Om Azure Key Vault-certifikat
Key Vault certifikat har stöd för hantering av x509-certifikat och följande beteenden:
- Gör att en certifikatägare kan skapa ett certifikat Key Vault en process för att skapa ett certifikat eller genom import av ett befintligt certifikat. Innehåller både själv signerade certifikat och certifikatutfärdare genererade certifikat.
- Gör att Key Vault kan implementera säker lagring och hantering av X509-certifikat utan interaktion med privat nyckelmaterial.
- Låter en certifikatägare skapa en princip som Key Vault att hantera livscykeln för ett certifikat.
- Gör att certifikatägare kan ange kontaktinformation för meddelanden om livscykelhändelser när certifikatet upphör att gälla och förnyas.
- Stöder automatisk förnyelse med valda utfärdare – Key Vault X509-certifikatproviders/certifikatutfärdare.
Anteckning
Leverantörer/myndigheter som inte är partner är också tillåtna, men kommer inte att stödja funktionen för automatisk förnyelse.
Sammansättningen av ett certifikat
När ett Key Vault-certifikat skapas skapas även en adresserbar nyckel och hemlighet med samma namn. Nyckeln Key Vault nyckel tillåter nyckelåtgärder och den Key Vault hemligheten gör det möjligt att hämta certifikatvärdet som en hemlighet. Ett Key Vault certifikat innehåller också offentliga x509-certifikatmetadata.
Identifieraren och versionen för certifikat liknar den för nycklar och hemligheter. En specifik version av en adresserbar nyckel och hemlighet som skapats med Key Vault-certifikatversionen finns i Key Vault certifikatsvaret.
Exporterbar eller icke exporterbar nyckel
När ett Key Vault-certifikat skapas kan det hämtas från den adresserbara hemligheten med den privata nyckeln i PFX- eller PEM-format. Principen som används för att skapa certifikatet måste ange att nyckeln kan exporteras. Om principen inte kan exporteras är den privata nyckeln inte en del av värdet när den hämtas som en hemlighet.
Den adresserbara nyckeln blir mer relevant med icke exporterbara KV-certifikat. Den adresserbara KV-nyckelns åtgärder mappas från nyckelanvändarfältet i den KV-certifikatprincip som används för att skapa KV-certifikatet.
Typ av nyckelpar som stöds för certifikat
- Nyckeltyper som stöds: RSA, RSA-HSM, EC, EC-HSM, okt (anges här) Exporterbar tillåts endast med RSA, EC. HSM-nycklar skulle inte kunna exporteras.
| Nyckeltyp | Om | Säkerhet |
|---|---|---|
| RSA | RSA-nyckel "Programvaruskyddad" | FIPS 140-2 Level 1 |
| RSA-HSM | RSA-nyckel "HSM-skyddad" (endast Premium SKU) | FIPS 140-2 Level 2 HSM |
| EC | "Programvaruskyddad" Elliptic Curve-nyckel | FIPS 140-2 Level 1 |
| EC-HSM | "HSM-skyddad" Elliptic Curve-nyckel (endast Premium SKU) | FIPS 140-2 Level 2 HSM |
Certifikatattribut och -taggar
Förutom certifikatmetadata, en adresserbar nyckel och adresserbar hemlighet, innehåller Key Vault certifikat även attribut och taggar.
Attribut
Certifikatattributen speglas till attributen för den adresserbara nyckeln och hemligheten som skapades när KV-certifikatet skapades.
Ett Key Vault-certifikat har följande attribut:
- enabled: boolean, optional, default is true. Kan anges för att ange om certifikatdata kan hämtas som hemliga eller kan användas som en nyckel. Används även tillsammans med nbf och exp när en åtgärd inträffar mellan nbf och exp och tillåts endast om aktiverad är inställd på sant. Åtgärder utanför nbf- och exp-fönstret tillåts inte automatiskt.
Det finns ytterligare skrivskyddade attribut som ingår i svaret:
- created: IntDate: anger när den här versionen av certifikatet skapades.
- updated: IntDate: anger när den här versionen av certifikatet uppdaterades.
- exp: IntDate: innehåller värdet för x509-certifikatets förfallodatum.
- nbf: IntDate: innehåller värdet för x509-certifikatets datum.
Anteckning
Om ett nyckelvalvscertifikat upphör att gälla går det inte att använda dess adresserbara nyckel och hemlighet.
Taggar
Klient angiven ordlista med nyckelvärdepar, liknande taggar i nycklar och hemligheter.
Anteckning
Taggar kan läsas av en anropare om de har listan eller får behörighet till den objekttypen (nycklar, hemligheter eller certifikat).
Certifikatprincip
En certifikatprincip innehåller information om hur du skapar och hanterar livscykeln för ett Key Vault certifikat. När ett certifikat med privat nyckel importeras till nyckelvalvet skapas en standardprincip genom att läsa x509-certifikatet.
När ett Key Vault-certifikat skapas från grunden måste en princip anges. Principen anger hur du skapar den här Key Vault certifikatversionen eller nästa Key Vault certifikatversion. När en princip har upprättats krävs den inte med efterföljande create-åtgärder för framtida versioner. Det finns bara en instans av en princip för alla versioner av ett Key Vault certifikat.
På en hög nivå innehåller en certifikatprincip följande information (deras definitioner finns här):
X509-certifikategenskaper: Innehåller ämnesnamn, alternativa ämnesnamn och andra egenskaper som används för att skapa en x509-certifikatbegäran.
Nyckelegenskaper: innehåller fälten nyckeltyp, nyckellängd, exporterbar och ReuseKeyOnRenewal. De här fälten instruerar nyckelvalvet om hur du genererar en nyckel.
- Nyckeltyper som stöds: RSA, RSA-HSM, EC, EC-HSM, okt (anges här)
Hemliga egenskaper: innehåller hemliga egenskaper som innehållstypen adresserbar hemlighet för att generera det hemliga värdet, för att hämta certifikat som en hemlighet.
Livslängdsåtgärder: innehåller livslängdsåtgärder för KV-certifikatet. Varje livslängdsåtgärd innehåller:
Utlösare: anges via dagar före upphörande eller livslängdsintervall i procent
Åtgärd: ange åtgärdstyp – emailContacts eller autoRenew
Utfärdare: Parametrar om certifikatutfärdaren som ska användas för att utfärda x509-certifikat.
Principattribut: innehåller attribut som är associerade med principen
X509 till Key Vault användningsmappning
Följande tabell representerar mappningen av x509-nyckelanvändningsprincipen till effektiva nyckelåtgärder för en nyckel som skapats som en del av en Key Vault skapa certifikat.
| Flaggor för X509-nyckelanvändning | Key Vault nyckel ops | Standardbeteende |
|---|---|---|
| DataEncipherment | kryptera, dekryptera | Ej tillämpligt |
| DecipherOnly | Dekryptera | Ej tillämpligt |
| DigitalSignature | signera, verifiera | Key Vault standard utan användningsspecifikation när certifikatet skapas |
| EncipherOnly | encrypt | Ej tillämpligt |
| KeyCertSign | signera, verifiera | Ej tillämpligt |
| KeyEncipherment | wrapKey, unwrapKey | Key Vault standard utan användningsspecifikation när certifikatet skapas |
| Oavvislighet | signera, verifiera | Ej tillämpligt |
| crlsign | signera, verifiera | Ej tillämpligt |
Certifikatutfärdare
Ett Key Vault innehåller en konfiguration som används för att kommunicera med en vald certifikatutfärdarprovider för att beställa x509-certifikat.
- Key Vault partner med följande certifikatutfärdarproviders för TLS-/SSL-certifikat
| Leverantörens namn | Platser |
|---|---|
| DigiCert | Stöds på alla nyckelvalvstjänstplatser i offentliga moln och Azure Government |
| GlobalSign | Stöds på alla nyckelvalvstjänstplatser i offentliga moln och Azure Government |
Innan en certifikatutfärdare kan skapas i en Key Vault måste följande steg 1 och 2 slutföras.
Publicera till certifikatutfärdare (CA)-providers
- En organisationsadministratör måste gå med i företaget (t.ex. Contoso) med minst en CA-provider.
Administratören skapar autentiseringsuppgifter för begärande för Key Vault att registrera (och förnya) TLS/SSL-certifikat
- Tillhandahåller konfigurationen som ska användas för att skapa ett utfärdarobjekt för providern i nyckelvalvet
Mer information om hur du skapar utfärdarobjekt från certifikatportalen finns i bloggen Key Vault certifikat
Key Vault kan du skapa flera utfärdarobjekt med olika utfärdarproviderkonfigurationer. När ett utfärdarobjekt har skapats kan dess namn refereras till i en eller flera certifikatprinciper. När du refererar till utfärdarobjektet instrueras Key Vault att använda konfigurationen som anges i utfärdarobjektet när x509-certifikatet begärs från CA-providern när certifikatet skapas och förnyas.
Utfärdarobjekt skapas i valvet och kan bara användas med KV-certifikat i samma valv.
Certifikatkontakter
Certifikatkontakter innehåller kontaktinformation för att skicka meddelanden som utlöses av certifikatlivshändelser. Kontaktinformationen delas av alla certifikat i nyckelvalvet. Ett meddelande skickas till alla angivna kontakter för en händelse för alla certifikat i nyckelvalvet. Information om hur du ställer in certifikatkontakt finns här
Certifikat Access Control
Åtkomstkontroll för certifikat hanteras av Key Vault och tillhandahålls av Key Vault som innehåller dessa certifikat. Principen för åtkomstkontroll för certifikat skiljer sig från åtkomstkontrollprinciperna för nycklar och hemligheter i samma Key Vault. Användare kan skapa ett eller flera valv för att innehålla certifikat för att upprätthålla lämplig segmentering och hantering av certifikat i scenariot. Mer information om åtkomstkontroll för certifikat finns här
Användningsfall för certifikat
Säker kommunikation och autentisering
TLS-certifikat kan hjälpa till att kryptera kommunikationen via Internet och fastställa identiteten för webbplatser, vilket gör startpunkten och kommunikationsläget säkra. Dessutom kan ett länkat certifikat som signerats av en offentlig certifikatutfärdare hjälpa till att verifiera att de entiteter som innehåller certifikaten är vilka de hävdar att de är. Följande är till exempel några utmärkta användningsfall där certifikat används för att skydda kommunikationen och aktivera autentisering:
- Intranät/Internet-webbplatser: Skydda åtkomsten till intranätplatsen och säkerställ krypterad dataöverföring via Internet med hjälp av TLS-certifikat.
- IoT- och nätverksenheter: skydda och skydda dina enheter med hjälp av certifikat för autentisering och kommunikation.
- Moln/flera moln: säkra molnbaserade program på plats, mellan moln eller i molnleverantörens klientorganisation.
Kodsignering
Ett certifikat kan skydda koden/skriptet för programvara, vilket säkerställer att författaren kan dela programvaran via Internet utan att ändras av skadliga entiteter. När författaren signerar koden med hjälp av ett certifikat som utnyttjar kodsigneringstekniken markeras programvaran dessutom med en autentiseringsstämpel som visar författaren och deras webbplats. Certifikatet som används vid kodsignering hjälper därför till att verifiera programvarans äkthet, vilket främjar säkerhet från slut till slut.