Поделиться через


Учебник. Настройка автоматической смены сертификатов в Key Vault

С помощью Azure Key Vault вы можете легко подготавливать и развертывать цифровые сертификаты, а также управлять ими. Это могут быть общедоступные или частные сертификаты SSL/TLS, подписанные центром сертификации, а также самозаверяющие сертификаты. Key Vault также позволяет запрашивать и обновлять сертификаты через отношения партнерства с центрами сертификации, предоставляя надежное решение для управления жизненным циклом сертификатов. В этом руководстве вы обновите срок действия сертификата, частоту автоматического поворота и атрибуты ЦС.

В этом руководстве описаны следующие процедуры.

  • Управление сертификатом с помощью портала Azure.
  • Добавление учетной записи поставщика центра сертификации.
  • Изменение срока действия сертификата.
  • Изменение частоты автоматической смены сертификата.
  • Обновление атрибутов сертификата с помощью Azure PowerShell.

Перед началом работы ознакомьтесь c основными понятиями службы Key Vault.

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Вход в Azure

Войдите на портал Azure.

Создание хранилища

Создайте хранилище ключей с помощью одного из следующих трех методов:

Создайте сертификат в Key Vault

Создайте сертификат в хранилище ключей или импортируйте существующий (см. статью Действия по созданию сертификата в Key Vault). В нашем примере для работы используется сертификат с именем ExampleCertificate.

Изменение атрибутов жизненного цикла сертификата

В Azure Key Vault атрибуты жизненного цикла сертификата можно изменить как во время создания этого сертификата, так и позднее.

В Key Vault можно создавать следующие виды сертификатов:

  • Самозаверяющий сертификат.
  • Сертификат, созданный в центре сертификации, который является партнером Key Vault.
  • Сертификат центра сертификации, который не является партнером Key Vault.

Следующие центры сертификации в настоящее время являются партнерами для Key Vault:

  • DigiCert: Key Vault предлагает сертификаты OV или EV TLS/SSL.
  • GlobalSign: Key Vault предлагает сертификаты OV или EV TLS/SSL.

Key Vault выполняет автоматическую смену сертификатов, используя существующие партнерские отношения с центрами сертификации. Так как Key Vault автоматически запрашивает и обновляет сертификаты через партнерство, возможность автоматической смены не применяется для сертификатов, созданных с помощью ЦС, которые не сотрудничают с Key Vault.

Примечание.

Администратор учетной записи для центра сертификации создает учетные данные, которые Key Vault будет использовать для создания, обновления и применения TLS/SSL-сертификатов. Центр сертификации

Изменение атрибутов жизненного цикла сертификата во время создания

  1. На странице свойств Key Vault выберите Сертификаты.

  2. Выберите Создать/импортировать.

  3. На экране Создание сертификата измените следующие значения:

    • Период действия. Введите значение, обозначающее количество месяцев. Для повышения безопасности рекомендуется создавать сертификаты с коротким сроком действия. По умолчанию для созданного сертификата устанавливается срок действия в 12 месяцев.

    • Тип действия времени существования. Выберите для сертификата действие автоматического продления или оповещения, а затем укажите срок в процентах от времени существования или днях до истечения срока действия. По умолчанию устанавливается автоматическое продление сертификата по истечении 80 % от времени его существования. Выберите один из следующих параметров в раскрывающемся меню.

      Автоматически продлевать в указанное время Отправлять электронное письмо всем контактам в указанное время
      При выборе этого параметра включается автоматическая смена. При выборе этого параметра автоматическая смена не выполняется, а только отправляется оповещение контактным лицам.

      Дополнительные сведения о настройке адреса электронной почты можно получить здесь

  4. Нажмите кнопку создания.

Жизненный цикл сертификата

Изменение атрибутов жизненного цикла для сохраненного сертификата

  1. Выберите хранилище ключей.

  2. На странице свойств Key Vault выберите Сертификаты.

  3. Выберите сертификат, который вы хотите изменить. В нашем примере для работы используется сертификат с именем ExampleCertificate.

  4. В строке меню сверху выберите Политика выдачи.

    Снимок экрана: выделенная кнопка

  5. На экране Создание политики измените следующие значения:

    • Период действия. Измените значение, обозначающее количество месяцев.
    • Тип действия времени существования. Выберите для сертификата действие автоматического продления или оповещения, а затем укажите срок в процентах от времени существования или днях до истечения срока действия.

    Свойства сертификата

  6. Выберите Сохранить.

Внимание

Изменение типа действия времени существования для сертификата немедленно изменит это значение для существующих сертификатов.

Изменение атрибутов сертификата с помощью PowerShell



Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName 
                                   -Name $certificateName 
                                   -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]

Совет

Чтобы изменить политику продления для нескольких сертификатов сразу, предоставьте файл File.csv со значениями VaultName,CertName, как в следующем примере:
vault1,Cert1
vault2,Cert2

$file = Import-CSV C:\Users\myfolder\ReadCSVUsingPowershell\File.csv ​
foreach($line in $file)​
{​
Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName -Name $certificateName -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]
}

Дополнительные сведения об этих параметрах см. в статье о команде az keyvault certificate.

Очистка ресурсов

В других руководства по Key Vault используются базовые компоненты, созданные по инструкциям из этой статьи. Если вы планируете переходить к этим руководствам, есть смысл пока не удалять созданные ресурсы. Когда потребность в ресурсах отпадет, удалите эту группу ресурсов, что автоматически удалит хранилище ключей и все связанные ресурсы.

Чтобы удалить группу ресурсов с помощью портала, сделайте следующее:

  1. В поле Поиск в верхней части портала введите имя группы ресурсов. Когда в результатах поиска появится группа ресурсов, использованная в этом кратком руководстве, выберите ее.
  2. Выберите команду Удалить группу ресурсов.
  3. В поле Введите имя группы ресурсов: введите имя группы ресурсов и щелкните Удалить.

Следующие шаги

Из этого руководства вы узнали, как изменить атрибуты жизненного цикла сертификата. Дополнительные сведения о Key Vault и интеграции с приложениями представлены в следующих статьях.