Поделиться через


Продление сертификатов Azure Key Vault

С помощью Azure Key Vault можно легко подготавливать, администрировать и развертывать цифровые сертификаты для сети и поддерживать безопасный обмен данными между приложениями. Дополнительные сведения о сертификатах см. в статье Сведения о сертификатах Azure Key Vault.

Используя кратковременные сертификаты или увеличивая частоту их смены, можно предотвратить доступ к приложениям неавторизованными пользователями.

В этой статье описывается продление сертификатов Azure Key Vault.

Получение уведомлений об истечении срока действия сертификатов

Чтобы получать уведомления о событиях, касающихся срока действия сертификата, необходимо добавить контакт сертификата. Контакты сертификатов содержат контактную информацию для отправки уведомлений, активируемых событиями времени существования сертификата. Информация о контактах совместно используется всеми сертификатами в хранилище ключей. Уведомление отправляется всем контактам, указанным для события, связанного с любым сертификатом в хранилище ключей.

Действия по настройке уведомлений о сертификатах

Сначала добавьте в хранилище ключей контакт сертификата. Для добавления можно использовать портал Azure или командлет PowerShell Add-AzKeyVaultCertificateContact.

Затем укажите, когда следует отправлять уведомления об истечении срока действия сертификата. Сведения о настройке атрибутов жизненного цикла сертификата см. в разделе, посвященном настройке автоматической смены сертификата Key Vault.

Если для политики сертификата задано автоматическое продление, уведомление отправляется на следующие события:

  • Перед продлением сертификата.
  • После продления сертификата. Указывает, был ли сертификат успешно продлен или произошла ошибка, требующая продления сертификата вручную.

Если для политики сертификатов настроено обновление вручную (только по электронной почте), уведомление отправляется, когда пришло время продлить сертификат.

В Key Vault есть три категории сертификатов:

  • Сертификаты, созданные с помощью интегрированного центра сертификации (ЦС), например DigiCert или GlobalSign.
  • Сертификаты, созданные с неинтегрированной ЦС.
  • Самозаверяющий сертификат.

Продление сертификата интегрированного центра сертификации

Azure Key Vault обеспечивает комплексное обслуживание сертификатов, выданных доверенными центрами сертификации Майкрософт DigiCert и GlobalSign. Узнайте, как интегрировать доверенный центр сертификации с Key Vault. При продлении сертификата создается новая версия секрета с новым идентификатором Key Vault.

Продление сертификата неинтегрированного центра сертификации

С помощью Azure Key Vault можно импортировать сертификаты из любого центра сертификации. Это преимущество обеспечивает возможность интеграции с несколькими ресурсами Azure и упрощает развертывание. Если вы опасаетесь пропустить дату истечения срока действия сертификата или, что еще хуже, обнаружили, что срок его действия уже истек, ваше хранилище ключей поможет вам быть в курсе происходящего. Для сертификатов неинтегрированных центров сертификации хранилище ключей позволяет настроить уведомления по электронной почте о приближении истечения срока действия. Такие уведомления можно также задать для нескольких пользователей.

Внимание

Сертификат является объектом с версиями. Если срок действия текущей версии истекает, необходимо создать новую. По сути, каждая новая версия — это новый сертификат, состоящий из ключа и большого двоичного объекта, который связывает этот ключ с удостоверением. При использовании несвязанного центра сертификации хранилище ключей создает пару "ключ-значение" и возвращает запрос на подпись сертификата (CSR).

Чтобы обновить неинтегрированный сертификат ЦС, выполните приведенные действия.

  1. Войдите на портал Azure, а затем откройте сертификат, который хотите продлить.
  2. В области сертификата выберите Новая версия.
  3. На странице "Создание сертификата" убедитесь, что параметр "Создать" выбран в разделе "Метод создания сертификата".
  4. Проверьте поле Субъект и другие сведения о сертификате и нажмите Создать.
  5. Вы увидите следующее сообщение: Сейчас ожидается создание сертификата << имя сертификата >>. Щелкните здесь, чтобы перейти к его операции сертификата для отслеживания хода выполнения
  6. Щелкните сообщение, после чего откроется новая область. В области должно быть указано состояние "Выполняется". На этом этапе в Key Vault создан CSR, который можно скачать с помощью кнопки Скачать CSR.
  7. Выберите Скачать CSR, чтобы скачать CSR-файл на локальный диск.
  8. Отправьте CSR в выбранный центр сертификации, чтобы подписать запрос.
  9. Перенесите подписанный запрос и выберите Объединить подписанный запрос в той же области операций с сертификатом.
  10. После слияния будет указано состояние Завершено, и в главной области сертификата можно нажать Обновить, чтобы увидеть новую версию сертификата.

Примечание.

Важно объединить подписанный запрос CSR с тем же запросом CSR, который вы создали. В противном случае ключ не будет совпадать.

Дополнительные сведения о создании CSR см. в статье Создание и слияние CSR в Key Vault.

Продление самозаверяющего сертификата

Azure Key Vault также обеспечивает автоматическое продление самозаверяющих сертификатов. Дополнительные сведения об изменении политики выдачи и обновлении атрибутов жизненного цикла сертификата см. в руководстве по настройке автоматической смены сертификата в Key Vault.

Следующие шаги