Zelfstudie: Automatischerotatie van certificaten configureren in Key Vault

U kunt eenvoudig digitale certificaten inrichten, beheren en implementeren met behulp van Azure Key Vault. De certificaten kunnen openbare en persoonlijke SSL-certificaten (Secure Sockets Layer)/TLS-certificaten (Transport Layer Security) zijn die zijn ondertekend door een certificeringsinstantie (CA) of een zelfondertekend certificaat. Key Vault kan certificaten ook aanvragen en vernieuwen via partnerschappen met CA's, die een robuuste oplossing bieden voor levenscyclusbeheer van certificaten.

Voor een uitgebreid begrip van concepten en voordelen van autorotatie voor verschillende soorten assets in Azure Key Vault, zie Autorotation in Azure Key Vault.

In deze handleiding werkt u de geldigheidsperiode, de frequentie van automatische rotatie en de CA-kenmerken van een certificaat bij.

Voordat u begint, lees Basisconcepten van Key Vault.

Als u nog geen abonnement op Azure hebt, maak dan een gratis account aan voordat u begint.

Aanmelden bij Azure

Meld u aan bij het Azure-portaal.

Een kluis maken

Maak een sleutelkluis met behulp van een van de volgende drie methoden:

• Maak een sleutelkluis aan met behulp van de Azure-portal
• Maak een sleutelkluis aan met behulp van de Azure CLI
• Maak een sleutelkluis aan met Azure PowerShell

Een certificaat maken in Key Vault

Maak een certificaat of importeer een certificaat in de sleutelkluis (zie Stappen voor het maken van een certificaat in Key Vault. In dit geval werkt u aan een certificaat met de naam ExampleCertificate.

Levenscycluskenmerken van certificaten bijwerken

In Azure Key Vault kunt u de levenscycluskenmerken van een certificaat bijwerken op het moment dat het certificaat is gemaakt of daarna.

Een certificaat dat in Key Vault is gemaakt, kan het volgende zijn:

• Een zelfondertekend certificaat.
• Een certificaat dat is gemaakt met een CA die is gekoppeld aan Key Vault.
• Een certificaat met een CA die niet is gekoppeld aan Key Vault.

De volgende CA's zijn momenteel partnerproviders met Key Vault:

• DigiCert: Key Vault biedt OV- of EV TLS/SSL-certificaten.
• GlobalSign: Key Vault biedt OV- of EV TLS/SSL-certificaten.

Key Vault autoroteert certificaten via gevestigde partnerschappen met CA's. Omdat Key Vault certificaten automatisch aanvraagt en verlengt via het partnerschap, is automatischerotatie niet van toepassing op certificaten die zijn gemaakt met CA's die niet zijn gekoppeld aan Key Vault.

Levenscycluskenmerken van certificaten bijwerken op het moment van maken

1. Op de eigenschappenpagina's van Key Vault, selecteer Certificates.

2. Selecteer Genereren/Importeren.

3. Werk in het scherm Een certificaat maken de volgende waarden bij:

   • Geldigheidsperiode: voer de waarde in (in maanden). Het maken van kortdurende certificaten is een aanbevolen beveiligingspraktijk. De geldigheidswaarde van een nieuw gemaakt certificaat is standaard 12 maanden.

   • Actietype levensduur: selecteer de actie voor automatisch opnieuw toewijzen en waarschuwen van het certificaat en werk vervolgens de levensduur van het percentage of het aantal dagen vóór de vervaldatum bij. De automatische verlenging van een certificaat is standaard ingesteld op 80 procent van de levensduur. Selecteer een van de volgende opties in de vervolgkeuzelijst.

     Automatisch verlengen op een bepaald moment	Alle contactpersonen op een bepaald moment e-mailen
     Als u deze optie selecteert, wordt automatischerotatie ingeschakeld.	Als u deze optie selecteert, wordt er niet automatisch geroteerd, maar worden alleen de contacten gewaarschuwd.

     Meer informatie over het instellen van e-mailcontactpersoon vindt u hier

4. Klik op Creëren.

Levenscycluskenmerken van een opgeslagen certificaat bijwerken

1. Selecteer de sleutelkluis.

2. Op de eigenschappenpagina's van Key Vault, selecteer Certificates.

3. Selecteer het certificaat dat u wilt bijwerken. In dit geval werkt u aan een certificaat met de naam ExampleCertificate.

4. Selecteer Uitgiftebeleid in de bovenste menubalk.

   

5. Werk in het scherm Uitgiftebeleid de volgende waarden bij:

   • Geldigheidsperiode: werk de waarde (in maanden) bij.
   • Actietype levensduur: selecteer de automatische verificatie en waarschuwingsactie van het certificaat en werk vervolgens het percentage levensduur of aantal dagen vóór de vervaldatum bij.

   

6. Selecteer Opslaan.

Certificaatkenmerken bijwerken met behulp van PowerShell

Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName 
                                   -Name $certificateName 
                                   -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]

$file = Import-CSV C:\Users\myfolder\ReadCSVUsingPowershell\File.csv ​
foreach($line in $file)​
{​
Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName -Name $certificateName -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]
}

Zie az keyvault certificate voor meer informatie over de parameters.

De hulpbronnen opschonen

Andere Key Vault-zelfstudies zijn gebaseerd op deze zelfstudie. Als u van plan bent om met deze handleidingen te werken, wilt u deze bestaande resources mogelijk laten staan. Wanneer u ze niet meer nodig hebt, verwijdert u de resourcegroep, waardoor de sleutelkluis en gerelateerde resources worden verwijderd.

Ga als volgt te werk om de resourcegroep te verwijderen met behulp van de portal:

1. Typ de naam van uw resourcegroep in het zoekvak bovenaan de portal. Selecteer de resourcegroep die in deze starthandleiding wordt gebruikt zodra deze in de zoekresultaten verschijnt.
2. Selecteer Resourcegroep verwijderen.
3. Typ de naam van de resourcegroep in het vak TYPE DE NAAM VAN DE RESOURCEGROEP: en selecteer Verwijderen.

Volgende stappen

In deze zelfstudie hebt u de levenscycluskenmerken van een certificaat bijgewerkt. Ga verder met de volgende artikelen voor meer informatie over Key Vault en hoe u deze integreert met uw toepassingen:

• Overzicht van Key Vault.
• Het maken van certificaten beheren in Azure Key Vault.
• Begrijpen van auto-rotatie in Azure Key Vault