Informacje o certyfikatach usługi Azure Key VaultAbout Azure Key Vault certificates

Key Vault certyfikatów zapewnia zarządzanie certyfikatami x509 i następujące zachowania:Key Vault certificates support provides for management of your x509 certificates and the following behaviors:

  • Umożliwia właścicielowi certyfikatu utworzenie certyfikatu za pośrednictwem Key Vault lub przez zaimportowanie istniejącego certyfikatu.Allows a certificate owner to create a certificate through a Key Vault creation process or through the import of an existing certificate. Obejmuje certyfikaty z podpisem własnym i certyfikat wygenerowany przez urząd certyfikacji.Includes both self-signed and Certificate Authority generated certificates.
  • Umożliwia właścicielowi Key Vault zaimplementowanie bezpiecznego magazynu certyfikatów X509 i zarządzanie nimi bez interakcji z materiałami klucza prywatnego.Allows a Key Vault certificate owner to implement secure storage and management of X509 certificates without interaction with private key material.
  • Umożliwia właścicielowi certyfikatu utworzenie zasad, które Key Vault zarządzania cyklem życia certyfikatu.Allows a certificate owner to create a policy that directs Key Vault to manage the life-cycle of a certificate.
  • Umożliwia właścicielom certyfikatów podanie informacji kontaktowych w celu powiadamiania o zdarzeniach cyklu życia wygaśnięcia i odnowienia certyfikatu.Allows certificate owners to provide contact information for notification about life-cycle events of expiration and renewal of certificate.
  • Obsługuje automatyczne odnawianie przy użyciu wybranych wystawców — Key Vault certyfikatów X509 partnera/ urzędów certyfikacji.Supports automatic renewal with selected issuers - Key Vault partner X509 certificate providers / certificate authorities.

Uwaga

Dostawcy/urzędy, którzy nie są partnerami, są również dozwolone, ale nie będą obsługiwać funkcji automatycznego odnawiania.Non-partnered providers/authorities are also allowed but, will not support the auto renewal feature.

Kompozycja certyfikatuComposition of a Certificate

Po utworzeniu Key Vault jest tworzony adresowalny klucz i klucz tajny o tej samej nazwie.When a Key Vault certificate is created, an addressable key and secret are also created with the same name. Klucz Key Vault umożliwia operacje na kluczach, a klucz Key Vault tajny umożliwia pobranie wartości certyfikatu jako klucza tajnego.The Key Vault key allows key operations and the Key Vault secret allows retrieval of the certificate value as a secret. Certyfikat Key Vault również zawiera metadane publicznego certyfikatu x509.A Key Vault certificate also contains public x509 certificate metadata.

Identyfikator i wersja certyfikatów są podobne do kluczy i wpisów tajnych.The identifier and version of certificates is similar to that of keys and secrets. Konkresowa wersja adresowalnego klucza i klucza tajnego utworzonego za pomocą Key Vault wersji certyfikatu jest dostępna w odpowiedzi Key Vault certyfikatu.A specific version of an addressable key and secret created with the Key Vault certificate version is available in the Key Vault certificate response.

Certyfikaty są obiektami złożonymi

Klucz eksportowalny lub nieeksportowalnyExportable or Non-exportable key

Po utworzeniu Key Vault można go pobrać z adresowalnego klucza tajnego przy użyciu klucza prywatnego w formacie PFX lub PEM.When a Key Vault certificate is created, it can be retrieved from the addressable secret with the private key in either PFX or PEM format. Zasady używane do tworzenia certyfikatu muszą wskazywać, że klucz można eksportować.The policy used to create the certificate must indicate that the key is exportable. Jeśli zasady wskazują, że nie można eksportować, klucz prywatny nie jest częścią wartości po pobraniu jako klucz tajny.If the policy indicates non-exportable, then the private key isn't a part of the value when retrieved as a secret.

Adresowalny klucz staje się bardziej istotny w przypadku nieeksportowalnych certyfikatów KV.The addressable key becomes more relevant with non-exportable KV certificates. Operacje adresowalnego klucza KV są mapowane z pola keyusage zasad certyfikatów KV używanych do tworzenia certyfikatu KV.The addressable KV key's operations are mapped from keyusage field of the KV certificate policy used to create the KV Certificate.

Typ pary kluczy obsługiwanej dla certyfikatówThe type of key pair to supported for certificates

  • Obsługiwane typy kluczy: RSA, RSA-HSM, EC, EC-HSM, oct (wymienione tutaj )Eksportowanie jest dozwolone tylko w przypadku RSA, EC.Supported keytypes: RSA, RSA-HSM, EC, EC-HSM, oct (listed here) Exportable is only allowed with RSA, EC. Kluczy HSM nie można eksportować.HSM keys would be non-exportable.
Typ kluczaKey type InformacjeAbout ZabezpieczeniaSecurity
RsaRSA Klucz RSA "Chroniony przez oprogramowanie""Software-protected" RSA key FIPS 140-2 Poziom 1FIPS 140-2 Level 1
RSA-HSMRSA-HSM Klucz RSA "chroniony przez moduł HSM" (tylko wersja Premium SKU)"HSM-protected" RSA key (Premium SKU only) MODUŁ HSM fips 140-2 poziom 2FIPS 140-2 Level 2 HSM
ECEC Klucz krzywej wielokropka "Chronione przez oprogramowanie""Software-protected" Elliptic Curve key FIPS 140-2 Poziom 1FIPS 140-2 Level 1
MODUŁ HSM ECEC-HSM Klucz krzywej wielokropka "chronione przez moduł HSM" (tylko wersja Premium SKU)"HSM-protected" Elliptic Curve key (Premium SKU only) MODUŁ HSM fips 140-2 poziom 2FIPS 140-2 Level 2 HSM

Atrybuty i tagi certyfikatuCertificate Attributes and Tags

Oprócz metadanych certyfikatu, adresowalnego klucza i adresowalnego klucza tajnego, certyfikat Key Vault również atrybuty i tagi.In addition to certificate metadata, an addressable key and addressable secret, a Key Vault certificate also contains attributes and tags.

AtrybutyAttributes

Atrybuty certyfikatu są dublowane do atrybutów adresowalnego klucza i klucza tajnego utworzonych podczas tworzenia certyfikatu KV.The certificate attributes are mirrored to attributes of the addressable key and secret created when KV certificate is created.

Certyfikat Key Vault ma następujące atrybuty:A Key Vault certificate has the following attributes:

  • enabled: wartość logiczna, opcjonalna, wartość domyślna to true.enabled: boolean, optional, default is true. Można określić, aby wskazać, czy dane certyfikatu mogą być pobierane jako klucz tajny lub czy mogą być obsługiwane jako klucz.Can be specified to indicate if the certificate data can be retrieved as secret or operable as a key. Używana również w połączeniu z nbf i exp, gdy operacja występuje między nbf i exp, i będzie dozwolone tylko wtedy, gdy włączona jest ustawiona na wartość true.Also used in conjunction with nbf and exp when an operation occurs between nbf and exp, and will only be permitted if enabled is set to true. Operacje poza oknem nbf i exp są automatycznie niedozwolone.Operations outside the nbf and exp window are automatically disallowed.

Istnieją dodatkowe atrybuty tylko do odczytu, które są uwzględnione w odpowiedzi:There are additional read-only attributes that are included in response:

  • created: IntDate: wskazuje, kiedy ta wersja certyfikatu została utworzona.created: IntDate: indicates when this version of the certificate was created.
  • updated: IntDate: wskazuje, kiedy ta wersja certyfikatu została zaktualizowana.updated: IntDate: indicates when this version of the certificate was updated.
  • exp: IntDate: zawiera wartość daty wygaśnięcia certyfikatu x509.exp: IntDate: contains the value of the expiry date of the x509 certificate.
  • nbf: IntDate: zawiera wartość daty certyfikatu x509.nbf: IntDate: contains the value of the date of the x509 certificate.

Uwaga

Jeśli certyfikat usługi Key Vault wygaśnie, adresowany klucz i wpis tajny przestaną działać.If a Key Vault certificate expires, it's addressable key and secret become inoperable.

TagiTags

Określony przez klienta słownik par klucz-wartość, podobny do tagów w kluczach i wpisach tajnych.Client specified dictionary of key value pairs, similar to tags in keys and secrets.

Uwaga

Tagi są czytelne dla obiektu wywołującego, jeśli mają listę lub mają uprawnienia do tego typu obiektu (klucze, wpisy tajne lub certyfikaty). Tags are readable by a caller if they have the list or get permission to that object type (keys, secrets, or certificates).

Zasady certyfikatówCertificate policy

Zasady certyfikatów zawierają informacje na temat tworzenia cyklu życia certyfikatu Key Vault zarządzania nim.A certificate policy contains information on how to create and manage lifecycle of a Key Vault certificate. Gdy certyfikat z kluczem prywatnym jest importowany do magazynu kluczy, zasady domyślne są tworzone przez odczytanie certyfikatu x509.When a certificate with private key is imported into the key vault, a default policy is created by reading the x509 certificate.

Gdy certyfikat Key Vault jest tworzony od podstaw, należy dostarczyć zasady.When a Key Vault certificate is created from scratch, a policy needs to be supplied. Zasady określają sposób tworzenia tej Key Vault wersji certyfikatu lub następnej Key Vault wersji certyfikatu.The policy specifies how to create this Key Vault certificate version, or the next Key Vault certificate version. Po utworzeniu zasady nie są wymagane w kolejnych operacjach tworzenia dla przyszłych wersji.Once a policy has been established, it isn't required with successive create operations for future versions. Istnieje tylko jedno wystąpienie zasad dla wszystkich wersji Key Vault certyfikatu.There's only one instance of a policy for all the versions of a Key Vault certificate.

Na wysokim poziomie zasady certyfikatów zawierają następujące informacje (ich definicje można znaleźć tutaj):At a high level, a certificate policy contains the following information (their definitions can be found here):

  • Właściwości certyfikatu X509: zawiera nazwę podmiotu, alternatywne nazwy podmiotu i inne właściwości używane do tworzenia żądania certyfikatu x509.X509 certificate properties: Contains subject name, subject alternate names, and other properties used to create an x509 certificate request.

  • Właściwości klucza: zawiera pola typ klucza, długość klucza, pola eksportowalne i ReuseKeyOnRenewal.Key Properties: contains key type, key length, exportable, and ReuseKeyOnRenewal fields. Te pola instruuje magazyn kluczy, jak wygenerować klucz.These fields instruct key vault on how to generate a key.

    • Obsługiwane typy kluczy: RSA, RSA-HSM, EC, EC-HSM, oct (wymienione tutaj)Supported keytypes: RSA, RSA-HSM, EC, EC-HSM, oct (listed here)
  • Właściwości wpisów tajnych: zawierają właściwości wpisów tajnych, takie jak typ zawartości adresowalnego wpisu tajnego w celu wygenerowania wartości wpisów tajnych do pobierania certyfikatu jako tajnego.Secret properties: contains secret properties such as content type of addressable secret to generate the secret value, for retrieving certificate as a secret.

  • Akcje okresu istnienia: zawierają akcje okresu istnienia dla certyfikatu KV.Lifetime Actions: contains lifetime actions for the KV Certificate. Każda akcja okresu istnienia zawiera:Each lifetime action contains:

    • Wyzwalacz: określony za pośrednictwem dni przed wygaśnięciem lub procentem zakresu okresu istnieniaTrigger: specified via days before expiry or lifetime span percentage

    • Akcja: określanie typu akcji — emailContacts lub autoRenewAction: specifying action type – emailContacts or autoRenew

  • Wystawca: parametry dotyczące wystawcy certyfikatu do użycia w celu wystawienia certyfikatów x509.Issuer: Parameters about the certificate issuer to use to issue x509 certificates.

  • Atrybuty zasad: zawiera atrybuty skojarzone z zasadamiPolicy Attributes: contains attributes associated with the policy

X509 do Key Vault mapowania użyciaX509 to Key Vault usage mapping

W poniższej tabeli przedstawiono mapowanie zasad użycia klucza x509 na efektywne operacje klucza utworzonego w ramach tworzenia Key Vault certyfikatu.The following table represents the mapping of x509 key usage policy to effective key operations of a key created as part of a Key Vault certificate creation.

Flagi użycia klucza X509X509 Key Usage flags Key Vault kluczowych operacyjnoKey Vault key ops Zachowanie domyślneDefault behavior
Szyfrowanie danychDataEncipherment szyfrowanie, odszyfrowywanieencrypt, decrypt Nie dotyczyN/A
DecipherOnlyDecipherOnly Odszyfrowaćdecrypt Nie dotyczyN/A
DigitalSignatureDigitalSignature podpisywanie, weryfikowaniesign, verify Key Vault bez specyfikacji użycia w czasie tworzenia certyfikatuKey Vault default without a usage specification at certificate creation time
EncipherOnlyEncipherOnly encryptencrypt Nie dotyczyN/A
KeyCertSignKeyCertSign podpisywanie, weryfikowaniesign, verify Nie dotyczyN/A
Szyfrowanie kluczaKeyEncipherment wrapKey, unwrapKeywrapKey, unwrapKey Key Vault bez specyfikacji użycia w czasie tworzenia certyfikatuKey Vault default without a usage specification at certificate creation time
NonRepudiationNonRepudiation podpisywanie, weryfikowaniesign, verify Nie dotyczyN/A
crlsigncrlsign podpisywanie, weryfikowaniesign, verify Nie dotyczyN/A

Wystawca certyfikatuCertificate Issuer

Obiekt Key Vault zawiera konfigurację używaną do komunikowania się z wybranym dostawcą wystawcy certyfikatów w celu zamówienia certyfikatów x509.A Key Vault certificate object holds a configuration used to communicate with a selected certificate issuer provider to order x509 certificates.

  • Key Vault z następującymi dostawcami wystawców certyfikatów dla certyfikatów TLS/SSLKey Vault partners with following certificate issuer providers for TLS/SSL certificates
Nazwa dostawcyProvider Name LokalizacjeLocations
DigiCertDigiCert Obsługiwane we wszystkich lokalizacjach usługi magazynu kluczy w chmurze publicznej i Azure GovernmentSupported in all key vault service locations in public cloud and Azure Government
GlobalSignGlobalSign Obsługiwane we wszystkich lokalizacjach usługi magazynu kluczy w chmurze publicznej i Azure GovernmentSupported in all key vault service locations in public cloud and Azure Government

Aby można było utworzyć wystawcę certyfikatu w Key Vault, należy pomyślnie wykonać kroki 1 i 2 wymagań wstępnych.Before a certificate issuer can be created in a Key Vault, following prerequisite steps 1 and 2 must be successfully accomplished.

  1. Dołączanie do dostawców urzędu certyfikacjiOnboard to Certificate Authority (CA) Providers

    • Administrator organizacji musi dochować swojej firmy (np.An organization administrator must on-board their company (ex. Contoso) z co najmniej jednym dostawcą urzędu certyfikacji.Contoso) with at least one CA provider.
  2. Administrator tworzy poświadczenia żądają dla Key Vault rejestrowania (i odnawiania) certyfikatów TLS/SSLAdmin creates requester credentials for Key Vault to enroll (and renew) TLS/SSL certificates

    • Zawiera konfigurację, która ma być używana do tworzenia obiektu wystawcy dostawcy w magazynie kluczyProvides the configuration to be used to create an issuer object of the provider in the key vault

Aby uzyskać więcej informacji na temat tworzenia obiektów wystawcy z portalu certyfikatów, zobacz blog Key Vault CertyfikatówFor more information on creating Issuer objects from the Certificates portal, see the Key Vault Certificates blog

Key Vault umożliwia utworzenie wielu obiektów wystawców z różnymi konfiguracjami dostawcy wystawców.Key Vault allows for creation of multiple issuer objects with different issuer provider configuration. Po utworzeniu obiektu wystawcy można odwoływać się do jego nazwy w jednej lub wielu zasadach certyfikatów.Once an issuer object is created, its name can be referenced in one or multiple certificate policies. Odwołanie do obiektu wystawcy powoduje, że Key Vault konfiguracji określonej w obiekcie wystawcy podczas żądania certyfikatu x509 od dostawcy urzędu certyfikacji podczas tworzenia i odnawiania certyfikatu.Referencing the issuer object instructs Key Vault to use configuration as specified in the issuer object when requesting the x509 certificate from CA provider during the certificate creation and renewal.

Obiekty wystawcy są tworzone w magazynie i mogą być używane tylko z certyfikatami KV w tym samym magazynie.Issuer objects are created in the vault and can only be used with KV certificates in the same vault.

Kontakty z certyfikatamiCertificate contacts

Kontakty certyfikatów zawierają informacje kontaktowe do wysyłania powiadomień wyzwalanych przez zdarzenia okresu istnienia certyfikatu.Certificate contacts contain contact information to send notifications triggered by certificate lifetime events. Informacje o kontaktach są współdzielone przez wszystkie certyfikaty w magazynie kluczy.The contacts information is shared by all the certificates in the key vault. Powiadomienie o zdarzeniu dla dowolnego certyfikatu w magazynie kluczy jest wysyłane do wszystkich określonych kontaktów.A notification is sent to all the specified contacts for an event for any certificate in the key vault. Aby uzyskać informacje na temat sposobu ustawienia kontaktu z certyfikatem, zobacz tutajFor information on how to set Certificate contact, see here

Certyfikat Access ControlCertificate Access Control

Kontrola dostępu do certyfikatów jest zarządzana przez usługę Key Vault i jest dostarczana przez magazyn kluczy, który zawiera te certyfikaty.Access control for certificates is managed by Key Vault, and is provided by the Key Vault that contains those certificates. Zasady kontroli dostępu dla certyfikatów różnią się od zasad kontroli dostępu dla kluczy i wpisów tajnych w tym samym Key Vault.The access control policy for certificates is distinct from the access control policies for keys and secrets in the same Key Vault. Użytkownicy mogą tworzyć co najmniej jeden magazyn do przechowywania certyfikatów w celu obsługi odpowiedniej segmentacji i zarządzania certyfikatami w scenariuszu.Users may create one or more vaults to hold certificates, to maintain scenario appropriate segmentation and management of certificates. Aby uzyskać więcej informacji na temat kontroli dostępu do certyfikatów, zobacz tutajFor more information on certificate access control, see here

Następne krokiNext steps