Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
поддержка сертификатов Azure Key Vault обеспечивает управление сертификатами X.509 и следующими поведениями:
Позволяет владельцу сертификата создавать сертификат с помощью процесса создания хранилища ключей или путем импорта существующего сертификата. Импортированные сертификаты включают как самозаверяющие сертификаты, так и сертификаты, созданные из центра сертификации (ЦС).
Позволяет владельцу сертификата Key Vault реализовать безопасное хранилище и управление сертификатами X.509 без взаимодействия с материалом закрытого ключа.
Позволяет владельцу сертификата создать политику, которая направляет Key Vault для управления жизненным циклом сертификата.
Позволяет владельцу сертификата предоставлять контактные данные для уведомлений о событиях жизненного цикла истечения срока действия и продления.
Поддерживает автоматическое обновление с выбранными организациями: партнёры Key Vault — поставщики сертификатов X.509 и центры сертификации.
Замечание
Поставщики и власти, не являющиеся партнерами, также разрешены, но не поддерживают автоматическое продление.
Дополнительные сведения о создании сертификата см. в разделе "Методы создания сертификата".
Создание сертификатов
При создании сертификата Key Vault адресный ключ и секрет также создаются с тем же именем. Ключ Key Vault позволяет выполнять операции с ключами, а секрет Key Vault позволяет получить значение сертификата в виде секрета. Сертификат Key Vault также содержит общедоступные метаданные сертификата X.509.
Идентификатор и версия сертификатов похожи на ключи и секреты. Определенная версия адресного ключа и секрета, созданного с использованием версии сертификата Key Vault, доступна в ответе на сертификат Key Vault.
Экспортируемый или не экспортируемый ключ
При создании сертификата Key Vault его можно получить из адресного секрета с закрытым ключом в формате PFX или PEM. Политика, используемая для создания сертификата, должна указывать на то, что ключ можно экспортировать. Если в политике указано, что ключ не подлежит экспорту, то закрытый ключ не будет частью значения при его извлечении как секрета.
Адресный ключ становится более актуальным при использовании сертификатов, не экспортируемых Key Vault. Операции адресуемого ключа Key Vault сопоставляются с полем keyusage политики сертификатов Key Vault, используемой для создания сертификата Key Vault.
Полный список поддерживаемых типов ключей см. в разделе "Сведения о ключах: типы ключей и методы защиты". Экспортируемые ключи разрешены только с RSA и EC. Ключи HSM не экспортируются.
Атрибуты и теги сертификата
В дополнение к метаданным сертификата, адресуемому ключу и адресуемому секрету, сертификат Key Vault содержит атрибуты и теги.
Атрибуты
Атрибуты сертификата зеркально отражаются в атрибутах адресного ключа и секрета, созданных при создании сертификата Key Vault.
Сертификат Key Vault имеет следующий атрибут:
enabled: Этот булевый атрибут является необязательным. По умолчанию —true. Можно указать, можно ли данные сертификата получить как секрет или использовать как ключ.Этот атрибут также используется совместно с
nbfиexpпри выполнении операции междуnbfиexp, но только если дляenabledустановлено значениеtrue. Операции за пределамиnbfиexpокна автоматически запрещаются.
Ответ включает следующие дополнительные только для чтения атрибуты:
-
created:IntDateуказывает, когда была создана эта версия сертификата. -
updated:IntDateуказывает, когда была обновлена эта версия сертификата. -
exp:IntDateсодержит значение даты окончания срока действия сертификата X.509. -
nbf:IntDateсодержит значение даты "не раньше" сертификата X.509.
Замечание
Если срок действия сертификата Key Vault истекает, он по-прежнему может быть извлечен, но сертификат может стать неработоспособным в таких сценариях, как защита TLS, где проверяется срок действия сертификата.
Метки
Теги для сертификатов — это клиентский словарь пар "ключ-значение", так же как теги в ключах и секретах.
Замечание
Вызывающий объект может считывать теги, если у них есть список или получить разрешение на этот тип объекта (ключи, секреты или сертификаты).
Политика сертификата
Политика сертификата содержит сведения о создании и управлении жизненным циклом сертификата Key Vault. При импорте сертификата с закрытым ключом в key vault служба Key Vault создает политику по умолчанию, считывая сертификат X.509.
При создании сертификата Key Vault с нуля необходимо предоставить политику. Политика указывает, как создать эту версию сертификата Key Vault или следующую версию сертификата Key Vault. После установки политики не требуется последовательные операции создания для будущих версий. Существует только один экземпляр политики для всех версий сертификата Key Vault.
На высоком уровне политика сертификата содержит следующие элементы:
Свойства сертификата X.509, включающие имя субъекта, альтернативные имена субъектов и другие свойства, используемые для создания запроса сертификата X.509.
Ключевые свойства, которые включают тип ключа, длину ключа, экспортируемые и
ReuseKeyOnRenewalполя. Эти поля инструктируют Key Vault, как создавать ключ.Поддерживаемые типы ключей : RSA, RSA-HSM, EC, EC-HSM и oct.
Такие свойства секрета, как тип содержимого адресуемого секрета, необходимого для генерации его значения, для получения сертификата в виде секрета.
Действия в течение срока службы для сертификата Key Vault. Каждое пожизненное действие содержит:
- Триггер: указан в виде дней перед истечением срока действия или процентом времени существования.
- Действие:
emailContactsилиautoRenew.
Тип проверки сертификатов: организация проверена (OV-SSL) и расширенная проверка (EV-SSL) для издателей DigiCert и GlobalSign.
Параметры о издателе сертификата, используемом для выдачи сертификатов X.509.
Атрибуты, связанные с политикой.
Дополнительные сведения см. в разделе Set-AzKeyVaultCertificatePolicy.
Сопоставление использования X.509 с ключевыми операциями
В следующей таблице представлено сопоставление политик использования ключей X.509 с эффективными операциями ключа ключа, созданного в рамках создания сертификата Key Vault.
| Флаги использования ключей X.509 | Операции с ключами в Key Vault | Поведение по умолчанию |
|---|---|---|
DataEncipherment |
encrypt, decrypt |
Неприменимо |
DecipherOnly |
decrypt |
Неприменимо |
DigitalSignature |
sign, verify |
Key Vault по умолчанию без спецификации использования во время создания сертификата |
EncipherOnly |
encrypt |
Неприменимо |
KeyCertSign |
sign, verify |
Неприменимо |
KeyEncipherment |
wrapKey, unwrapKey |
Key Vault по умолчанию без спецификации использования во время создания сертификата |
NonRepudiation |
sign, verify |
Неприменимо |
crlsign |
sign, verify |
Неприменимо |
Издатель сертификатов
Объект сертификата Key Vault содержит конфигурацию, которая используется для взаимодействия с выбранным поставщиком издателя сертификатов для заказа сертификатов X.509.
Key Vault сотрудничает со следующими поставщиками сертификатов для TLS/SSL-сертификатов.
| Имя поставщика | Местоположения |
|---|---|
| DigiCert | Поддерживается во всех расположениях служб Key Vault в общедоступном облаке и Azure для государственных организаций |
| GlobalSign | Поддерживается во всех расположениях служб Key Vault в общедоступном облаке и Azure для государственных организаций |
Прежде чем издатель сертификата может быть создан в хранилище ключей, администратор должен выполнить следующие необходимые действия.
Подключите организацию по крайней мере к одному поставщику ЦС.
Создайте учетные данные запрашивающего пользователя для Key Vault для регистрации (и продления) TLS/SSL-сертификатов. Этот шаг предоставляет конфигурацию для создания объекта издателя поставщика в хранилище ключей.
Дополнительные сведения о создании объектов издателя на портале сертификатов см. в разделе Integrating Key Vault с центрами сертификации.
Key Vault позволяет создавать несколько объектов издателя с различными конфигурациями поставщика издателя. После создания объекта издателя его имя можно указать в одной или нескольких политиках сертификатов. Ссылка на объект издателя указывает Key Vault использовать конфигурацию, определённую в объекте издателя, при запросе сертификата X.509 от поставщика удостоверяющего центра во время создания и продления сертификата.
Объекты эмитента создаются в хранилище. Их можно использовать только с сертификатами Key Vault в том же самом хранилище.
Прозрачность сертификата
Замечание
Общедоступные доверенные сертификаты отправляются удостоверяющим центрам и в журналы прозрачности сертификатов (CT) за пределами границ Azure во время регистрации. Они охватываются политиками обработки данных этих организаций.
Интегрированный центр сертификации обрабатывает отправку журнала CT в рамках выдачи сертификатов с открытым доверием. В Key Vault нет переключателя для CT. Браузеры требуют этого поведения для общедоступных доверенных сертификатов TLS. Сертификаты, выпущенные внутри организации или самоподписанные, не подпадают под требования CT.
Контактная информация сертификатов
Контакты сертификатов содержат контактные данные для отправки уведомлений, инициируемых событиями времени существования сертификата. Все сертификаты в хранилище ключей разделяют контактные данные.
Уведомление отправляется всем контактам, указанным для события, связанного с любым сертификатом в хранилище ключей. Сведения о том, как настроить контакт для сертификата, см. в разделе Обновление сертификатов Azure Key Vault.
Управление доступом к сертификату
Key Vault управляет доступом для сертификатов. Хранилище ключей, содержащее эти сертификаты, обеспечивает управление доступом. Политика управления доступом для сертификатов отличается от политик управления доступом для ключей и секретов в одном хранилище ключей.
Пользователи могут создать одно или несколько хранилищ для хранения сертификатов для поддержания соответствующего сценария сегментации и управления сертификатами. Дополнительные сведения см. в разделе "Управление доступом к сертификату".
Варианты использования сертификатов
Безопасный обмен данными и проверка подлинности
Сертификаты TLS могут помочь зашифровать обмен данными через Интернет и установить удостоверение веб-сайтов. Это шифрование делает точку входа и режим взаимодействия более безопасным. Кроме того, сертификат, подписанный публичным УЦ, может помочь убедиться, что сущности, которым принадлежат сертификаты, являются действительными.
Например, ниже приведены некоторые варианты использования сертификатов для защиты обмена данными и включения проверки подлинности:
- Веб-сайты интрасети и Интернета. Защита доступа к сайту интрасети и обеспечение зашифрованной передачи данных через Интернет с помощью сертификатов TLS.
- IoT и сетевые устройства: защита и защита устройств с помощью сертификатов для проверки подлинности и обмена данными.
- Cloud/multicloud: безопасные облачные приложения в локальной среде, между облаками или в клиенте поставщика облачных служб.
Дальнейшие шаги
- Способы создания сертификатов
- Сведения о Key Vault
- Сведения о ключах, секретах и сертификатах
- Сведения о ключах
- О секретах
- управление ключами в Azure
- Аутентификация, запросы и ответы
- руководство разработчика Key Vault