Acerca dos certificados do Azure Key VaultAbout Azure Key Vault certificates

O suporte aos certificados Key Vault prevê a gestão dos seus certificados x509 e os seguintes comportamentos:Key Vault certificates support provides for management of your x509 certificates and the following behaviors:

  • Permite que um proprietário de certificados crie um certificado através de um processo de criação do Cofre-Chave ou através da importação de um certificado existente.Allows a certificate owner to create a certificate through a Key Vault creation process or through the import of an existing certificate. Inclui certificados auto-assinados e certificados gerados pela Autoridade de Certificados.Includes both self-signed and Certificate Authority generated certificates.
  • Permite que um proprietário de certificado Key Vault implemente armazenamento e gestão segura de certificados X509 sem interação com material chave privado.Allows a Key Vault certificate owner to implement secure storage and management of X509 certificates without interaction with private key material.
  • Permite que um proprietário de certificados crie uma política que direcione o Key Vault para gerir o ciclo de vida de um certificado.Allows a certificate owner to create a policy that directs Key Vault to manage the life-cycle of a certificate.
  • Permite que os proprietários de certificados forneçam informações de contacto para notificação sobre eventos de ciclo de vida de expiração e renovação de certificado.Allows certificate owners to provide contact information for notification about life-cycle events of expiration and renewal of certificate.
  • Suporta a renovação automática com emitentes selecionados - Key Vault partner X509 fornecedores de certificados /autoridades de certificados.Supports automatic renewal with selected issuers - Key Vault partner X509 certificate providers / certificate authorities.

Nota

Os fornecedores/autoridades não parceiros também são permitidos, mas não apoiarão a funcionalidade de renovação automática.Non-partnered providers/authorities are also allowed but, will not support the auto renewal feature.

Composição de um CertificadoComposition of a Certificate

Quando um certificado Key Vault é criado, uma chave e segredo endereçada também são criados com o mesmo nome.When a Key Vault certificate is created, an addressable key and secret are also created with the same name. A chave Key Vault permite operações chave e o segredo do Cofre chave permite a recuperação do valor do certificado como segredo.The Key Vault key allows key operations and the Key Vault secret allows retrieval of the certificate value as a secret. Um certificado Key Vault também contém metadados de certificados x509 públicos.A Key Vault certificate also contains public x509 certificate metadata.

O identificador e a versão dos certificados são semelhantes aos das chaves e segredos.The identifier and version of certificates is similar to that of keys and secrets. Uma versão específica de uma chave endereçada e secreta criada com a versão do certificado Key Vault está disponível na resposta do certificado Key Vault.A specific version of an addressable key and secret created with the Key Vault certificate version is available in the Key Vault certificate response.

Certificados são objetos complexos

Chave exportável ou não exportávelExportable or Non-exportable key

Quando um certificado Key Vault é criado, pode ser recuperado do segredo endereçado com a chave privada em formato PFX ou PEM.When a Key Vault certificate is created, it can be retrieved from the addressable secret with the private key in either PFX or PEM format. A política utilizada para a criação do certificado deve indicar que a chave é exportável.The policy used to create the certificate must indicate that the key is exportable. Se a apólice indica não ser exportável, então a chave privada não é uma parte do valor quando recuperada como um segredo.If the policy indicates non-exportable, then the private key isn't a part of the value when retrieved as a secret.

A chave endereçada torna-se mais relevante com certificados KV não exportáveis.The addressable key becomes more relevant with non-exportable KV certificates. As operações da chave KV endereçada são mapeadas a partir do campo de teclado da política de certificados KV utilizada para criar o Certificado KV.The addressable KV key's operations are mapped from keyusage field of the KV certificate policy used to create the KV Certificate.

O tipo de par-chave suportado para certificadosThe type of key pair to supported for certificates

  • Tipos-chave suportados: RSA, RSA-HSM, EC, EC-HSM, out (listado aqui) Exportável só é permitido com RSA, CE.Supported keytypes: RSA, RSA-HSM, EC, EC-HSM, oct (listed here) Exportable is only allowed with RSA, EC. As chaves HSM não seriam exportáveis.HSM keys would be non-exportable.
Tipo de chaveKey type SobreAbout SegurançaSecurity
RSARSA Chave RSA "protegida por software""Software-protected" RSA key FIPS 140-2 Nível 1FIPS 140-2 Level 1
RSA-HSMRSA-HSM Chave RSA "protegida por HSM" (apenas Premium SKU)"HSM-protected" RSA key (Premium SKU only) FIPS 140-2 Nível 2 HSMFIPS 140-2 Level 2 HSM
ECEC Chave da curva elíptica "protegida por software""Software-protected" Elliptic Curve key FIPS 140-2 Nível 1FIPS 140-2 Level 1
EC-HSMEC-HSM Chave elíptica "protegida por HSM" (apenas Premium SKU)"HSM-protected" Elliptic Curve key (Premium SKU only) FIPS 140-2 Nível 2 HSMFIPS 140-2 Level 2 HSM

Atributos e Etiquetas de CertificadoCertificate Attributes and Tags

Além dos metadados de certificado, uma chave endereçada e segredo endereçada, um certificado Key Vault também contém atributos e tags.In addition to certificate metadata, an addressable key and addressable secret, a Key Vault certificate also contains attributes and tags.

AtributosAttributes

Os atributos do certificado são espelhados em atributos da chave endereçada e do segredo criados quando o certificado KV é criado.The certificate attributes are mirrored to attributes of the addressable key and secret created when KV certificate is created.

Um certificado Key Vault tem os seguintes atributos:A Key Vault certificate has the following attributes:

  • ativado: boolean, opcional, o padrão é verdadeiro.enabled: boolean, optional, default is true. Pode ser especificado para indicar se os dados do certificado podem ser recuperados como secretos ou operáveis como uma chave.Can be specified to indicate if the certificate data can be retrieved as secret or operable as a key. Também utilizado em conjunto com a NBF e exp quando ocorre uma operação entre nbf e exp, e só será permitido se ativado for definido como verdadeiro.Also used in conjunction with nbf and exp when an operation occurs between nbf and exp, and will only be permitted if enabled is set to true. As operações fora da janela nbf e exp são automaticamente proibidas.Operations outside the nbf and exp window are automatically disallowed.

Existem atributos adicionais apenas de leitura que estão incluídos em resposta:There are additional read-only attributes that are included in response:

  • criado: IntDate: indica quando esta versão do certificado foi criada.created: IntDate: indicates when this version of the certificate was created.
  • atualizado: IntDate: indica quando esta versão do certificado foi atualizada.updated: IntDate: indicates when this version of the certificate was updated.
  • exp: IntDate: contém o valor da data de validade do certificado x509.exp: IntDate: contains the value of the expiry date of the x509 certificate.
  • nbf: IntDate: contém o valor da data do certificado x509.nbf: IntDate: contains the value of the date of the x509 certificate.

Nota

Se um certificado do Key Vault expirar, a chave endereçável e o segredo deixarão de funcionar.If a Key Vault certificate expires, it's addressable key and secret become inoperable.

EtiquetasTags

O dicionário especificado pelo cliente de pares de valores chave, semelhante a tags em teclas e segredos.Client specified dictionary of key value pairs, similar to tags in keys and secrets.

Nota

As etiquetas são legíveis por um autor da lista se tiverem a lista ou obterem permissão para esse tipo de objeto (chaves, segredos ou certificados).Tags are readable by a caller if they have the list or get permission to that object type (keys, secrets, or certificates).

Política de certificadosCertificate policy

Uma política de certificado contém informações sobre como criar e gerir o ciclo de vida de um certificado Key Vault.A certificate policy contains information on how to create and manage lifecycle of a Key Vault certificate. Quando um certificado com chave privada é importado para o cofre chave, uma política de predefinição é criada através da leitura do certificado x509.When a certificate with private key is imported into the key vault, a default policy is created by reading the x509 certificate.

Quando um certificado Key Vault é criado de raiz, uma política precisa de ser fornecida.When a Key Vault certificate is created from scratch, a policy needs to be supplied. A política especifica como criar esta versão do certificado Key Vault ou a próxima versão do certificado Key Vault.The policy specifies how to create this Key Vault certificate version, or the next Key Vault certificate version. Uma vez estabelecida uma política, não é necessária com operações de criação sucessivas para futuras versões.Once a policy has been established, it isn't required with successive create operations for future versions. Há apenas um exemplo de uma apólice para todas as versões de um certificado key vault.There's only one instance of a policy for all the versions of a Key Vault certificate.

A um nível elevado, uma política de certificados contém as seguintes informações (as suas definições podem ser encontradas aqui):At a high level, a certificate policy contains the following information (their definitions can be found here):

  • Propriedades do certificado X509: Contém nome de sujeito, nomes alternativos sujeitos e outras propriedades usadas para criar um pedido de certificado x509.X509 certificate properties: Contains subject name, subject alternate names, and other properties used to create an x509 certificate request.

  • Principais propriedades: contém o tipo de chave, comprimento da chave, exportável e reuseKeyOnRenewal.Key Properties: contains key type, key length, exportable, and ReuseKeyOnRenewal fields. Estes campos instruem o cofre de chaves sobre como gerar uma chave.These fields instruct key vault on how to generate a key.

    • Tipos-chave suportados: RSA, RSA-HSM, EC, EC-HSM, out (listado aqui)Supported keytypes: RSA, RSA-HSM, EC, EC-HSM, oct (listed here)
  • Propriedades secretas: contém propriedades secretas, tais como o tipo de conteúdo de segredo endereçada para gerar o valor secreto, para recuperar o certificado como um segredo.Secret properties: contains secret properties such as content type of addressable secret to generate the secret value, for retrieving certificate as a secret.

  • Ações vitalícias: contém ações vitalícias para o Certificado KV.Lifetime Actions: contains lifetime actions for the KV Certificate. Cada ação vitalícia contém:Each lifetime action contains:

    • Gatilho: especificado por dias antes da expiração ou da percentagem de duração útilTrigger: specified via days before expiry or lifetime span percentage

    • Ação: especificar tipo de ação – emailContacts ou autoRenewAction: specifying action type – emailContacts or autoRenew

  • Emitente: Parâmetros sobre o emitente de certificado a utilizar para emitir certificados x509.Issuer: Parameters about the certificate issuer to use to issue x509 certificates.

  • Atributos de Política: contém atributos associados à políticaPolicy Attributes: contains attributes associated with the policy

Mapeamento de utilização X509 para Key VaultX509 to Key Vault usage mapping

A tabela seguinte representa o mapeamento da política de utilização chave x509 para operações-chave eficazes de uma chave criada como parte de uma criação de certificado Key Vault.The following table represents the mapping of x509 key usage policy to effective key operations of a key created as part of a Key Vault certificate creation.

Bandeiras de utilização chave X509X509 Key Usage flags Ops chave do cofre chaveKey Vault key ops Comportamento predefinidoDefault behavior
DataEnciframentmentDataEncipherment encriptar, desencriptarencrypt, decrypt N/DN/A
Decifrar ApenasDecipherOnly desencriptardecrypt N/DN/A
Assinatura DigitalDigitalSignature assinar, verificarsign, verify Predefinição do Cofre chave sem especificação de utilização no tempo de criação de certificadoKey Vault default without a usage specification at certificate creation time
EncipherOnlyEncipherOnly encryptencrypt N/DN/A
KeyCertSignKeyCertSign assinar, verificarsign, verify N/DN/A
ChaveenciframentKeyEncipherment wrapKey, desembrulharwrapKey, unwrapKey Predefinição do Cofre chave sem especificação de utilização no tempo de criação de certificadoKey Vault default without a usage specification at certificate creation time
NãoRepudiçãoNonRepudiation assinar, verificarsign, verify N/DN/A
crlsigncrlsign assinar, verificarsign, verify N/DN/A

Emitente de CertificadoCertificate Issuer

Um objeto de certificado Key Vault contém uma configuração usada para comunicar com um fornecedor de emitente de certificado selecionado para encomendar certificados x509.A Key Vault certificate object holds a configuration used to communicate with a selected certificate issuer provider to order x509 certificates.

  • Parceiros-chave da Vault com os seguintes fornecedores de emitentes de certificados para certificados TLS/SSLKey Vault partners with following certificate issuer providers for TLS/SSL certificates
Nome do provedorProvider Name LocalizaçõesLocations
DigiCertDigiCert Apoiado em todos os principais locais de serviço de cofres em nuvem pública e Governo de AzureSupported in all key vault service locations in public cloud and Azure Government
GlobalSignGlobalSign Apoiado em todos os principais locais de serviço de cofres em nuvem pública e Governo de AzureSupported in all key vault service locations in public cloud and Azure Government

Antes de um emitente de certificado poder ser criado num Cofre-Chave, os passos 1 e 2 pré-requisitos devem ser realizados com sucesso.Before a certificate issuer can be created in a Key Vault, following prerequisite steps 1 and 2 must be successfully accomplished.

  1. A bordo dos fornecedores da Autoridade de Certificados (CA)Onboard to Certificate Authority (CA) Providers

    • Um administrador da organização deve embarcar na sua empresa (ex.An organization administrator must on-board their company (ex. Contoso) com pelo menos um provedor de CA.Contoso) with at least one CA provider.
  2. Admin cria credenciais de solicitação para o Cofre-Chave para inscrever (e renovar) certificados TLS/SSLAdmin creates requester credentials for Key Vault to enroll (and renew) TLS/SSL certificates

    • Fornece a configuração a ser usada para criar um objeto emitente do fornecedor no cofre chaveProvides the configuration to be used to create an issuer object of the provider in the key vault

Para obter mais informações sobre a criação de objetos emitentes a partir do portal Certificados, consulte o blog Certificados de Cofre chaveFor more information on creating Issuer objects from the Certificates portal, see the Key Vault Certificates blog

O Key Vault permite a criação de múltiplos objetos emitentes com configuração diferente do fornecedor de emitentes.Key Vault allows for creation of multiple issuer objects with different issuer provider configuration. Uma vez criado um objeto emitente, o seu nome pode ser referenciado numa ou em várias políticas de certificado.Once an issuer object is created, its name can be referenced in one or multiple certificate policies. Referenciar o objeto emitente instrui o Key Vault a utilizar a configuração conforme especificado no objeto emitente ao solicitar o certificado x509 ao fornecedor ca durante a criação e renovação do certificado.Referencing the issuer object instructs Key Vault to use configuration as specified in the issuer object when requesting the x509 certificate from CA provider during the certificate creation and renewal.

Os objetos emitentes são criados no cofre e só podem ser utilizados com certificados KV no mesmo cofre.Issuer objects are created in the vault and can only be used with KV certificates in the same vault.

Contactos de CertificadoCertificate contacts

Os contactos do certificado contêm informações de contacto para enviar notificações desencadeadas por eventos de vida de certificado.Certificate contacts contain contact information to send notifications triggered by certificate lifetime events. A informação dos contactos é partilhada por todos os certificados no cofre chave.The contacts information is shared by all the certificates in the key vault. É enviada uma notificação a todos os contactos especificados para um evento para qualquer certificado no cofre de chaves.A notification is sent to all the specified contacts for an event for any certificate in the key vault. Para obter informações sobre como definir o contacto do Certificado, consulte aquiFor information on how to set Certificate contact, see here

Controlo de Acesso a CertificadosCertificate Access Control

O controlo de acesso para certificados é gerido pelo Key Vault e é disponibilizado pelo Key Vault que contém esses certificados.Access control for certificates is managed by Key Vault, and is provided by the Key Vault that contains those certificates. A política de controlo de acesso para certificados distingue-se das políticas de controlo de acesso para chaves e segredos no mesmo Cofre-Chave.The access control policy for certificates is distinct from the access control policies for keys and secrets in the same Key Vault. Os utilizadores podem criar um ou mais cofres para deter certificados, para manter o cenário apropriado segmentação e gestão de certificados.Users may create one or more vaults to hold certificates, to maintain scenario appropriate segmentation and management of certificates. Para obter mais informações sobre o controlo do acesso ao certificado, consulte aquiFor more information on certificate access control, see here

Passos seguintesNext steps