Compartir a través de

Tutorial: Configuración de la autorrotación de certificados en Key Vault

Puede aprovisionar, administrar e implementar fácilmente certificados digitales mediante Azure Key Vault. Los certificados pueden ser certificados públicos y privados de Secure Sockets Layer (SSL)/Transport Layer Security (TLS) firmados por una autoridad de certificación (CA) o un certificado autofirmado. Key Vault también puede solicitar y renovar certificados a través de asociaciones con entidades de certificación, lo que proporciona una solución sólida para la administración del ciclo de vida de los certificados.

Para obtener una comprensión completa de los conceptos y beneficios de la autorrotación en distintos tipos de recursos de Azure Key Vault, consulte Comprender la autorrotación en Azure Key Vault.

En este tutorial, actualizará el período de validez de un certificado, la frecuencia de autorrotación y los atributos de la Autoridad de Certificación.

  • Administre un certificado mediante Azure Portal.
  • Agregue una cuenta de proveedor de CA.
  • Actualice el período de validez del certificado.
  • Actualice la frecuencia de rotación automática del certificado.
  • Actualice los atributos del certificado mediante Azure PowerShell.

Antes de empezar, lea los conceptos básicos de Key Vault.

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Inicio de sesión en Azure

Inicie sesión en Azure Portal.

Creación de un almacén

Cree un almacén de claves mediante uno de estos tres métodos:

Creación de un certificado en Key Vault

Cree un certificado o importe un certificado en el almacén de claves (consulte Pasos para crear un certificado en Key Vault. En este caso, trabajará en un certificado llamado ExampleCertificate.

Actualización de atributos de ciclo de vida de certificados

En Azure Key Vault, puede actualizar los atributos del ciclo de vida de un certificado tanto en el momento de la creación del certificado como después.

Un certificado creado en Key Vault puede ser:

  • Un certificado autofirmado.
  • Certificado creado con una ENTIDAD de certificación asociada a Key Vault.
  • Certificado con una ENTIDAD de certificación que no está asociada con Key Vault.

Las siguientes CA son actualmente proveedores asociados de Key Vault.

  • DigiCert: Key Vault ofrece certificados OV o EV TLS/SSL.
  • GlobalSign: Key Vault ofrece certificados OV o EV TLS/SSL.

Key Vault rota automáticamente los certificados mediante asociaciones establecidas con las entidades de certificación. Dado que Key Vault solicita y renueva automáticamente los certificados a través de la asociación, la capacidad de autorrotación no es aplicable a los certificados creados con entidades de certificación que no están asociadas con Key Vault.

Nota:

Un administrador de cuenta para un proveedor de CA crea credenciales que Key Vault usa para crear, renovar y usar certificados TLS/SSL. Entidad de certificación

Actualizar los atributos del ciclo de vida del certificado en el momento de la creación

  1. En las páginas de propiedades de Key Vault, seleccione Certificados.

  2. Seleccione Generar o importar.

  3. En la pantalla Crear un certificado , actualice los valores siguientes:

    • Período de validez: escriba el valor (en meses). La creación de certificados de corta duración es una práctica de seguridad recomendada. De forma predeterminada, el valor de validez de un certificado recién creado es de 12 meses.

    • Tipo de acción de duración: seleccione la acción de autorenovación y alerta del certificado y, a continuación, actualice el porcentaje de duración o el número de días antes de la caducidad. De forma predeterminada, la renovación automática de un certificado se establece en el 80 por ciento de su vida útil. En el menú desplegable, seleccione una de las siguientes opciones.

      Renovación automática en un momento dado Enviar por correo electrónico todos los contactos en un momento dado
      Al seleccionar esta opción se activa la autorrotación. Al seleccionar esta opción, no se realizará la rotación automática, solo se alertará a los contactos.

      Puede obtener información sobre cómo configurar el contacto de correo electrónico aquí.

  4. Selecciona Crear.

Ciclo de vida del certificado

Actualizar los atributos del ciclo de vida de un certificado almacenado

  1. Seleccione el almacén de claves.

  2. En las páginas de propiedades de Key Vault, seleccione Certificados.

  3. Seleccione el certificado que desea actualizar. En este caso, trabajará en un certificado llamado ExampleCertificate.

  4. Seleccione Directiva de emisión en la barra de menús superior.

    Captura de pantalla que resalta el botón Directiva de emisión.

  5. En la pantalla Directiva de emisión , actualice los valores siguientes:

    • Período de validez: actualice el valor (en meses).
    • Tipo de acción de duración: seleccione la acción de autorrenovación y alerta del certificado y, a continuación, actualice el porcentaje de duración o el número de días antes del vencimiento.

    Propiedades del certificado

  6. Haga clic en Guardar.

Importante

Al cambiar el tipo de acción de vigencia de un certificado, se registran inmediatamente las modificaciones de los certificados existentes.

Actualización de atributos de certificado mediante PowerShell



Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName 
                                   -Name $certificateName 
                                   -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]

Sugerencia

Para modificar la directiva de renovación para una lista de certificados, escriba File.csv que contiene VaultName,CertName como en el ejemplo siguiente:
vault1,Cert1
vault2,Cert2

$file = Import-CSV C:\Users\myfolder\ReadCSVUsingPowershell\File.csv ​
foreach($line in $file)​
{​
Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName -Name $certificateName -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]
}

Para más información sobre los parámetros, consulte az keyvault certificate.

Limpieza de recursos

Otros tutoriales de Key Vault se basan en este tutorial. Si tiene previsto trabajar con estos tutoriales, es posible que desee dejar estos recursos existentes en su lugar. Cuando ya no lo necesite, elimine el grupo de recursos; de este modo se eliminarán también el almacén de claves y los recursos relacionados.

Para eliminar el grupo de recursos mediante el portal:

  1. Escriba el nombre del grupo de recursos en el cuadro de búsqueda de la parte superior del portal. Cuando el grupo de recursos usado en este inicio rápido aparezca en los resultados de la búsqueda, selecciónelo.
  2. Seleccione Eliminar grupo de recursos.
  3. En el cuadro ESCRIBA EL NOMBRE DEL GRUPO DE RECURSOS: , escriba el nombre del grupo de recursos y, a continuación, seleccione Eliminar.

Pasos siguientes

En este tutorial, ha actualizado los atributos del ciclo de vida de un certificado. Para más información sobre Key Vault y cómo integrarlo con las aplicaciones, continúe con los artículos siguientes:

  • Last updated on