Руководство по настройке автозапуска сертификатов в Key Vault

Вы можете легко подготавливать, управлять и развертывать цифровые сертификаты с помощью Azure Key Vault. Сертификаты могут быть общедоступными и частными сертификатами SSL/TLS,подписанными центром сертификации (ЦС) или самозаверяемым сертификатом. Key Vault также может запрашивать и обновлять сертификаты через партнерские отношения с центрами сертификации, предоставляя надежное решение для управления жизненным циклом сертификатов.

Для всестороннего понимания концепций и преимуществ автоповорота в различных типах ресурсов в Azure Key Vault см. статью Общие сведения об автоповороте в Azure Key Vault.

В этом руководстве описано, как обновить срок действия сертификата, частоту автообновления и атрибуты ЦС.

Перед началом работы ознакомьтесь c основными понятиями службы Key Vault.

Если у вас нет подписки на Azure, создайте бесплатную учетную запись перед началом.

Вход в Azure

Войдите на портал Azure.

Создайте хранилище

Создайте хранилище ключей с помощью одного из следующих трех методов:

• Создание хранилища ключей с помощью портала Azure
• Создание хранилища ключей с помощью Azure CLI
• Создание хранилища ключей с помощью Azure PowerShell

Создайте сертификат в Key Vault

Создайте сертификат или импортируйте сертификат в хранилище ключей (см. инструкции по созданию сертификата в Key Vault. В этом случае вы работаете над сертификатом с именем ExampleCertificate.

Обновление атрибутов жизненного цикла сертификата

В Azure Key Vault можно обновить атрибуты жизненного цикла сертификата как во время создания сертификата, так и после этого.

Сертификат, созданный в Key Vault, может быть следующим:

• Самозаверяющий сертификат.
• Сертификат, созданный с ЦС, который сотрудничает с Key Vault.
• Сертификат с ЦС, который не связан с Key Vault.

Следующие ЦС в настоящее время являются партнерскими поставщиками с Key Vault:

• DigiCert: Key Vault предлагает сертификаты OV или EV TLS/SSL.
• GlobalSign: Key Vault предлагает сертификаты OV или EV TLS/SSL.

Key Vault автоматически обновляет сертификаты через установленные партнерства с центрами сертификации. Так как Key Vault автоматически запрашивает и продлевает сертификаты через партнерство, возможность автообновления не применяется для сертификатов, созданных с центрами сертификации, которые не сотрудничают с Key Vault.

Обновление атрибутов жизненного цикла сертификата во время создания

1. На страницах свойств Key Vault выберите сертификаты.

2. Выберите Создать/импортировать.

3. На экране создания сертификата обновите следующие значения:

   • Срок действия: введите значение (в месяцах). Создание краткосрочных сертификатов является рекомендуемой практикой безопасности. По умолчанию срок действия только что созданного сертификата составляет 12 месяцев.

   • Тип действия по времени существования: выберите автоматическое обновление и оповещение сертификата, а затем обновите процентное время существования или число дней до истечения срока действия. По умолчанию автоматическое продление сертификата устанавливается на 80 процентов от срока его действия. В раскрывающемся меню выберите один из следующих параметров.

     Автоматическое продление в определенное время	Отправьте электронное письмо всем контактам в заданное время
     При выборе этого параметра включается автоповорот.	При выборе этого параметра не будет происходить автоповорот, но будут оповещены только контакты.

     Вы можете узнать о настройке контакта электронной почты здесь

4. Выберите Создать.

Обновление атрибутов жизненного цикла хранимого сертификата

1. Выберите хранилище ключей.

2. На страницах свойств Key Vault выберите сертификаты.

3. Выберите сертификат, который требуется обновить. В этом случае вы работаете над сертификатом с именем ExampleCertificate.

4. Выберите политику выдачи в верхней строке меню.

   

5. На экране политики выдачи обновите следующие значения:

   • Срок действия: обновление значения (в месяцах).
   • Тип действия по времени существования: выберите автоматическое обновление и оповещение сертификата, а затем обновите процентное время существования или количество дней до истечения срока действия.

   

6. Выберите Сохранить.

Обновление атрибутов сертификата с помощью PowerShell

Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName 
                                   -Name $certificateName 
                                   -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]

$file = Import-CSV C:\Users\myfolder\ReadCSVUsingPowershell\File.csv ​
foreach($line in $file)​
{​
Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName -Name $certificateName -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]
}

Дополнительные сведения о параметрах см. в статье az keyvault certificate.

Очистите ресурсы

Другие учебники по Key Vault основаны на материалах из этого руководства. Если вы планируете работать с этими учебниками, вы можете оставить эти существующие ресурсы на месте. Если они больше не нужны, удалите группу ресурсов, которая удаляет хранилище ключей и связанные ресурсы.

Чтобы удалить группу ресурсов с помощью портала, выполните следующие действия.

1. В поле Поиск в верхней части портала введите имя группы ресурсов. Когда группа ресурсов, используемая в этом кратком руководстве, появится в результатах поиска, выберите ее.
2. Выберите команду Удалить группу ресурсов.
3. В поле "ТИП ИМЯ ГРУППЫ РЕСУРСОВ" введите имя группы ресурсов и нажмите кнопку "Удалить".

Дальнейшие шаги

В этом руководстве вы обновили атрибуты жизненного цикла сертификата. Дополнительные сведения о Key Vault и их интеграции с приложениями см. в следующих статьях:

• Обзор Хранилища ключей.
• Управление созданием сертификатов в Azure Key Vault.
• Общие сведения об автоматической ротации в Azure Key Vault