportable or Non-exportable key

Wanneer een Key Vault certificaat wordt gemaakt, kan het worden opgehaald uit het adresseer bare geheim met de persoonlijke sleutel in de PFX-of PEM-indeling.When a Key Vault certificate is created, it can be retrieved from the addressable secret with the private key in either PFX or PEM format. Het beleid dat wordt gebruikt voor het maken van het certificaat moet aangeven dat de sleutel exporteerbaar is.The policy used to create the certificate must indicate that the key is exportable. Als het beleid aangeeft dat het niet kan worden geëxporteerd, is de persoonlijke sleutel geen onderdeel van de waarde wanneer deze wordt opgehaald als geheim.If the policy indicates non-exportable, then the private key isn't a part of the value when retrieved as a secret.

De adresseer bare sleutel wordt relevanter voor niet-Exporteer bare KV-certificaten.The addressable key becomes more relevant with non-exportable KV certificates. De adresseer bare KV-sleutel bewerkingen zijn toegewezen in het veld sleutel gebruik van het KV-certificaat beleid dat wordt gebruikt om het KV-certificaat te maken.The addressable KV key’s operations are mapped from keyusage field of the KV certificate policy used to create the KV Certificate.

Er worden twee typen sleutels ondersteund: RSA of RSA HSM met certificaten.Two types of key are supported – RSA or RSA HSM with certificates. Exporteerbaar is alleen toegestaan met RSA, niet ondersteund door RSA HSM.Exportable is only allowed with RSA, not supported by RSA HSM.

Certificaat kenmerken en-TagsCertificate Attributes and Tags

Naast de meta gegevens van het certificaat, een adresseer bare sleutel en een adresseerbaar geheim, een Key Vault-certificaat bevat ook kenmerken en tags.In addition to certificate metadata, an addressable key and addressable secret, a Key Vault certificate also contains attributes and tags.

KenmerkenAttributes

De certificaat kenmerken worden gespiegeld met kenmerken van de adresseer bare sleutel en het geheim dat is gemaakt wanneer het KV-certificaat wordt gemaakt.The certificate attributes are mirrored to attributes of the addressable key and secret created when KV certificate is created.

Een Key Vault certificaat heeft de volgende kenmerken:A Key Vault certificate has the following attributes:

  • ingeschakeld: Boole, optioneel, standaard waarde is True.enabled: boolean, optional, default is true. Kan worden opgegeven om aan te geven of de certificaat gegevens kunnen worden opgehaald als geheim of bruikbaar als sleutel.Can be specified to indicate if the certificate data can be retrieved as secret or operable as a key. Wordt ook gebruikt in combi natie met NBF en exp wanneer er een bewerking plaatsvindt tussen NBF en exp, en zal alleen worden toegestaan als ingeschakeld is ingesteld op waar.Also used in conjunction with nbf and exp when an operation occurs between nbf and exp, and will only be permitted if enabled is set to true. Bewerkingen buiten het venster NBF en exp worden automatisch niet toegestaan.Operations outside the nbf and exp window are automatically disallowed.

Er zijn aanvullende alleen-lezen kenmerken die zijn opgenomen in het antwoord:There are additional read-only attributes that are included in response:

  • gemaakt: IntDate: geeft aan wanneer deze versie van het certificaat is gemaakt.created: IntDate: indicates when this version of the certificate was created.
  • bijgewerkt: IntDate: geeft aan wanneer deze versie van het certificaat is bijgewerkt.updated: IntDate: indicates when this version of the certificate was updated.
  • exp: IntDate: bevat de waarde van de verval datum van het x509-certificaat.exp: IntDate: contains the value of the expiry date of the x509 certificate.
  • nbf: IntDate: bevat de waarde van de datum van het x509-certificaat.nbf: IntDate: contains the value of the date of the x509 certificate.

Notitie

Als een Key Vault certificaat verloopt, is de adresseer bare sleutel en het geheim niet meer bruikbaar.If a Key Vault certificate expires, it’s addressable key and secret become inoperable.

TagsTags

Opgegeven Dictionary van sleutel waarde-paren van client, vergelijkbaar met tags in sleutels en geheimen.Client specified dictionary of key value pairs, similar to tags in keys and secrets.

Notitie

Labels kunnen worden gelezen door een beller als ze de lijst of machtiging voor dat object type (sleutels, geheimen of certificaten) hebben.Tags are readable by a caller if they have the list or get permission to that object type (keys, secrets, or certificates).

Certificaat beleidCertificate policy

Een certificaat beleid bevat informatie over het maken en beheren van de levens cyclus van een Key Vault certificaat.A certificate policy contains information on how to create and manage lifecycle of a Key Vault certificate. Wanneer een certificaat met een persoonlijke sleutel wordt geïmporteerd in de sleutel kluis, wordt een standaard beleid gemaakt door het x509-certificaat te lezen.When a certificate with private key is imported into the key vault, a default policy is created by reading the x509 certificate.

Wanneer een volledig Key Vault certificaat wordt gemaakt, moet er een beleid worden opgegeven.When a Key Vault certificate is created from scratch, a policy needs to be supplied. Het beleid bepaalt hoe u deze Key Vault certificaat versie maakt, of de volgende Key Vault certificaat versie.The policy specifies how to create this Key Vault certificate version, or the next Key Vault certificate version. Als er een beleid is ingesteld, is het niet vereist voor opeenvolgende nieuwe bewerkingen voor toekomstige versies.Once a policy has been established, it isn't required with successive create operations for future versions. Er is slechts één exemplaar van een beleid voor alle versies van een Key Vault certificaat.There's only one instance of a policy for all the versions of a Key Vault certificate.

Op hoog niveau bevat een certificaat beleid de volgende informatie:At a high level, a certificate policy contains the following information:

  • Eigenschappen van x509-certificaat: Bevat de onderwerpnaam, alternatieve naam van het onderwerp en andere eigenschappen die worden gebruikt voor het maken van een x509-certificaat aanvraag.X509 certificate properties: Contains subject name, subject alternate names, and other properties used to create an x509 certificate request.

  • Sleutel eigenschappen: bevat sleutel type, sleutel lengte, exporteerbaar en het opnieuw gebruiken van sleutel velden.Key Properties: contains key type, key length, exportable, and reuse key fields. Met deze velden wordt de sleutel kluis geïnstrueerd om een sleutel te genereren.These fields instruct key vault on how to generate a key.

  • Geheime eigenschappen: bevat geheime eigenschappen, zoals het inhouds type van adresseer bare geheim om de geheime waarde te genereren, voor het ophalen van een certificaat als geheim.Secret properties: contains secret properties such as content type of addressable secret to generate the secret value, for retrieving certificate as a secret.

  • Levensduur acties: bevat levensduur acties voor het KV-certificaat.Lifetime Actions: contains lifetime actions for the KV Certificate. Elke levensduur actie bevat:Each lifetime action contains:

    • Trigger: opgegeven via dagen vóór het verloop of het percentage van de levens duurTrigger: specified via days before expiry or lifetime span percentage

    • Actie: type actie opgeven – emailContacts of autorenewAction: specifying action type – emailContacts or autoRenew

  • Verlener Para meters over de certificaat verlener die wordt gebruikt om x509-certificaten uit te geven.Issuer: Parameters about the certificate issuer to use to issue x509 certificates.

  • Beleids kenmerken: bevat kenmerken die zijn gekoppeld aan het beleidPolicy Attributes: contains attributes associated with the policy

X509-toewijzing van Key Vault gebruikX509 to Key Vault usage mapping

De volgende tabel geeft de toewijzing van het beleid voor x509-sleutel gebruik aan voor efficiënte sleutel bewerkingen van een sleutel die is gemaakt als onderdeel van het maken van een Key Vault certificaat.The following table represents the mapping of x509 key usage policy to effective key operations of a key created as part of a Key Vault certificate creation.

Gebruiks vlaggen voor x509-sleutelX509 Key Usage flags Key Vault Key OPSKey Vault key ops Standaard gedragDefault behavior
DataEnciphermentDataEncipherment versleutelen, ontsleutelenencrypt, decrypt N/AN/A
DecipherOnlyDecipherOnly cryptodecrypt N/AN/A
DigitalSignatureDigitalSignature ondertekenen, controlerensign, verify Key Vault standaard zonder een gebruiks specificatie op het moment van aanmaken van het certificaatKey Vault default without a usage specification at certificate creation time
EncipherOnlyEncipherOnly encryptencrypt N/AN/A
KeyCertSignKeyCertSign ondertekenen, controlerensign, verify N/AN/A
KeyEnciphermentKeyEncipherment wrapKey, sleutel uitpakkenwrapKey, unwrapKey Key Vault standaard zonder een gebruiks specificatie op het moment van aanmaken van het certificaatKey Vault default without a usage specification at certificate creation time
AuthenticNonRepudiation ondertekenen, controlerensign, verify N/AN/A
crlsigncrlsign ondertekenen, controlerensign, verify N/AN/A

Certificaat verlenerCertificate Issuer

Een Key Vault certificaat object bevat een configuratie die wordt gebruikt om te communiceren met een geselecteerde certificaat verlener-provider om x509-certificaten te best Ellen.A Key Vault certificate object holds a configuration used to communicate with a selected certificate issuer provider to order x509 certificates.

  • Key Vault partners met de volgende certificaat verleners voor SSL-certificatenKey Vault partners with following certificate issuer providers for SSL certificates
Provider naamProvider Name LocatiesLocations
DigiCertDigiCert Ondersteund in alle sleutel kluis service locaties in de open bare Cloud en Azure GovernmentSupported in all key vault service locations in public cloud and Azure Government
GlobalSignGlobalSign Ondersteund in alle sleutel kluis service locaties in de open bare Cloud en Azure GovernmentSupported in all key vault service locations in public cloud and Azure Government

Voordat een certificaat uitgever kan worden gemaakt in een Key Vault, moeten de volgende stappen 1 en 2 worden uitgevoerd.Before a certificate issuer can be created in a Key Vault, following prerequisite steps 1 and 2 must be successfully accomplished.

  1. Onboarding voor certificerings instanties (CA)Onboard to Certificate Authority (CA) Providers

    • Een beheerder van de organisatie moet het bedrijf (bijvoorbeeldAn organization administrator must on-board their company (ex. Contoso) met ten minste één CA-provider.Contoso) with at least one CA provider.
  2. Beheerder maakt referenties voor de aanvrager van Key Vault om SSL-certificaten in te schrijven (en te vernieuwen)Admin creates requester credentials for Key Vault to enroll (and renew) SSL certificates

    • Biedt de configuratie die moet worden gebruikt voor het maken van een uitgevers object van de provider in de sleutel kluisProvides the configuration to be used to create an issuer object of the provider in the key vault

Zie de blog Key Vault certificaten voor meer informatie over het maken van uitgevers objecten van de portal certificaten.For more information on creating Issuer objects from the Certificates portal, see the Key Vault Certificates blog

Key Vault maakt het mogelijk meerdere uitgevers objecten te maken met een andere provider configuratie voor de verlener.Key Vault allows for creation of multiple issuer objects with different issuer provider configuration. Zodra een object van de verlener is gemaakt, kan de naam ervan in een of meer certificaat beleidsregels worden verwezen.Once an issuer object is created, its name can be referenced in one or multiple certificate policies. Als u verwijst naar het Issuer-object, wordt Key Vault het gebruik van configuratie zoals opgegeven in het Issuer-object te gebruiken bij het aanvragen van het x509-certificaat van de CA-provider tijdens het maken en vernieuwen van het certificaat.Referencing the issuer object instructs Key Vault to use configuration as specified in the issuer object when requesting the x509 certificate from CA provider during the certificate creation and renewal.

Uitgevers objecten worden in de kluis gemaakt en kunnen alleen worden gebruikt met KV-certificaten in dezelfde kluis.Issuer objects are created in the vault and can only be used with KV certificates in the same vault.

Certificaat contactpersonenCertificate contacts

Certificaat contactpersonen bevatten contact gegevens om meldingen te verzenden die worden geactiveerd door de levens duur van het certificaat.Certificate contacts contain contact information to send notifications triggered by certificate lifetime events. De gegevens van de contact persoon worden gedeeld door alle certificaten in de sleutel kluis.The contacts information is shared by all the certificates in the key vault. Er wordt een melding verzonden naar alle opgegeven contact personen voor een gebeurtenis voor een certificaat in de sleutel kluis.A notification is sent to all the specified contacts for an event for any certificate in the key vault.

Als het beleid van een certificaat is ingesteld op automatisch verlengen, wordt er een melding verzonden naar de volgende gebeurtenissen.If a certificate's policy is set to auto renewal, then a notification is sent on the following events.

  • Vóór het vernieuwen van het certificaatBefore certificate renewal

  • Na het vernieuwen van het certificaat, met de mede deling dat het certificaat is vernieuwd of dat er een fout is opgetreden, moet het certificaat hand matig worden vernieuwd.After certificate renewal, stating if the certificate was successfully renewed, or if there was an error, requiring manual renewal of the certificate.

    Wanneer een certificaat beleid dat is ingesteld op hand matig wordt vernieuwd (alleen e-mail), wordt er een melding verzonden wanneer het certificaat wordt vernieuwd.When a certificate policy that is set to be manually renewed (email only), a notification is sent when it’s time to renew the certificate.

Certificaat Access ControlCertificate Access Control

Toegangs beheer voor certificaten wordt beheerd door Key Vault en wordt gegeven door de Key Vault die de certificaten bevat.Access control for certificates is managed by Key Vault, and is provided by the Key Vault that contains those certificates. Het toegangscontrole beleid voor certificaten verschilt van het toegangs beheer beleid voor sleutels en geheimen in hetzelfde Key Vault.The access control policy for certificates is distinct from the access control policies for keys and secrets in the same Key Vault. Gebruikers kunnen een of meer kluizen maken voor het bewaren van certificaten, voor het bijhouden van de juiste segmentatie en het beheer van certificaten.Users may create one or more vaults to hold certificates, to maintain scenario appropriate segmentation and management of certificates.

De volgende machtigingen kunnen per principal worden gebruikt, in de toegangscontrole vermelding geheimen in een sleutel kluis en komt overeen met de bewerkingen die zijn toegestaan voor een geheim object:The following permissions can be used, on a per-principal basis, in the secrets access control entry on a key vault, and closely mirrors the operations allowed on a secret object:

  • Machtigingen voor certificaat beheer bewerkingenPermissions for certificate management operations

    • ophalen: De huidige certificaat versie of een versie van een certificaat ophalenget: Get the current certificate version, or any version of a certificate
    • lijst: De huidige certificaten of versies van een certificaat weer gevenlist: List the current certificates, or versions of a certificate
    • Update: Een certificaat bijwerkenupdate: Update a certificate
    • maken: Een Key Vault certificaat makencreate: Create a Key Vault certificate
    • importeren: Certificaat materiaal importeren in een Key Vault certificaatimport: Import certificate material into a Key Vault certificate
    • verwijderen: Een certificaat, het bijbehorende beleid en alle versies ervan verwijderendelete: Delete a certificate, its policy, and all of its versions
    • herstellen: Een verwijderd certificaat herstellenrecover: Recover a deleted certificate
    • back-up: Een back-up maken van een certificaat in een sleutel kluisbackup: Back up a certificate in a key vault
    • herstellen: Een back-up van een certificaat herstellen naar een sleutel kluisrestore: Restore a backed-up certificate to a key vault
    • managecontacts: Key Vault certificaat contactpersonen beherenmanagecontacts: Manage Key Vault certificate contacts
    • manageissuers: Key Vault certificerings instanties/verleners beherenmanageissuers: Manage Key Vault certificate authorities/issuers
    • getissuers: De autoriteiten/verleners van een certificaat ophalengetissuers: Get a certificate's authorities/issuers
    • listissuers: De autoriteiten/verleners van een certificaat weer gevenlistissuers: List a certificate's authorities/issuers
    • setissuers: De autoriteiten/verleners van een Key Vault certificaat maken of bijwerkensetissuers: Create or update a Key Vault certificate's authorities/issuers
    • deleteissuers: De autoriteiten/verleners van een Key Vault certificaat verwijderendeleteissuers: Delete a Key Vault certificate's authorities/issuers
  • Machtigingen voor bevoegde bewerkingenPermissions for privileged operations

    • opschonen: Een verwijderd certificaat leegmaken (permanent verwijderen)purge: Purge (permanently delete) a deleted certificate

Zie voor meer informatie de certificaat bewerkingen in de naslag informatie over Key Vault rest API.For more information, see the Certificate operations in the Key Vault REST API reference. Zie voor meer informatie over het instellen van machtigingen -kluizen-maken of bijwerken en kluizen-toegangs beleid bijwerken.For information on establishing permissions, see Vaults - Create or Update and Vaults - Update Access Policy.

Sleutel beheer van Azure Storage accountAzure Storage account key management

Key Vault kunt sleutels van Azure Storage-account beheren:Key Vault can manage Azure storage account keys:

  • Intern kunnen Key Vault een lijst met sleutels (Sync) met een Azure-opslag account.Internally, Key Vault can list (sync) keys with an Azure storage account.
  • Key Vault de sleutels regel matig opnieuw genereren (roteert).Key Vault regenerates (rotates) the keys periodically.
  • Sleutel waarden worden nooit geretourneerd als antwoord op de aanroeper.Key values are never returned in response to caller.
  • Key Vault beheert sleutels van zowel opslag accounts als klassieke opslag accounts.Key Vault manages keys of both storage accounts and classic storage accounts.

Zie Azure Key Vault-opslag account sleutels voor meer informatie.For more information, see Azure Key Vault Storage Account Keys

Toegangs beheer voor opslag accountsStorage account access control

De volgende machtigingen kunnen worden gebruikt voor het autoriseren van een gebruiker of toepassings-principal voor het uitvoeren van bewerkingen op een beheerd opslag account:The following permissions can be used when authorizing a user or application principal to perform operations on a managed storage account:

  • Machtigingen voor beheerde opslag accounts en SaS-definitie bewerkingenPermissions for managed storage account and SaS-definition operations

    • ophalen: Hiermee wordt informatie opgehaald over een opslag accountget: Gets information about a storage account
    • lijst: Opslag accounts weer geven die worden beheerd door een Key Vaultlist: List storage accounts managed by a Key Vault
    • Update: Een opslag account bijwerkenupdate: Update a storage account
    • verwijderen: Een opslagaccount verwijderendelete: Delete a storage account
    • herstellen: Een verwijderd opslag account herstellenrecover: Recover a deleted storage account
    • back-up: Back-up maken van een opslag accountbackup: Back up a storage account
    • herstellen: Een back-up van een opslag account terugzetten naar een Key Vaultrestore: Restore a backed-up storage account to a Key Vault
    • instellen: Een opslag account maken of bijwerkenset: Create or update a storage account
    • regeneratekey: Een opgegeven sleutel waarde voor een opslag account opnieuw genererenregeneratekey: Regenerate a specified key value for a storage account
    • getsas: Informatie over een SAS-definitie voor een opslag account ophalengetsas: Get information about a SAS definition for a storage account
    • listsas: SAS-definities voor opslag weer geven voor een opslag accountlistsas: List storage SAS definitions for a storage account
    • deletesas: Een SAS-definitie verwijderen uit een opslag accountdeletesas: Delete a SAS definition from a storage account
    • setsas: Nieuwe SAS-definitie/kenmerken voor een opslag account maken of bijwerkensetsas: Create or update a new SAS definition/attributes for a storage account
  • Machtigingen voor bevoegde bewerkingenPermissions for privileged operations

    • opschonen: Een beheerd opslag Account leegmaken (definitief verwijderen)purge: Purge (permanently delete) a managed storage account

Zie voor meer informatie de bewerkingen voor opslag accounts in de naslag informatie over Key Vault rest API.For more information, see the Storage account operations in the Key Vault REST API reference. Zie voor meer informatie over het instellen van machtigingen -kluizen-maken of bijwerken en kluizen-toegangs beleid bijwerken.For information on establishing permissions, see Vaults - Create or Update and Vaults - Update Access Policy.

Zie ookSee Also