Share via

Zelfstudie: Automatische rotatie van certificaten in Key Vault configureren

  • Artikel

U kunt eenvoudig digitale certificaat inrichten, beheren en implementeren met behulp van Azure Key Vault. De certificaten kunnen openbare en privé SSL- (Secure Sockets Layer) of TSL-certificaten (Transport Layer Security) zijn en ondertekend zijn door een certificeringsinstantie (CA) of een zelfondertekend certificaat zijn. Key Vault kan ook nieuwe certificaten aanvragen en verlengen via partnerschappen met CA's, wat een robuuste oplossing biedt voor het levenscyclusbeheer van certificaten. In deze zelfstudie werkt u de geldigheidsperiode, frequentie van automatische rotatie en CA-kenmerken van een certificaat bij.

In deze zelfstudie leert u het volgende:

  • Een certificaat beheren met de Azure-portal.
  • Een CA-provideraccount toevoegen.
  • De geldigheidsperiode van het certificaat bijwerken.
  • De frequentie van automatische rotatie van het certificaat bijwerken.
  • De kenmerken van het certificaat bijwerken met Azure PowerShell.

Lees voordat u verdergaat eerst Basisconcepten van Key Vault.

Als u nog geen abonnement op Azure hebt, maak dan een gratis account aan voordat u begint.

Aanmelden bij Azure

Meld u aan bij de Azure-portal.

Een kluis maken

Maak een sleutelkluis met behulp van een van deze drie methoden:

Een certificaat maken in Key Vault

Maak een certificaat of importeer een certificaat in de sleutelkluis (zie Stappen voor het maken van een certificaat in Key Vault. In dit geval werkt u met een certificaat die Voorbeeldcertificaat heet.

De levenscycluskenmerken van een certificaat bijwerken

In Azure Key Vault kunt u de levenscycluskenmerken van een certificaat bijwerken, zowel op het moment dat het certificaat wordt gemaakt als erna.

Een certificaat dat wordt gemaakt in Key Vault kan de volgende vorm aannemen:

  • Een zelfondertekend certificaat.
  • Een certificaat dat is gemaakt met een CA die partner is van Key Vault.
  • Een certificaat met een CA die geen partner is van Key Vault.

De volgende CA's zijn momenteel partners van Key Vault:

  • DigiCert: Key Vault biedt OV- of EV TLS/SSL-certificaten aan.
  • GlobalSign: Key Vault biedt OV- of EV TLS/SSL-certificaten aan.

Key Vault roteert automatisch certificaten via gevestigde partnerschappen met CA's. Omdat Key Vault automatisch certificaten aanvraagt en vernieuwt via het partnerschap, is automatische rotatie niet van toepassing op certificaten die zijn gemaakt met CA's die niet zijn gekoppeld aan Key Vault.

Notitie

Een accountbeheerder voor een CA-provider maakt referenties die Key Vault gebruikt om TLS-/SSL-certificaten te maken, vernieuwen en gebruiken. Certificeringsinstantie

Levenscycluskenmerken van het certificaat bijwerken op het moment van maken

  1. Selecteer op de eigenschappenpagina's van de sleutelkluis Certificaten.

  2. Selecteer Genereren/importeren.

  3. Werk op het scherm Een certificaat maken de volgende waarden bij:

    • Geldigheidsperiode: voer de waarde in (in maanden). Het maken van certificaten met een kort leven is een aanbevolen beveiligingspractice. Standaard is de geldigheidswaarde van nieuwe gemaakte certificaten 12 maanden.

    • Actietype levensduur: Selecteer de acties automatische verlenging en waarschuwing en werk vervolgens de levensduurpercentage of Aantal dagen voor verlopen bij. Standaard is de automatische verlenging van een certificaat ingesteld op 80% van de levensduur. Selecteer een van de volgende opties uit het vervolgkeuzemenu.

      Automatische verlenging op een bepaald moment Alle contactpersonen e-mailen op een bepaald moment
      Als u deze optie selecteert, wordt automatische rotatie ingeschakeld. Als u deze optie selecteert, wordt automatische rotatie niet ingeschakeld, maar worden alleen contactpersonen gewaarschuwd.

      Meer informatie over het instellen van Email contact vindt u hier

  4. Selecteer Maken.

Levenscyclus van een certificaat

De levenscycluskenmerken van een bewaard certificaat bijwerken

  1. Selecteer de sleutelkluis.

  2. Selecteer op de eigenschappenpagina's van de sleutelkluis Certificaten.

  3. Selecteer het certificaat dat u wilt bijwerken. In dit geval werkt u met een certificaat die Voorbeeldcertificaat heet.

  4. Selecteer Uitgiftebeleid in de bovenste menubalk.

    Schermopname waarop de knop Uitgiftebeleid is gemarkeerd.

  5. Werk op het scherm Uitgiftebeleid de volgende waarden bij:

    • Geldigheidsperiode: werk de waarde bij (in maanden).
    • Actietype levensduur: Selecteer de acties automatische verlenging en waarschuwing en werk vervolgens het levensduurpercentage of Aantal dagen voor verlopen bij.

    Certificaateigenschappen

  6. Selecteer Opslaan.

Belangrijk

Als u de het actietype Levensduur van een certificaat verandert, worden bewerkingen voor bestaande certificaten onmiddellijk geregistreerd.

Certificaatkenmerken bijwerken met PowerShell



Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName 
                                   -Name $certificateName 
                                   -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]

Tip

Als u het verlengingsbeleid voor een lijst met certificaten wilt wijzigen, voert u File.csv in die bevat VaultName,CertName zoals in het volgende voorbeeld:
vault1,Cert1
vault2,Cert2

$file = Import-CSV C:\Users\myfolder\ReadCSVUsingPowershell\File.csv ​
foreach($line in $file)​
{​
Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName -Name $certificateName -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]
}

Raadpleeg az keyvault certificate voor meer informatie over de parameters.

Resources opschonen

Andere Key Vault-zelfstudies borduren voort op deze zelfstudie. Als u van plan bent om met deze zelfstudies aan de slag te gaan, is het misschien handig om deze resources te bewaren. Wanneer u die niet meer nodig hebt, verwijdert u de resourcegroep. Hierdoor worden ook de sleutelkluis en de gerelateerde resources verwijderd.

De resourcegroep verwijderen via de portal:

  1. Typ de naam van uw resourcegroep in het zoekvak bovenaan de portal. Wanneer de in deze quickstart gebruikte resourcegroep in de zoekresultaten verschijnt, selecteert u deze.
  2. Selecteer Resourcegroep verwijderen.
  3. Typ in het vak TYP DE NAAM VAN DE RESOURCEGROEP de naam van de resourcegroep en selecteer vervolgens Verwijderen.

Volgende stappen

In deze zelfstudie hebt u de levenscycluskenmerken van een certificaat bijgewerkt. Voor meer informatie over Key Vault en hoe u Key Vault integreert met uw toepassingen gaat u verder met een van de volgende artikelen: