你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
通过 Azure Key Vault,可轻松地为网络预配、管理和部署数字证书,并支持应用程序的安全通信。 有关证书的详细信息,请参阅 “关于 Azure Key Vault 证书”。
通过使用生存期较短的证书或增加证书轮换的频率,可以帮助防止未经授权的用户访问应用程序。
本文讨论如何续订 Azure Key Vault 证书。
获取有关证书过期的通知
若要获取有关证书生命周期事件的通知,需要添加证书联系人。 证书联系人包含联系人信息以发送由证书生存期事件触发的通知。 密钥保管库中的所有证书共享联系人信息。 如果密钥保管库中的任何证书发生事件,将向所有指定联系人发送通知。
设置证书通知的步骤
首先,将证书联系人添加到密钥保管库。 可以使用 Azure 门户或 PowerShell cmdlet Add-AzKeyVaultCertificateContact 来添加。
其次,配置何时收到有关证书过期的通知。 若要配置证书的生命周期属性,请参阅 在 Key Vault 中配置证书自动启动。
如果证书的策略设置为自动续订,则会针对以下事件发送通知:
- 证书续订之前
- 证书续订后,指出证书是否已成功续订,或者是否存在错误,需要手动续订证书。
当证书策略设置为手动续订(仅电子邮件)时,将在续订证书时发送通知。
在 Key Vault 中,有三类证书:
- 使用集成证书颁发机构(CA)创建的证书,例如 DigiCert 或 GlobalSign。
- 使用非集成 CA 创建的证书。
- 自签名证书。
续订集成 CA 证书
Azure Key Vault 处理由受信任的Microsoft证书颁发机构 DigiCert 和 GlobalSign 颁发的证书的端到端维护。 了解如何将受信任的 CA 与 Key Vault 集成。 续订证书时,会使用新的 Key Vault 标识符创建新的机密版本。
续订非集成 CA 证书
通过使用 Azure Key Vault,可以从任何 CA 导入证书,这一优势使你可以与多个 Azure 资源集成并简化部署。 如果担心失去证书到期日期的跟踪,或者更糟的是,你发现证书已过期,密钥保管库可帮助保持最新状态。 对于非集成 CA 证书,密钥保管库允许你设置即将过期的电子邮件通知。 此类通知也可为多个用户设置。
重要
证书是一个带有版本的对象。 如果当前版本即将过期,则需要创建新版本。 从概念上讲,每个新版本都是一个新的证书,该证书由一个密钥和一个 Blob 组成,该密钥与标识关联。 使用非参与 CA 时,密钥保管库将生成密钥/值对并返回证书签名请求(CSR)。
若要续订非集成 CA 证书,请执行以下作:
- Azure 门户
- Azure CLI
- Azure PowerShell
- 登录到 Azure 门户,然后打开要续订的证书。
- 在证书窗格中,选择“新版本”。
- 在“创建证书”页上,确保在“证书创建方法”下选择了“生成”选项。
- 验证“主题”和有关证书的其他详细信息,然后选择“创建”。
- 你现在应该会看到消息证书<<证书名称>>的创建目前处于待处理状态。单击此处进入“证书操作”以监视进度
- 选择该消息,这时应当会显示一个新窗格。 窗格应显示“正在运行”状态。 此时,Key Vault 生成了可以使用 “下载 CSR ”选项下载的 CSR。
- 选择“下载 CSR”,将 CSR 文件下载到本地驱动器。
- 将 CSR 发送到所选的 CA 以对请求进行签名。
- 返回已签名请求,并在相同证书操作窗格中选择“合并已签名请求”。
- 合并后的状态将显示“已完成”,在主证书窗格上,可以点击“刷新”查看证书的新版本 。
注释
将已签名的 CSR 与你创建的相同 CSR 请求合并,这点很重要。 否则,密钥不匹配。
有关创建新的 CSR 的详细信息,请参阅 在 Key Vault 中创建和合并 CSR。
续订自签名证书
Azure Key Vault 还处理自签名证书的自动重新更新。 若要详细了解如何更改颁发策略和更新证书的生命周期属性,请参阅 在 Key Vault 中配置证书自动轮换。