Samouczek: konfigurowanie automatycznego obracania certyfikatów w Key Vault

  • Artykuł

Możesz łatwo aprowizować i wdrażać certyfikaty cyfrowe oraz zarządzać nimi przy użyciu usługi Azure Key Vault. Certyfikaty mogą być certyfikatami publicznymi i prywatnymi Secure Sockets Layer (SSL)/Transport Layer Security (TLS) podpisanymi przez urząd certyfikacji lub certyfikatem z podpisem własnym. Key Vault mogą również żądać i odnawiać certyfikaty za pośrednictwem partnerstwa z urzędami certyfikacji, zapewniając niezawodne rozwiązanie do zarządzania cyklem życia certyfikatów. W tym samouczku zaktualizujesz okres ważności certyfikatu, częstotliwość automatycznego obracania i atrybuty urzędu certyfikacji.

Ten samouczek przedstawia sposób wykonania następujących czynności:

  • Zarządzanie certyfikatem przy użyciu Azure Portal.
  • Dodaj konto dostawcy urzędu certyfikacji.
  • Zaktualizuj okres ważności certyfikatu.
  • Zaktualizuj częstotliwość automatycznego obracania certyfikatu.
  • Zaktualizuj atrybuty certyfikatu przy użyciu Azure PowerShell.

Przed rozpoczęciem przeczytaj Key Vault podstawowych pojęć.

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Logowanie do platformy Azure

Zaloguj się w witrynie Azure Portal.

Tworzenie magazynu

Utwórz magazyn kluczy przy użyciu jednej z następujących trzech metod:

Tworzenie certyfikatu w Key Vault

Utwórz certyfikat lub zaimportuj certyfikat do magazynu kluczy (zobacz Kroki tworzenia certyfikatu w Key Vault. W takim przypadku będziesz pracować nad certyfikatem o nazwie ExampleCertificate.

Aktualizowanie atrybutów cyklu życia certyfikatu

W usłudze Azure Key Vault można zaktualizować atrybuty cyklu życia certyfikatu zarówno w momencie utworzenia certyfikatu, jak i po nim.

Certyfikat utworzony w Key Vault może być:

  • Certyfikat z podpisem własnym.
  • Certyfikat utworzony przy użyciu urzędu certyfikacji, który jest partnerem Key Vault.
  • Certyfikat z urzędem certyfikacji, który nie jest partnerem Key Vault.

Następujące urzędy certyfikacji są obecnie dostawcami partnerskimi z Key Vault:

  • DigiCert: Key Vault oferuje certyfikaty OV lub EV TLS/SSL.
  • GlobalSign: Key Vault oferuje certyfikaty OV lub EV TLS/SSL.

Key Vault automatyczne obraca certyfikaty za pośrednictwem ustanowionych partnerstw z urzędami certyfikacji. Ponieważ Key Vault automatycznie żąda i odnawia certyfikaty za pośrednictwem partnerstwa, funkcja automatycznej rotacji nie ma zastosowania do certyfikatów utworzonych przy użyciu urzędów certyfikacji, które nie są partnerskie z Key Vault.

Uwaga

Administrator konta dostawcy urzędu certyfikacji tworzy poświadczenia, których Key Vault używa do tworzenia, odnawiania i używania certyfikatów TLS/SSL. Urząd certyfikacji

Aktualizowanie atrybutów cyklu życia certyfikatu podczas tworzenia

  1. Na stronach właściwości Key Vault wybierz pozycję Certyfikaty.

  2. Wybierz pozycję Generuj/Importuj.

  3. Na ekranie Tworzenie certyfikatu zaktualizuj następujące wartości:

    • Okres ważności: wprowadź wartość (w miesiącach). Tworzenie certyfikatów krótkotrwałych jest zalecaną praktyką zabezpieczeń. Domyślnie wartość ważności nowo utworzonego certyfikatu wynosi 12 miesięcy.

    • Typ akcji okresu istnienia: wybierz akcję automatycznego odnawiania i zgłaszania alertów certyfikatu, a następnie zaktualizuj wartość procentową okresu istnienia lub liczbę dni przed wygaśnięciem. Domyślnie automatyczne odnawianie certyfikatu jest ustawiane na 80 procent jego okresu istnienia. Z menu rozwijanego wybierz jedną z następujących opcji.

      Automatyczne odnawianie w danym momencie Email wszystkich kontaktów w danym momencie
      Wybranie tej opcji spowoduje włączenie autorotacji. Wybranie tej opcji nie spowoduje automatycznego obracania, ale alerty będą otrzymywać tylko alerty dotyczące kontaktów.

      Tutaj możesz dowiedzieć się więcej o konfigurowaniu Email kontaktów

  4. Wybierz przycisk Utwórz.

Cykl życia certyfikatu

Aktualizowanie atrybutów cyklu życia przechowywanego certyfikatu

  1. Wybierz magazyn kluczy.

  2. Na stronach właściwości Key Vault wybierz pozycję Certyfikaty.

  3. Wybierz certyfikat, który chcesz zaktualizować. W takim przypadku będziesz pracować nad certyfikatem o nazwie ExampleCertificate.

  4. Wybierz pozycję Zasady wystawiania na górnym pasku menu.

    Zrzut ekranu przedstawiający przycisk Zasady wystawiania.

  5. Na ekranie Zasady wystawiania zaktualizuj następujące wartości:

    • Okres ważności: zaktualizuj wartość (w miesiącach).
    • Typ akcji okresu istnienia: wybierz akcję automatycznego odnawiania i zgłaszania alertów certyfikatu, a następnie zaktualizuj wartość procentową okresu istnienia lub liczbę dni przed wygaśnięciem.

    Właściwości certyfikatu

  6. Wybierz pozycję Zapisz.

Ważne

Zmiana typu akcji okresu istnienia certyfikatu spowoduje natychmiastowe zarejestrowanie modyfikacji istniejących certyfikatów.

Aktualizowanie atrybutów certyfikatu przy użyciu programu PowerShell



Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName 
                                   -Name $certificateName 
                                   -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]

Porada

Aby zmodyfikować zasady odnawiania dla listy certyfikatów, wprowadź ciąg File.csv zawierający VaultName,CertName , jak w poniższym przykładzie:
vault1,Cert1
vault2,Cert2

$file = Import-CSV C:\Users\myfolder\ReadCSVUsingPowershell\File.csv ​
foreach($line in $file)​
{​
Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName -Name $certificateName -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]
}

Aby dowiedzieć się więcej na temat parametrów, zobacz az keyvault certificate (Az keyvault certificate).

Czyszczenie zasobów

Inne samouczki Key Vault bazują na tym samouczku. Jeśli planujesz pracę z tymi samouczkami, możesz pozostawić te istniejące zasoby na swoim miejscu. Gdy nie są już potrzebne, usuń grupę zasobów, która usuwa magazyn kluczy i powiązane zasoby.

Aby usunąć grupę zasobów przy użyciu portalu:

  1. Wprowadź nazwę grupy zasobów w polu Wyszukaj w górnej części portalu. Gdy grupa zasobów używana w tym przewodniku Szybki start pojawi się w wynikach wyszukiwania, wybierz ją.
  2. Wybierz pozycję Usuń grupę zasobów.
  3. W polu WPISZ NAZWĘ GRUPY ZASOBÓW: wpisz nazwę grupy zasobów, a następnie wybierz pozycję Usuń.

Następne kroki

W tym samouczku zaktualizowano atrybuty cyklu życia certyfikatu. Aby dowiedzieć się więcej o Key Vault i sposobie integrowania jej z aplikacjami, przejdź do następujących artykułów: