Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Certyfikaty usługi Azure Key Vault zarządzają certyfikatami X.509 i skojarzonymi z nimi kluczami prywatnymi na potrzeby protokołu TLS/SSL, uwierzytelniania i podpisywania kodu. Ten artykuł zawiera zalecenia dotyczące zabezpieczeń specyficzne dla zarządzania certyfikatami.
Uwaga / Notatka
Ten artykuł koncentruje się na praktykach zabezpieczeń specyficznych dla certyfikatów usługi Key Vault. Aby uzyskać kompleksowe wskazówki dotyczące zabezpieczeń usługi Key Vault, w tym zabezpieczenia sieci, zarządzanie tożsamościami i dostępem oraz architekturę magazynu, odwiedź Zabezpieczanie usługi Azure Key Vault.
Magazyn i format certyfikatów
Certyfikaty usługi Key Vault łączą certyfikaty X.509 z kluczami prywatnymi i zapewniają funkcje zautomatyzowanego zarządzania:
Przechowuj certyfikaty, a nie wpisy tajne: zawsze używaj typu obiektu certyfikatu usługi Key Vault, a nie przechowywania certyfikatów jako wpisów tajnych. Obiekty certyfikatów zapewniają:
- Zautomatyzowane zarządzanie cyklem życia
- Integracja z urzędami certyfikacji
- Możliwości automatycznego odnawiania
- Wbudowane przechowywanie wersji
Użyj zaufanych urzędów certyfikacji: integracja z obsługiwanymi urzędami certyfikacji na potrzeby automatycznego wystawiania i odnawiania:
- DigiCert
- GlobalSign
- Inne zintegrowane urzędy certyfikacji
Zobacz Integrowanie usługi Key Vault z urzędami certyfikacji.
Poprawnie zaimportuj certyfikaty zewnętrzne: podczas importowania certyfikatów ze źródeł zewnętrznych:
- Używanie formatu PFX lub PEM
- Uwzględnij pełny łańcuch certyfikatów
- Ochrona kluczy prywatnych podczas importowania
Zobacz Importowanie certyfikatu.
Aby uzyskać więcej informacji na temat certyfikatów, zobacz About Azure Key Vault certificates (Informacje o certyfikatach usługi Azure Key Vault).
Zarządzanie cyklem życia certyfikatów
Zaimplementuj odpowiednie zarządzanie cyklem życia certyfikatów, aby zapobiec wygaśnięciu i awariom:
Włącz automatyczne odnawianie: skonfiguruj automatyczne odnawianie certyfikatów wystawionych przez zintegrowane urzędy certyfikacji. Zobacz Odnawianie certyfikatów usługi Azure Key Vault
Ustaw okna odnawiania: Skonfiguruj certyfikaty do odnowienia przed wygaśnięciem:
- Rozpocznij odnawianie, gdy wykorzystano 80% okresu ważności certyfikatu
- W przypadku certyfikatów 1-letnich, należy rozpocząć odnawianie na 292 dni przed wygaśnięciem.
- W przypadku certyfikatów 2-letnich rozpocznij odnawianie po 584 dniach
Monitorowanie wygaśnięcia certyfikatu: użyj powiadomień usługi Event Grid, aby śledzić zdarzenia cyklu życia certyfikatu:
- Certyfikat bliski wygaśnięcia (30, 15 i 7 dni przed wygaśnięciem)
- Certyfikat wygasł
- Certyfikat utworzony lub odnowiony
Zobacz Usługa Azure Key Vault jako źródło usługi Event Grid.
Utrzymywanie spisu certyfikatów: śledzenie wszystkich certyfikatów, ich celów i dat wygaśnięcia
Aby uzyskać więcej informacji na temat odnawiania, zobacz Samouczek: konfigurowanie autorotacji certyfikatu w usłudze Key Vault.
Kontrola dostępu do certyfikatu
Kontrolowanie, kto może uzyskiwać dostęp do certyfikatów i zarządzać nimi:
Oddzielne uprawnienia certyfikatów: Użyj Azure RBAC, aby nadać specyficzne uprawnienia certyfikatom:
- Użytkownik certyfikatu: odczyt certyfikatów i kluczy publicznych
- Oficer certyfikatów: Zarządzanie cyklem życia certyfikatu (tworzenie, importowanie, odnawianie, usuwanie)
- Odzyskiwacz usuwania: Odzyskiwanie usuniętych certyfikatów
Ogranicz dostęp administracyjny: ogranicz operacje zarządzania certyfikatami tylko do autoryzowanych pracowników
Używanie tożsamości zarządzanych: aplikacje powinny uzyskiwać dostęp do certyfikatów przy użyciu tożsamości zarządzanych, a nie jednostek usługi z przechowywanymi poświadczeniami
Zobacz Zapewnij dostęp do certyfikatów usługi Key Vault z użyciem Azure RBAC.
Zasady wystawiania certyfikatów
Skonfiguruj zasady certyfikatów, aby wymusić wymagania dotyczące zabezpieczeń:
Ustaw odpowiednie okresy ważności:
- Certyfikaty TLS/SSL: maksymalnie 1 rok (bazowe wymagania Forum CA/Przeglądarek)
- Certyfikaty wewnętrzne: na podstawie zasad organizacyjnych
- Certyfikaty podpisywania kodu: przestrzegaj standardów branżowych
Użyj silnych algorytmów kluczy:
- RSA: minimalna wersja 2048-bitowa, 4096-bitowa w scenariuszach o wysokim poziomie zabezpieczeń
- EC: Krzywe P-256, P-384 lub P-521
Konfigurowanie alternatywnych nazw podmiotów (SAN): uwzględnij wszystkie wymagane nazwy DNS i adresy IP
Ustawianie rozszerzeń użycia kluczy: określ odpowiednie użycie klucza (podpis cyfrowy, szyfrowanie klucza) i rozszerzone użycie klucza (uwierzytelnianie serwera, uwierzytelnianie klienta)
Aby uzyskać więcej informacji na temat zasad certyfikatów, zobacz About Azure Key Vault certificate creation (Informacje o tworzeniu certyfikatów usługi Azure Key Vault).
Monitorowanie certyfikatów i alerty
Śledź operacje certyfikatów i zdarzenia procesu:
Włącz rejestrowanie diagnostyczne: rejestruj wszystkie operacje certyfikatów, w tym:
- Tworzenie i importowanie certyfikatów
- Próby odnowienia certyfikatu (powodzenie/niepowodzenie)
- Dostęp do certyfikatu (uzyskiwanie certyfikatu, uzyskiwanie klucza prywatnego)
- Usuwanie certyfikatu
Konfigurowanie alertów wygasania: Skonfiguruj alerty w usłudze Azure Monitor dla:
- Certyfikaty wygasające w ciągu 30 dni
- Nieudane próby odnowienia
- Dostęp do certyfikatu przez nieautoryzowane podmioty
Zobacz Monitorowanie i alerty dotyczące usługi Azure Key Vault.
Przeglądanie użycia certyfikatów: regularnie przeprowadzaj inspekcję aplikacji i usług korzystających z każdego certyfikatu
Eksportowanie i tworzenie kopii zapasowej certyfikatu
Ochrona dostępności certyfikatów przy zachowaniu zabezpieczeń:
Kontrolowanie operacji eksportowania: ogranicz, kto może eksportować certyfikaty za pomocą kluczy prywatnych (flaga eksportowalna w zasadach certyfikatów)
Włącz miękkie usuwanie: Możliwość odzyskania przypadkowo usuniętych certyfikatów w okresie przechowywania (7–90 dni). Zobacz Omówienie funkcji soft-delete w usłudze Azure Key Vault
Włącz ochronę przed przeczyszczaniem: Zapobiegaj trwałemu usuwaniu w okresie przechowywania. Zobacz Przeczyszczanie ochrony
Tworzenie kopii zapasowych certyfikatów krytycznych: eksportowanie i bezpieczne przechowywanie kopii zapasowych certyfikatów na potrzeby odzyskiwania po awarii. Zobacz Tworzenie kopii zapasowej usługi Azure Key Vault
Chroń wyeksportowane certyfikaty: podczas eksportowania certyfikatów:
- Używanie silnych haseł dla plików PFX
- Przechowywanie wyeksportowanych plików w bezpiecznych lokalizacjach
- Usuwanie plików tymczasowych po użyciu
- Inspekcja operacji eksportowania
Przejrzystość certyfikatu i zgodność
Utrzymuj przejrzystość przy wydawaniu certyfikatów.
Włącz rejestrowanie przezroczystości certyfikatów (CT): w przypadku certyfikatów publicznie zaufanych upewnij się, że spełniają one wymagania zgodności z CT
- Dzienniki CT zapewniają publiczny dostęp do rejestrów audytu wystawiania certyfikatów
- Aby certyfikaty były zaufane przez współczesne przeglądarki
Cele certyfikatu dokumentu: Obsługa rekordów:
- Przeznaczenie certyfikatu i aplikacja posiadane przez nią
- Proces zatwierdzania wystawiania certyfikatów
- Procedury odnawiania certyfikatów
Certyfikaty z podpisem własnym
W przypadku używania certyfikatów z podpisem własnym do celów testowych lub wewnętrznych:
Ograniczenie do środowisk nieprodukcyjnych: certyfikaty z podpisem własnym nie powinny być używane w środowisku produkcyjnym dla publicznie dostępnych usług
Ustawianie odpowiednich okresów ważności: użyj krótszych okresów ważności dla certyfikatów z podpisem własnym (90 dni lub mniej)
Zarządzanie dystrybucją zaufania: Udokumentuj, jak dystrybucja zaufania certyfikatów samopodpisanych jest realizowana do klientów
Planowanie migracji do certyfikatów wystawionych przez urząd certyfikacji: strategia zastępowania certyfikatów z podpisem własnym certyfikatami wystawionymi przez urząd certyfikacji dla środowiska produkcyjnego
Aby uzyskać więcej informacji na temat certyfikatów z podpisem własnym, zobacz Tworzenie certyfikatu za pomocą usługi Key Vault.
Powiązane artykuły dotyczące zabezpieczeń
- Zabezpieczanie usługi Azure Key Vault — kompleksowe wskazówki dotyczące zabezpieczeń usługi Key Vault
- Zabezpieczanie kluczy usługi Azure Key Vault — najlepsze rozwiązania dotyczące zabezpieczeń kluczy kryptograficznych
- Zabezpieczanie wpisów tajnych usługi Azure Key Vault — najlepsze rozwiązania dotyczące zabezpieczeń dla wpisów tajnych