Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Azure Key Vault umożliwia łatwe aprowizowanie i wdrażanie certyfikatów cyfrowych dla sieci, zarządzanie nimi oraz włączanie bezpiecznej komunikacji dla aplikacji. Aby uzyskać więcej informacji na temat certyfikatów, zobacz About Azure Key Vault certificates (Informacje o certyfikatach usługi Azure Key Vault).
Dzięki korzystaniu z certyfikatów krótkotrwałych lub zwiększeniu częstotliwości rotacji certyfikatów można lepiej zapobiegać dostępowi do aplikacji przez nieautoryzowanych użytkowników.
W tym artykule omówiono sposób odnawiania certyfikatów usługi Azure Key Vault.
Otrzymywanie powiadomień o wygaśnięciu certyfikatu
Aby otrzymywać powiadomienia o zdarzeniach związanych z certyfikatem, należy dodać osobę kontaktową. Kontakty certyfikatów zawierają informacje kontaktowe do wysyłania powiadomień wyzwalanych przez zdarzenia okresu istnienia certyfikatu. Informacje o kontaktach są wspólne dla wszystkich certyfikatów w magazynie kluczy. Powiadomienie jest wysyłane do wszystkich określonych kontaktów w przypadku wydarzenia dotyczącego dowolnego certyfikatu w skarbcu kluczy.
Procedura ustawiania powiadomień o certyfikacie
Najpierw dodaj dane kontaktowe certyfikatu do magazynu kluczy. Możesz dodać przy użyciu portalu Azure lub polecenia cmdlet programu PowerShell Add-AzKeyVaultCertificateContact.
Po drugie skonfiguruj, gdy chcesz otrzymywać powiadomienia o wygaśnięciu certyfikatu. Aby skonfigurować atrybuty cyklu życia certyfikatu, zobacz Konfigurowanie autorotacji certyfikatu w usłudze Key Vault.
Jeśli zasady certyfikatu są ustawione na automatyczne odnawianie, powiadomienie jest wysyłane na następujące zdarzenia:
- Przed odnowieniem certyfikatu
- Po odnowieniu certyfikatu sprawdź, czy certyfikat został pomyślnie odnowiony, czy wystąpił błąd, co wymaga ręcznego odnowienia certyfikatu.
Jeśli zasady certyfikatu mają być odnawiane ręcznie (tylko wiadomość e-mail), zostanie wysłane powiadomienie, gdy nadszedł czas na odnowienie certyfikatu.
W usłudze Key Vault istnieją trzy kategorie certyfikatów:
- Certyfikaty tworzone przy użyciu zintegrowanego urzędu certyfikacji, takiego jak DigiCert lub GlobalSign.
- Certyfikaty tworzone przez nieintegrowany urząd certyfikacji.
- Certyfikaty z podpisem własnym.
Odnowienie zintegrowanego certyfikatu CA
Usługa Azure Key Vault obsługuje kompleksową konserwację certyfikatów wystawionych przez zaufane urzędy certyfikacji firmy Microsoft DigiCert i GlobalSign. Dowiedz się, jak zintegrować zaufany urząd certyfikacji z usługą Key Vault. Po odnowieniu certyfikatu zostanie utworzona nowa wersja wpisu tajnego przy użyciu nowego identyfikatora usługi Key Vault.
Odnów niezintegrowany certyfikat CA
Korzystając z usługi Azure Key Vault, można importować certyfikaty z dowolnego urzędu certyfikacji, co pozwala na integrację z kilkoma zasobami platformy Azure i ułatwić wdrażanie. Jeśli martwisz się o utratę śledzenia dat wygaśnięcia certyfikatu lub, co gorsza, okazało się, że certyfikat już wygasł, magazyn kluczy może pomóc w utrzymaniu aktualności. W przypadku niezintegrowanych certyfikatów urzędu certyfikacji, magazyn kluczy umożliwia skonfigurowanie powiadomień e-mail o zbliżającym się terminie wygaśnięcia. Takie powiadomienia można również ustawić dla kilku użytkowników.
Ważne
Certyfikat jest obiektem w wersji. Jeśli bieżąca wersja wygaśnie, musisz utworzyć nową wersję. Koncepcyjnie każda nowa wersja to nowy certyfikat składający się z klucza i zasobu danych, który łączy ten klucz z tożsamością. W przypadku korzystania z niepartnerowanego urzędu certyfikacji magazyn kluczy generuje parę klucz/wartość i zwraca żądanie podpisania certyfikatu (CSR).
Aby odnowić certyfikat niezintegrowanego urzędu certyfikacji:
- Zaloguj się do witryny Azure Portal, a następnie otwórz certyfikat, który chcesz odnowić.
- W okienku certyfikatu wybierz pozycję Nowa wersja.
- Na stronie Tworzenie certyfikatu upewnij się, że opcja Generuj jest wybrana w obszarze Metoda tworzenia certyfikatu.
- Sprawdź Temat i inne szczegóły dotyczące certyfikatu, a następnie wybierz pozycję Utwórz.
- Powinien zostać wyświetlony komunikat Tworzenie certyfikatu << nazwa certyfikatu >> jest obecnie oczekujące. Kliknij tutaj, aby przejść do operacji certyfikatu i monitorować postęp
- Kliknij komunikat. Powinno wyświetlić się nowe okienko. W okienku powinien widnieć stan „W toku”. W tym momencie usługa Key Vault wygenerowała csr, które można pobrać przy użyciu opcji Pobierz CSR .
- Wybierz pozycję Pobierz plik CSR, aby pobrać plik CSR na dysk lokalny.
- Wyślij plik CSR do wybranego urzędu certyfikacji, by podpisać żądanie.
- Wróć do podpisanego żądania i wybierz pozycję Scal podpisane żądanie w tym samym okienku operacji certyfikatu.
- Stan po scaleniu będzie wyświetlany w okienku Ukończono. W głównym okienku certyfikatu możesz nacisnąć pozycję Odśwież, aby wyświetlić nową wersję certyfikatu.
Uwaga / Notatka
Ważne jest połączenie podpisanego CSR z tym samym żądaniem, które utworzyłeś. W przeciwnym razie klucz nie będzie pasował.
Aby uzyskać więcej informacji na temat tworzenia nowego csr, zobacz Tworzenie i scalanie csr w usłudze Key Vault.
Odnawianie certyfikatu z podpisem własnym
Usługa Azure Key Vault obsługuje również automatyczne odnawianie certyfikatów z podpisem własnym. Aby dowiedzieć się więcej na temat zmieniania zasad wystawiania i aktualizowania atrybutów cyklu życia certyfikatu, zapoznaj się z Konfigurowaniem automatycznej rotacji certyfikatu w usłudze Key Vault.