Dela via

Förnya dina Azure Key Vault-certifikat

  • Artikel

Med Azure Key Vault kan du enkelt etablera, hantera och distribuera digitala certifikat för nätverket och aktivera säker kommunikation för dina program. Mer information om certifikat finns i Om Azure Key Vault-certifikat.

Genom att använda certifikat med kort livslängd eller öka frekvensen för certifikatrotation kan du förhindra att obehöriga användare får åtkomst till dina program.

I den här artikeln beskrivs hur du förnyar dina Azure Key Vault-certifikat.

Få ett meddelande om att certifikatet upphör att gälla

Om du vill få ett meddelande om händelser i certifikatets livslängd måste du lägga till certifikatkontakten. Certifikatkontakter innehåller kontaktinformation för att skicka meddelanden som utlöses av händelser med certifikatets livslängd. Kontaktinformationen delas av alla certifikat i nyckelvalvet. Ett meddelande skickas till alla angivna kontakter för en händelse för ett certifikat i nyckelvalvet.

Steg för att ange certifikatmeddelanden

Lägg först till en certifikatkontakt i ditt nyckelvalv. Du kan lägga till med hjälp av Azure-portalen eller PowerShell-cmdleten Add-AzKeyVaultCertificateContact.

För det andra konfigurerar du när du vill få ett meddelande om att certifikatet upphör att gälla. Information om hur du konfigurerar livscykelattributen för certifikatet finns i Konfigurera automatisk rotering av certifikat i Key Vault.

Om ett certifikats princip är inställd på automatisk förnyelse skickas ett meddelande om följande händelser:

  • Före certifikatförnyelse
  • Efter certifikatförnyelsen anger du om certifikatet har förnyats eller om det uppstod ett fel som kräver manuell förnyelse av certifikatet.

När en certifikatprincip är inställd på att förnyas manuellt (endast e-post) skickas ett meddelande när det är dags att förnya certifikatet.

I Key Vault finns det tre kategorier av certifikat:

  • Certifikat som skapas med en integrerad certifikatutfärdare (CA), till exempel DigiCert eller GlobalSign.
  • Certifikat som skapas med en icke-inintegrerad certifikatutfärdare.
  • Självsignerade certifikat.

Förnya ett integrerat CA-certifikat

Azure Key Vault hanterar underhåll från slutpunkt till slutpunkt av certifikat som utfärdas av betrodda Microsoft-certifikatutfärdare DigiCert och GlobalSign. Ta reda på hur du integrerar en betrodd CA med Key Vault. När ett certifikat förnyas skapas en ny hemlig version med en ny Key Vault-identifierare.

Förnya ett icke-integrerat CA-certifikat

Genom att använda Azure Key Vault kan du importera certifikat från valfri certifikatutfärdare, en fördel som gör att du kan integrera med flera Azure-resurser och göra distributionen enkel. Om du är orolig för att förlora reda på certifikatets förfallodatum eller om du har upptäckt att ett certifikat redan har upphört att gälla kan ditt nyckelvalv hjälpa dig att hålla dig uppdaterad. För icke-integrerade CA-certifikat kan du med nyckelvalvet konfigurera e-postaviseringar om att förfallodatumet närmar sig. Sådana aviseringar kan också ställas in för flera användare.

Viktigt!

Ett certifikat är ett versionsobjekt. Om den aktuella versionen upphör att gälla måste du skapa en ny version. Konceptuellt är varje ny version ett nytt certifikat som består av en nyckel och en blob som kopplar den nyckeln till en identitet. När du använder en certifikatutfärdare som inte är partner genererar nyckelvalvet ett nyckel/värde-par och returnerar en certifikatsigneringsbegäran (CSR).

Så här förnyar du ett certifikat för icke-inintegrerad certifikatutfärdare:

  1. Logga in på Azure-portalen och öppna sedan det certifikat som du vill förnya.
  2. I certifikatfönstret väljer du Ny version.
  3. På sidan Skapa ett certifikat kontrollerar du att alternativet Generera är markerat under Metoden för att skapa certifikat.
  4. Verifiera Ämne och annan information om certifikatet och välj sedan Skapa.
  5. Nu bör du se meddelandet Skapande av certifikatets << namn >> väntar just nu. Klicka här för att gå till dess certifikatåtgärd för att övervaka förloppet
  6. Välj meddelandet, så visas ett nytt fönster. Fönstret bör visa statusen ”Pågår”. Nu har Key Vault genererat en CSR som du kan ladda ned med alternativet Ladda ned CSR.
  7. Välj Ladda ned CSR för att ladda ned en CSR-fil till din lokala enhet.
  8. Skicka CSR:en till ditt val av certifikatutfärdare för att signera begäran.
  9. Ta tillbaka den signerade begäran och välj Sammanfoga signerad begäran i samma åtgärdsfönster för certifikat.
  10. Statusen efter sammanslagningen visas som Slutförd och i huvudcertifikatfönstret kan du trycka på Uppdatera för att se den nya versionen av certifikatet.

Kommentar

Det är viktigt att slå samman den signerade CSR med samma CSR-begäran som du skapade. Annars matchar inte nyckeln.

Mer information om hur du skapar en ny CSR finns i Skapa och sammanfoga en CSR i Key Vault.

Förnya ett självsignerat certifikat

Azure Key Vault hanterar även autorenewal av självsignerade certifikat. Mer information om hur du ändrar utfärdandeprincipen och uppdaterar ett certifikats livscykelattribut finns i Konfigurera autorotation av certifikat i Key Vault.

Nästa steg