Tutorial: Configurar a rotação automática de certificados no Cofre de Chaves

Você pode provisionar, gerenciar e implantar facilmente certificados digitais usando o Cofre de Chaves do Azure. Os certificados podem ser certificados SSL (Secure Sockets Layer)/TLS (Transport Layer Security) públicos e privados assinados por uma autoridade de certificação (CA) ou um certificado autoassinado. O Key Vault também pode solicitar e renovar certificados por meio de parcerias com CAs, fornecendo uma solução robusta para o gerenciamento do ciclo de vida dos certificados.

Para obter uma compreensão abrangente dos conceitos e benefícios da rotação automática em diferentes tipos de ativos no Cofre da Chave do Azure, consulte Noções básicas sobre rotação automática no Cofre da Chave do Azure.

Neste tutorial, você atualiza o período de validade de um certificado, a frequência de rotação automática e os atributos da autoridade de certificação.

Antes de começar, leia os conceitos básicos do Key Vault.

Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Iniciar sessão no Azure

Inicie sessão no portal Azure.

Criar um cofre

Crie um cofre de chaves usando um destes três métodos:

• Criar um cofre de chaves usando o portal do Azure
• Criar um cofre de chaves usando a CLI do Azure
• Criar um cofre de chaves usando o Azure PowerShell

Criar um certificado no Cofre da Chave

Crie um certificado ou importe um certificado para o cofre de chaves (consulte Etapas para criar um certificado no Cofre de Chaves. Nesse caso, você trabalha em um certificado chamado ExampleCertificate.

Atualizar atributos do ciclo de vida do certificado

No Cofre da Chave do Azure, você pode atualizar os atributos do ciclo de vida de um certificado no momento da criação do certificado ou depois.

Um certificado criado no Cofre da Chave pode ser:

• Um certificado autoassinado.
• Um certificado criado com uma autoridade de certificação parceira do Key Vault.
• Um certificado com uma autoridade de certificação que não tem parceria com o Cofre de Chaves.

Atualmente, as seguintes autoridades de certificação são provedores parceiros do Key Vault:

• DigiCert: Key Vault oferece certificados OV ou EV TLS / SSL.
• GlobalSign: Key Vault oferece certificados OV ou EV TLS/SSL.

O Key Vault faz a rotação automática dos certificados por meio de parcerias estabelecidas com autoridades de certificação. Como o Key Vault solicita e renova automaticamente certificados por meio da parceria, o recurso de rotação automática não é aplicável a certificados criados com CAs que não são parceiras do Key Vault.

Atualizar atributos do ciclo de vida do certificado no momento da criação

1. Nas páginas de propriedades do Cofre da Chave, selecione Certificados.

2. Selecione Gerar/Importar.

3. Na tela Criar um certificado , atualize os seguintes valores:

   • Período de validade: Insira o valor (em meses). A criação de certificados de curta duração é uma prática de segurança recomendada. Por padrão, o valor de validade de um certificado recém-criado é de 12 meses.

   • Tipo de ação vitalícia: selecione a ação de alerta e renovação automática do certificado e, em seguida, atualize a percentagem de tempo de vida ou o número de dias antes da expiração. Por padrão, a renovação automática de um certificado é definida em 80% de sua vida útil. No menu pendente, selecione uma das seguintes opções.

     Renovar automaticamente em um determinado momento	Envie todos os contatos por e-mail em um determinado momento
     Selecionar esta opção ativa a rotação automática.	Selecionar esta opção não irá ativar a rotação automática, mas apenas alertará os contactos.

     Você pode aprender sobre como configurar o contato de e-mail aqui

4. Selecione Criar.

Atualizar atributos do ciclo de vida de um certificado armazenado

1. Selecione o cofre de chaves.

2. Nas páginas de propriedades do Cofre da Chave, selecione Certificados.

3. Selecione o certificado que deseja atualizar. Nesse caso, você trabalha em um certificado chamado ExampleCertificate.

4. Selecione Política de emissão na barra de menu superior.

   

5. Na tela Política de Emissão , atualize os seguintes valores:

   • Prazo de validade: Atualize o valor (em meses).
   • Tipo de ação vitalício: selecione a ação de alerta e renovação automática do certificado e, em seguida, atualize a percentagem de tempo de vida ou o número de dias antes da expiração.

   

6. Selecione Guardar.

Atualizar atributos de certificado usando o PowerShell

Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName 
                                   -Name $certificateName 
                                   -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]

$file = Import-CSV C:\Users\myfolder\ReadCSVUsingPowershell\File.csv ​
foreach($line in $file)​
{​
Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName -Name $certificateName -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]
}

Para saber mais sobre os parâmetros, consulte az keyvault certificate.

Limpeza de recursos

Outros tutoriais do Key Vault se baseiam neste tutorial. Se você planeja trabalhar com esses tutoriais, convém deixar esses recursos existentes no lugar. Quando não precisar mais deles, exclua o grupo de recursos, que exclui o cofre de chaves e os recursos relacionados.

Para excluir o grupo de recursos usando o portal:

1. Digite o nome do seu grupo de recursos na caixa Pesquisar na parte superior do portal. Quando o grupo de recursos usado neste início rápido aparecer nos resultados da pesquisa, selecione-o.
2. Selecione Eliminar grupo de recursos.
3. Na caixa DIGITE O NOME DO GRUPO DE RECURSOS: , digite o nome do grupo de recursos e selecione Excluir.

Próximos passos

Neste tutorial, você atualizou os atributos do ciclo de vida de um certificado. Para saber mais sobre o Key Vault e como integrá-lo com seus aplicativos, continue nos seguintes artigos:

• Visão geral do Key Vault.
• Gerenciando a criação de certificados no Cofre de Chaves do Azure.
• Noções básicas sobre rotação automática no Azure Key Vault