Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sie können digitale Zertifikate mithilfe von Azure Key Vault ganz einfach zuweisen, verwalten und implementieren. Die Zertifikate können öffentliche und private SSL(Secure Sockets Layer)/Transport Layer Security (TLS)-Zertifikate sein, die von einer Zertifizierungsstelle (Ca) oder einem selbstsignierten Zertifikat signiert sind. Key Vault kann Zertifikate auch über Partnerschaften mit CAs anfordern und erneuern, wodurch eine robuste Lösung für die Verwaltung des Zertifikatlebenszyklus bereitgestellt wird.
Ein umfassendes Verständnis von Autorotationskonzepten und Vorteilen für verschiedene Objekttypen in Azure Key Vault finden Sie unter Grundlegendes zur Autorotation in Azure Key Vault.
In diesem Lernprogramm aktualisieren Sie den Gültigkeitszeitraum, die Autorotationshäufigkeit und die Ca-Attribute eines Zertifikats.
- Verwalten Sie ein Zertifikat mithilfe des Azure-Portals.
- Fügen Sie ein Ca-Anbieterkonto hinzu.
- Aktualisieren Sie den Gültigkeitszeitraum des Zertifikats.
- Aktualisieren Sie die automatische Drehungshäufigkeit des Zertifikats.
- Aktualisieren Sie die Attribute des Zertifikats mithilfe von Azure PowerShell.
Machen Sie sich zunächst mit den grundlegenden Konzepten von Key Vault vertraut.
Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
Anmelden bei Azure
Melden Sie sich beim Azure-Portal an.
Erstellen eines Tresors
Erstellen Sie einen Schlüsseltresor mit einer der folgenden drei Methoden:
- Erstellen eines Schlüsseltresors über das Azure-Portal
- Erstellen Sie einen Schlüsselbund mit der Azure CLI
- Erstellen eines Schlüsseltresors mithilfe von Azure PowerShell
Erstellen eines Zertifikats im Key Vault
Erstellen Sie ein Zertifikat, oder importieren Sie ein Zertifikat in den Schlüsseltresor (siehe Schritte zum Erstellen eines Zertifikats im Key Vault. In diesem Fall arbeiten Sie an einem Zertifikat namens ExampleCertificate.
Aktualisieren von Zertifikatlebenszyklusattributen
In Azure Key Vault können Sie die Lebenszyklusattribute eines Zertifikats zum Zeitpunkt der Zertifikaterstellung oder nachher aktualisieren.
Ein im Key Vault erstelltes Zertifikat kann folgendes sein:
- Ein selbstsigniertes Zertifikat.
- Ein Zertifikat, das mit einer Zertifizierungsstelle erstellt wurde, die mit Key Vault zusammenarbeitet.
- Ein Zertifikat mit einer Zertifizierungsstelle, die nicht mit Key Vault zusammenarbeitet.
Die folgenden CAs sind derzeit Partneranbieter mit Key Vault:
- DigiCert: Key Vault bietet OV- oder EV TLS/SSL-Zertifikate an.
- GlobalSign: Key Vault bietet OV- oder EV TLS/SSL-Zertifikate.
Zertifikate werden von Key Vault durch bewährte Partnerschaften mit Zertifizierungsstellen automatisch rotiert. Da Key Vault Zertifikate über die Partnerschaft automatisch anfordert und erneuert, gilt die Autorotation-Funktion nicht für Zertifikate, die mit CAs erstellt wurden, die nicht mit Key Vault zusammenarbeiten.
Hinweis
Ein Kontoadministrator für einen Zertifizierungsstelle-Anbieter erstellt Anmeldeinformationen, die Key Vault zum Erstellen, Erneuern und Verwenden von TLS/SSL-Zertifikaten verwendet.
Aktualisieren von Zertifikatlebenszyklusattributen zum Zeitpunkt der Erstellung
Wählen Sie auf den Eigenschaftenseiten "Key Vault " die Option "Zertifikate" aus.
Wählen Sie Erstellen / Import.
Aktualisieren Sie auf dem Bildschirm " Zertifikat erstellen " die folgenden Werte:
Gültigkeitszeitraum: Geben Sie den Wert (in Monaten) ein. Das Erstellen von kurzlebigen Zertifikaten ist eine empfohlene Sicherheitspraxis. Standardmäßig beträgt der Gültigkeitswert eines neu erstellten Zertifikats 12 Monate.
Aktionstyp der Lebensdauer: Wählen Sie die automatische Erneuerung und Warnungsaktion des Zertifikats aus und aktualisieren Sie dann den Prozentsatz der Lebensdauer oder die Anzahl der Tage vor Ablauf. Standardmäßig wird die automatische Verlängerung eines Zertifikats auf 80 Prozent seiner Lebensdauer festgelegt. Wählen Sie im Dropdownmenü eine der folgenden Optionen aus.
Automatische Verlängerung zu einem bestimmten Zeitpunkt Alle Kontakte zu einem bestimmten Zeitpunkt per E-Mail senden Wenn Sie diese Option aktivieren, wird die Autorotation eingeschaltet. Wenn Sie diese Option auswählen, werden die Kontakte nicht automatischrotiert, sondern nur benachrichtigt. Weitere Informationen zum Einrichten eines E-Mail-Kontakts finden Sie hier.
Klicken Sie auf Erstellen.
Aktualisieren von Lebenszyklusattributen eines gespeicherten Zertifikats
Wählen Sie den Schlüsseltresor aus.
Wählen Sie auf den Eigenschaftenseiten "Key Vault " die Option "Zertifikate" aus.
Wählen Sie das Zertifikat aus, das Sie aktualisieren möchten. In diesem Fall arbeiten Sie an einem Zertifikat namens ExampleCertificate.
Wählen Sie "Ausstellungsrichtlinie " in der oberen Menüleiste aus.
Aktualisieren Sie auf dem Bildschirm " Ausstellungsrichtlinie " die folgenden Werte:
- Gültigkeitszeitraum: Aktualisieren des Werts (in Monaten).
- Aktionstyp "Lebensdauer": Wählen Sie die Autorenewal- und Warnungsaktion des Zertifikats aus, und aktualisieren Sie dann die Prozentuale Lebensdauer oder die Anzahl der Tage vor Ablauf.
Wählen Sie Speichern aus.
Von Bedeutung
Das Ändern des Aktionstyps "Lebensdauer" für ein Zertifikat zeichnet Änderungen für die vorhandenen Zertifikate sofort auf.
Aktualisieren von Zertifikatattributen mithilfe von PowerShell
Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName
-Name $certificateName
-RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]
Tipp
Um die Verlängerungsrichtlinie für eine Liste von Zertifikaten zu ändern, geben Sie File.csv mit VaultName,CertName ein, wie im folgenden Beispiel:
vault1,Cert1
vault2,Cert2
$file = Import-CSV C:\Users\myfolder\ReadCSVUsingPowershell\File.csv
foreach($line in $file)
{
Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName -Name $certificateName -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]
}
Weitere Informationen zu den Parametern finden Sie unter az keyvault certificate.
Bereinigen von Ressourcen
Andere Key Vault-Lernprogramme bauen auf diesem Lernprogramm auf. Wenn Sie mit diesen Lernprogrammen arbeiten möchten, sollten Sie diese vorhandenen Ressourcen beibehalten. Wenn Sie sie nicht mehr benötigen, löschen Sie die Ressourcengruppe. Dadurch werden der Schlüsseltresor und die zugehörigen Ressourcen gelöscht.
So löschen Sie die Ressourcengruppe mithilfe des Portals:
- Geben Sie den Namen Ihrer Ressourcengruppe in das Suchfeld am oberen Rand des Portals ein. Wenn die in dieser Schnellstartanleitung verwendete Ressourcengruppe in den Suchergebnissen angezeigt wird, wählen Sie sie aus.
- Wählen Sie die Option Ressourcengruppe löschen.
- Geben Sie im Feld " RESSOURCENGRUPPENNAME EINGEBEN" den Namen der Ressourcengruppe ein, und wählen Sie dann "Löschen" aus.
Nächste Schritte
In diesem Lernprogramm haben Sie die Lebenszyklusattribute eines Zertifikats aktualisiert. Weitere Informationen zu Key Vault und zur Integration in Ihre Anwendungen finden Sie in den folgenden Artikeln: