Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Du kan enkelt etablera, hantera och distribuera digitala certifikat med hjälp av Azure Key Vault. Certifikaten kan vara offentliga och privata SSL-certifikat (Secure Sockets Layer)/TLS-certifikat (Transport Layer Security) som signerats av en certifikatutfärdare (CA) eller ett självsignerat certifikat. Key Vault kan också begära och förnya certifikat via partnerskap med certifikatutfärdare, vilket ger en robust lösning för livscykelhantering av certifikat.
En omfattande förståelse av begrepp och fördelar med autorotation för olika tillgångstyper i Azure Key Vault finns i Förstå autorotation i Azure Key Vault.
I den här självstudien uppdaterar du certifikatets giltighetsperiod, autorotationsfrekvens och CA-attribut.
- Hantera ett certifikat med hjälp av Azure-portalen.
- Lägg till ett CA-providerkonto.
- Uppdatera certifikatets giltighetsperiod.
- Uppdatera certifikatets frekvens för automatisk rotation.
- Uppdatera certifikatets attribut med hjälp av Azure PowerShell.
Läs grundläggande begrepp för Key Vault innan du börjar.
Om du inte har en Azure-prenumeration, skapa ett gratis konto innan du börjar.
Logga in på Azure
Logga in på Azure-portalen.
Skapa ett valv
Skapa ett nyckelvalv med någon av följande tre metoder:
- Skapa ett nyckelvalv med Hjälp av Azure-portalen
- Skapa ett nyckelvalv med Hjälp av Azure CLI
- Skapa ett nyckelvalv med Azure PowerShell
Skapa ett certifikat i Key Vault
Skapa ett certifikat eller importera ett certifikat till nyckelvalvet (se Steg för att skapa ett certifikat i Key Vault. I det här fallet arbetar du med ett certifikat med namnet ExampleCertificate.
Uppdatera certifikatets livscykelattribut
I Azure Key Vault kan du uppdatera ett certifikats livscykelattribut både när certifikatet skapas eller efter.
Ett certifikat som skapats i Key Vault kan vara:
- Ett självsignerat certifikat.
- Ett certifikat som skapats med en certifikatutfärdare som samarbetar med Key Vault.
- Ett certifikat med en certifikatutfärdare som inte är partner med Key Vault.
Följande certifikatutfärdare är för närvarande partnerleverantörer med Key Vault:
- DigiCert: Key Vault erbjuder OV- eller EV TLS/SSL-certifikat.
- GlobalSign: Key Vault erbjuder OV- eller EV TLS/SSL-certifikat.
Key Vault roterar certifikat automatiskt via etablerade partnerskap med certifikatutfärdare. Eftersom Key Vault automatiskt begär och förnyar certifikat via partnerskapet gäller inte autoroteringsfunktionen för certifikat som skapats med certifikatutfärdare som inte samarbetar med Key Vault.
Anmärkning
En kontoadministratör för en CA-provider skapar autentiseringsuppgifter som Key Vault använder för att skapa, förnya och använda TLS/SSL-certifikat.
Uppdatera certifikatets livscykelattribut när det skapas
På egenskapssidorna för Key Vault, välj Certifikat.
Välj Generera/Importera.
Uppdatera följande värden på skärmen Skapa ett certifikat :
Giltighetsperiod: Ange värdet (i månader). Att skapa kortlivade certifikat är en rekommenderad säkerhetspraxis. Som standard är giltighetsvärdet för ett nyligen skapat certifikat 12 månader.
Åtgärdstyp för livslängd: Välj certifikatets autorenewal- och aviseringsåtgärd och uppdatera sedan procentandelens livslängd eller Antal dagar innan det upphör att gälla. Vanligen är ett certifikats automatiska förnyelse inställt på 80 procent av dess livslängd. I den nedrullningsbara menyn väljer du något av följande alternativ.
Förnya automatiskt vid en viss tidpunkt Skicka e-post till alla kontakter vid en viss tidpunkt Om du väljer det här alternativet aktiveras autorotation. Om du väljer det här alternativet roteras inte automatiskt utan aviseras bara kontakterna. Du kan lära dig mer om hur du konfigurerar e-postkontakt här
Välj Skapa.
Uppdatera livscykelattribut för ett lagrat certifikat
Välj nyckelvalv.
På egenskapssidorna för Key Vault, välj Certifikat.
Välj det certifikat som du vill uppdatera. I det här fallet arbetar du med ett certifikat med namnet ExampleCertificate.
Välj Utfärdandeprincip på den översta menyraden.
Uppdatera följande värden på skärmen Utfärdandeprincip :
- Giltighetsperiod: Uppdatera värdet (i månader).
- Åtgärdstyp för livslängd: Välj certifikatets autorenewal- och aviseringsåtgärd och uppdatera sedan procentandelens livslängd eller Antal dagar innan det upphör att gälla.
Välj Spara.
Viktigt!
Om du ändrar åtgärdstypen Livslängd för ett certifikat registreras ändringar för de befintliga certifikaten omedelbart.
Uppdatera certifikatattribut med hjälp av PowerShell
Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName
-Name $certificateName
-RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]
Tips/Råd
Om du vill ändra förnyelseprincipen för en lista över certifikat anger du File.csv innehållande VaultName,CertName som i följande exempel:
vault1,Cert1
vault2,Cert2
$file = Import-CSV C:\Users\myfolder\ReadCSVUsingPowershell\File.csv
foreach($line in $file)
{
Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName -Name $certificateName -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]
}
Mer information om parametrarna finns i az keyvault certificate.
Rensa resurser
Andra självstudier om Key Vault bygger på den här självstudien. Om du planerar att arbeta med de här självstudierna kanske du vill behålla dessa redan befintliga resurser. När du inte längre behöver dem tar du bort resursgruppen, som tar bort nyckelvalvet och relaterade resurser.
Så här tar du bort resursgruppen med hjälp av portalen:
- Ange namnet på resursgruppen i sökrutan överst i portalen. När den resursgrupp som används i den här snabbstarten visas i sökresultatet väljer du den.
- Välj Ta bort resursgrupp.
- I rutan SKRIV RESURSGRUPPNAMN: skriver du namnet på resursgruppen och väljer sedan Ta bort.
Nästa steg
I den här handledningen har du uppdaterat ett certifikats livscykelattribut. Om du vill veta mer om Key Vault och hur du integrerar det med dina program fortsätter du till följande artiklar: