Сведения о сертификатах Azure Key Vault

Поддержка сертификатов Azure Key Vault позволяет управлять сертификатами X.509 и обеспечивает следующие функции:

• Позволяет владельцу сертификата создавать сертификат с помощью процесса создания хранилища ключей или путем импорта существующего сертификата. Импортированные сертификаты включают как самозаверяющие сертификаты, так и сертификаты, созданные из центра сертификации (ЦС).

• Позволяет владельцу сертификата Key Vault реализовать безопасное хранилище и управление сертификатами X.509 без взаимодействия с материалом закрытого ключа.

• Позволяет владельцу сертификата создать политику, которая направляет Key Vault для управления жизненным циклом сертификата.

• Позволяет владельцу сертификата предоставлять контактные данные для уведомлений о событиях жизненного цикла истечения срока действия и продления.

• Поддерживает автоматическое продление с выбранными издателями: партнёрами Key Vault - поставщиками сертификатов X.509 и УЦ (удостоверяющими центрами).

  Замечание

  Поставщики и власти, не являющиеся партнерами, также разрешены, но не поддерживают автоматическое продление.

Дополнительные сведения о создании сертификата см. в разделе "Методы создания сертификата".

Создание сертификатов

Когда создается сертификат Key Vault, также создаются адресуемый ключ и секрет с тем же именем. Ключ Key Vault позволяет выполнять операции с ключами, а секрет Key Vault позволяет получить значение сертификата в виде секрета. Сертификат Key Vault также содержит общедоступные метаданные сертификата X.509.

Идентификатор и версия сертификатов похожи на ключи и секреты. Определенная версия адресуемого ключа и секрета, созданная с помощью версии сертификата Key Vault, доступна в ответе сертификата Key Vault.

Экспортируемый или не экспортируемый ключ

Созданный сертификат Key Vault можно извлечь из адресуемого секрета с помощью закрытого ключа в формате PFX или PEM. Политика, используемая для создания сертификата, должна указывать на то, что ключ можно экспортировать. Если в политике указано, что ключ не подлежит экспорту, то закрытый ключ не будет частью значения при его извлечении как секрета.

Ключ с адресацией лучше подходит для сертификатов Key Vault без возможности экспорта. Операции, доступные для доступа к ключу Key Vault, сопоставляются с keyusage полем политики сертификата Key Vault, используемой для создания сертификата Key Vault.

Полный список поддерживаемых типов ключей см. в разделе "Сведения о ключах: типы ключей и методы защиты". Экспортируемые ключи разрешены только с RSA и EC. Ключи HSM не экспортируются.

Атрибуты и теги сертификата

В дополнение к метаданным сертификата, адресуемому ключу и адресуемому секрету, сертификат Key Vault содержит атрибуты и теги.

Атрибуты

Атрибуты сертификата зеркально отражаются в атрибутах адресного ключа и секрета, созданных при создании сертификата Key Vault.

Сертификат Key Vault имеет следующий атрибут:

• enabled: Этот булевый атрибут является необязательным. По умолчанию — true. Можно указать, можно ли данные сертификата получить как секрет или использовать как ключ.

  Этот атрибут также используется совместно с nbf и exp при выполнении операции между nbf и exp, но только если для enabled установлено значение true. Операции за пределами nbf и exp окна автоматически запрещаются.

Ответ включает следующие дополнительные только для чтения атрибуты:

• created: IntDate указывает, когда была создана эта версия сертификата.
• updated: IntDate указывает, когда была обновлена эта версия сертификата.
• exp: IntDate содержит значение даты окончания срока действия сертификата X.509.
• nbf: IntDate содержит значение даты "не раньше" сертификата X.509.

Метки

Теги для сертификатов — это клиентский словарь пар "ключ-значение", так же как теги в ключах и секретах.

Политика сертификата

Политика сертификата содержит сведения о создании и управлении жизненным циклом сертификата Key Vault. При импорте сертификата с закрытым ключом в хранилище ключей служба Key Vault создает политику по умолчанию, считывая сертификат X.509.

При создании сертификата Key Vault с нуля необходимо указать политику. Политика указывает, как создать эту версию сертификата Key Vault или следующую версию сертификата Key Vault. После установки политики не требуется последовательные операции создания для будущих версий. Есть только один экземпляр политики для всех версий сертификата Key Vault.

На высоком уровне политика сертификата содержит следующие элементы:

• Свойства сертификата X.509, включающие имя субъекта, альтернативные имена субъектов и другие свойства, используемые для создания запроса сертификата X.509.

• Ключевые свойства, которые включают тип ключа, длину ключа, экспортируемые и ReuseKeyOnRenewal поля. Эти поля указывают Key Vault о том, как создать ключ.

  Поддерживаемые типы ключей : RSA, RSA-HSM, EC, EC-HSM и oct.

• Такие свойства секрета, как тип содержимого адресуемого секрета, необходимого для генерации его значения, для получения сертификата в виде секрета.

• Действия на протяжении жизненного цикла для сертификата Key Vault. Каждое пожизненное действие содержит:

  • Триггер: указан в виде дней перед истечением срока действия или процентом времени существования.
  • Действие: emailContacts или autoRenew.

• Тип проверки сертификатов: организация проверена (OV-SSL) и расширенная проверка (EV-SSL) для издателей DigiCert и GlobalSign.

• Параметры о издателе сертификата, используемом для выдачи сертификатов X.509.

• Атрибуты, связанные с политикой.

Дополнительные сведения см. в разделе Set-AzKeyVaultCertificatePolicy.

Сопоставление использования X.509 с ключевыми операциями

В следующей таблице представлено сопоставление политик использования ключей X.509 с эффективными операциями ключа ключа, созданного в рамках создания сертификата Key Vault.

Издатель сертификатов

Объект сертификата Key Vault содержит конфигурацию, которая используется для взаимодействия с выбранным поставщиком издателя сертификатов для заказа сертификатов X.509.

Партнеры Key Vault со следующими поставщиками издателей сертификатов для TLS/SSL-сертификатов.

Прежде чем издатель сертификата может быть создан в хранилище ключей, администратор должен выполнить следующие необходимые действия.

1. Подключите организацию по крайней мере к одному поставщику ЦС.

2. Создайте учетные данные запрашивающего сервера для Key Vault для регистрации (и продления) TLS/SSL-сертификатов. Этот шаг предоставляет конфигурацию для создания объекта издателя поставщика в хранилище ключей.

Дополнительные сведения о создании объектов издателя на портале сертификатов см. в блоге группы key Vault.

Key Vault позволяет создавать несколько объектов издателя с разными конфигурациями поставщика издателя. После создания объекта издателя его имя можно указать в одной или нескольких политиках сертификатов. Обращение к объекту издателя инструктирует Key Vault использовать конфигурацию, которая указана в объекте издателя, при получении сертификата X.509 от провайдера удостоверяющего центра во время создания и продления сертификата.

Объекты эмитента создаются в хранилище. Их можно использовать только с сертификатами Key Vault в одном хранилище.

Контактная информация сертификатов

Контакты сертификатов содержат контактные данные для отправки уведомлений, инициируемых событиями времени существования сертификата. Все сертификаты в хранилище ключей разделяют контактные данные.

Уведомление отправляется всем контактам, указанным для события, связанного с любым сертификатом в хранилище ключей. Сведения о настройке контакта с сертификатом см. в статье "Продление сертификатов Azure Key Vault".

Управление доступом к сертификату

Key Vault управляет доступом для сертификатов. Хранилище ключей, содержащее эти сертификаты, обеспечивает управление доступом. Политика управления доступом для сертификатов отличается от политик управления доступом для ключей и секретов в одном хранилище ключей.

Пользователи могут создать одно или несколько хранилищ для хранения сертификатов для поддержания соответствующего сценария сегментации и управления сертификатами. Дополнительные сведения см. в разделе "Управление доступом к сертификату".

Варианты использования сертификатов

Безопасный обмен данными и проверка подлинности

Сертификаты TLS могут помочь зашифровать обмен данными через Интернет и установить удостоверение веб-сайтов. Это шифрование делает точку входа и режим взаимодействия более безопасным. Кроме того, сертификат, подписанный публичным УЦ, может помочь убедиться, что сущности, которым принадлежат сертификаты, являются действительными.

Например, ниже приведены некоторые варианты использования сертификатов для защиты обмена данными и включения проверки подлинности:

• Веб-сайты интрасети и Интернета. Защита доступа к сайту интрасети и обеспечение зашифрованной передачи данных через Интернет с помощью сертификатов TLS.
• IoT и сетевые устройства: защита и защита устройств с помощью сертификатов для проверки подлинности и обмена данными.
• Cloud/multicloud: безопасные облачные приложения в локальной среде, между облаками или в клиенте поставщика облачных служб.

Дальнейшие шаги

• Способы создания сертификатов
• Сведения о Key Vault
• Сведения о ключах, секретах и сертификатах
• Сведения о ключах
• О секретах
• Управление ключами в Azure
• Аутентификация, запросы и ответы
• Руководство разработчика Key Vault