Tutorial: Configurar a autorotação de certificado no Key Vault

Você pode provisionar, gerenciar e implantar certificados digitais facilmente usando o Azure Key Vault. Os certificados podem ser públicos e privados de SSL (Camada de Soquetes Seguros) ou TLS (Segurança da Camada de Transporte), assinados por uma CA (autoridade de certificação) ou um certificado autoassinado. O Key Vault também pode solicitar e renovar certificados por meio de parcerias com ACs, fornecendo uma solução robusta para o gerenciamento do ciclo de vida do certificado.

Para obter uma compreensão abrangente dos conceitos e benefícios de autorotação em diferentes tipos de ativos no Azure Key Vault, consulte Noções básicas sobre a autorotação no Azure Key Vault.

Neste tutorial, você atualizará o período de validade de um certificado, a frequência de autorotação e os atributos de AC.

Antes de começar, leia Conceitos básicos do Key Vault.

Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.

Entrar no Azure

Entre no portal do Azure.

Criar um cofre

Crie um cofre de chaves usando um destes três métodos:

• Criar um cofre de chaves usando o portal do Azure
• Criar um cofre de chaves usando a CLI do Azure
• Criar um cofre de chaves usando o Azure PowerShell

Criar um certificado no Key Vault

Crie um certificado ou importe um certificado para o cofre de chaves (consulte Etapas para criar um certificado no Key Vault. Nesse caso, você trabalha em um certificado chamado ExampleCertificate.

Atualizar atributos do ciclo de vida do certificado

No Azure Key Vault, você pode atualizar os atributos de ciclo de vida de um certificado no momento da criação do certificado ou depois.

Um certificado criado no Key Vault pode ser:

• Um certificado autoassinado.
• Um certificado criado com uma AC parceira do Key Vault.
• Um certificado com uma Autoridade Certificadora que não está associada ao Key Vault.

Os seguintes CAs são provedores parceiros no momento com o Key Vault:

• DigiCert: o Key Vault oferece certificados OV ou EV TLS/SSL.
• GlobalSign: O Key Vault oferece certificados OV ou EV TLS/SSL.

O Key Vault faz a rotação automática de certificados por meio de parcerias estabelecidas com ACs. Como o Key Vault solicita e renova certificados automaticamente por meio da parceria, a capacidade de autorotação não é aplicável a certificados criados com CAs que não são parceiros do Key Vault.

Atualizar atributos do ciclo de vida do certificado no momento da criação

1. Nas páginas de propriedades do Key Vault, selecione Certificados.

2. Selecione Gerar/Importar.

3. Na tela Criar um certificado , atualize os seguintes valores:

   • Período de validade: insira o valor (em meses). A criação de certificados de curta duração é uma prática de segurança recomendada. Por padrão, o valor de validade de um certificado recém-criado é de 12 meses.

   • Tipo de ação de renovação de vida: selecione a ação de renovação automática e alerta do certificado e em seguida, atualize a porcentagem de tempo de vida ou os dias restantes até a expiração. Por padrão, a renovação automática de um certificado é definida em 80% de sua validade. No menu suspenso, selecione uma das opções a seguir.

     Renovar automaticamente em um determinado momento	Enviar todos os contatos por email em um determinado momento
     Selecionar essa opção ativa a autorotação.	A seleção dessa opção não efetuará a autorrotação, mas alertará apenas os contatos.

     Você pode saber mais sobre como configurar o contato por email aqui

4. Selecione Criar.

Atualizar atributos de ciclo de vida de um certificado armazenado

1. Selecione o cofre de chaves.

2. Nas páginas de propriedades do Key Vault, selecione Certificados.

3. Selecione o certificado que você deseja atualizar. Nesse caso, você trabalha em um certificado chamado ExampleCertificate.

4. Selecione Política de Emissão na barra de menus superior.

   

5. Na tela Política de Emissão , atualize os seguintes valores:

   • Período de validade: atualize o valor (em meses).
   • Tipo de ação da duração: selecione a ação de renovação automática e alerta do certificado e atualize o percentual da duração ou número de dias antes da expiração.

   

6. Clique em Salvar.

Atualizar atributos de certificado usando o PowerShell

Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName 
                                   -Name $certificateName 
                                   -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]

$file = Import-CSV C:\Users\myfolder\ReadCSVUsingPowershell\File.csv ​
foreach($line in $file)​
{​
Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName -Name $certificateName -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]
}

Para saber mais sobre os parâmetros, consulte o certificado az keyvault.

Limpar os recursos

Outros tutoriais do Key Vault se baseiam neste tutorial. Se você planeja trabalhar com esses tutoriais, talvez queira manter esses recursos existentes. Quando você não precisar mais deles, exclua o grupo de recursos, que exclui o cofre de chaves e os recursos relacionados.

Para excluir o grupo de recursos usando o portal:

1. Insira o nome do grupo de recursos na caixa Pesquisar na parte superior do portal. Quando o grupo de recursos usado neste início rápido aparecer nos resultados da pesquisa, selecione-o.
2. Selecione Excluir grupo de recursos.
3. Na caixa DIGITE O NOME DO GRUPO DE RECURSOS , digite o nome do grupo de recursos e selecione Excluir.

Próximas etapas

Neste tutorial, você atualizou os atributos de ciclo de vida de um certificado. Para saber mais sobre o Key Vault e como integrá-lo aos seus aplicativos, prossiga para os seguintes artigos:

• Visão geral do Key Vault.
• Gerenciando a criação de certificados no Azure Key Vault.
• Noções básicas sobre a autorotação no Azure Key Vault