Заметка
Доступ к этой странице требует авторизации. Вы можете попробовать войти в систему или изменить каталог.
Доступ к этой странице требует авторизации. Вы можете попробовать сменить директорию.
С помощью Azure Key Vault можно легко подготавливать, администрировать и развертывать цифровые сертификаты для сети и поддерживать безопасный обмен данными между приложениями. Дополнительные сведения о сертификатах см. в разделе "Сведения о сертификатах Azure Key Vault".
Используя кратковременные сертификаты или увеличивая частоту их смены, можно предотвратить доступ к приложениям неавторизованными пользователями.
В этой статье описывается продление сертификатов Azure Key Vault.
Получение уведомлений об истечении срока действия сертификата
Чтобы получать уведомления о событиях, связанных с сертификатом, необходимо добавить контакт для сертификата. Контакты сертификатов содержат контактную информацию для отправки уведомлений, активируемых событиями времени существования сертификата. Информация о контактах совместно используется всеми сертификатами в хранилище ключей. Уведомление отправляется всем контактам, указанным для события, связанного с любым сертификатом в хранилище ключей.
Действия по настройке уведомлений о сертификатах
Сначала добавьте контакт сертификата в хранилище ключей. Можно добавить с помощью портала Azure или командлета PowerShell Add-AzKeyVaultCertificateContact.
Во-вторых, настройте, когда вы хотите получать уведомления об истечении срока действия сертификата. Сведения о настройке атрибутов жизненного цикла сертификата см. в разделе "Настройка автоматического создания сертификата" в Key Vault.
Если для политики сертификата задано автоматическое продление, уведомление отправляется на следующие события:
- Перед продлением сертификата.
- После продления сертификата, указав, был ли сертификат успешно продлен или произошла ошибка, требующая ручного продления сертификата.
Если для политики сертификатов настроено обновление вручную (только по электронной почте), уведомление отправляется, когда пришло время продлить сертификат.
В Key Vault существует три категории сертификатов:
- Сертификаты, созданные с помощью интегрированного центра сертификации (ЦС), например DigiCert или GlobalSign.
- Сертификаты, созданные с неинтегрированной сертификацией.
- Самоподписанные сертификаты.
Продление интегрированного сертификата Центра Сертификации
Azure Key Vault обрабатывает комплексное обслуживание сертификатов, выданных доверенными центрами сертификации Майкрософт DigiCert и GlobalSign. Узнайте, как интегрировать доверенный центр сертификации с Key Vault. При продлении сертификата создается новая версия секрета с новым идентификатором Key Vault.
Продление сертификата неинтегрированного центра сертификации
Используя Azure Key Vault, вы можете импортировать сертификаты из любого ЦС, преимущество, которое позволяет интегрироваться с несколькими ресурсами Azure и упростить развертывание. Если вы беспокоитесь о том, что вы перестанете отслеживать сроки действия сертификатов или, что хуже, обнаружили, что срок действия сертификата уже истек, хранилище ключей может помочь вам оставаться в курсе. Для сертификатов неинтегрированных центров сертификации хранилище ключей позволяет настроить уведомления по электронной почте о приближении истечения срока действия. Такие уведомления можно также задать для нескольких пользователей.
Это важно
Сертификат — это объект с версиями. Если истек срок действия текущей версии, необходимо создать новую версию. Концептуально каждая новая версия — это новый сертификат, состоящий из ключа и блоба, который связывает этот ключ с идентификатором. При использовании непартнерного ЦС хранилище ключей создает пару "ключ-значение" и возвращает запрос на подпись сертификата (CSR).
Чтобы обновить неинтегрированный сертификат ЦС, выполните приведенные действия.
- Войдите на портал Azure и откройте сертификат, который требуется продлить.
- В области сертификата выберите Новая версия.
- На странице "Создание сертификата" убедитесь, что параметр "Создать " выбран в разделе "Метод создания сертификата".
- Проверьте поле Субъект и другие сведения о сертификате и нажмите Создать.
- Теперь вы должны увидеть сообщение В настоящее время создание сертификата << с названием >> ожидается. Щелкните здесь, чтобы перейти к операции сертификата и следить за ходом выполнения
- Щелкните сообщение, после чего откроется новая область. В области должно быть указано состояние "Выполняется". На этом этапе Key Vault создал CSR, который можно скачать с помощью параметра Download CSR .
- Выберите Скачать CSR, чтобы скачать CSR-файл на локальный диск.
- Отправьте CSR в выбранный центр сертификации, чтобы подписать запрос.
- Перенесите подписанный запрос и выберите Объединить подписанный запрос в той же области операций с сертификатом.
- После слияния будет указано состояние Завершено, и в главной области сертификата можно нажать Обновить, чтобы увидеть новую версию сертификата.
Замечание
Важно объединить подписанный CSR с тем же запросом CSR, который вы создали. В противном случае ключ не будет соответствовать.
Дополнительные сведения о создании csR см. в разделе "Создание и слияние CSR" в Key Vault.
Продление самоподписанного сертификата
Azure Key Vault также обрабатывает автоматическое обновление самозаверяемых сертификатов. Дополнительные сведения об изменении политики выдачи и обновлении атрибутов жизненного цикла сертификата см. в разделе "Настройка автоматического создания сертификата" в Key Vault.