通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

教程:在 Key Vault 中配置证书自动调用

可以使用 Azure Key Vault 轻松预配、管理和部署数字证书。 证书可以是由证书颁发机构(CA)或自签名证书签名的公用和专用安全套接字层(SSL)/传输层安全性(TLS)证书。 Key Vault 还可以通过与 CA 的合作关系请求和续订证书,从而为证书生命周期管理提供可靠的解决方案。

若要全面了解 Azure Key Vault 中不同资产类型的自动轮次概念和优势,请参阅 了解 Azure Key Vault 中的自动轮次

在本教程中,你将更新证书的有效期、自动轮换频率和 CA 属性。

  • 使用 Azure 门户管理证书。
  • 添加 CA 提供者帐户。
  • 更新证书的有效期。
  • 更新证书的自动轮换频率。
  • 使用 Azure PowerShell 更新证书的属性。

在开始之前,请阅读 Key Vault 的基本概念

如果没有 Azure 订阅,请在开始之前创建一个免费帐户

登录到 Azure

登录到 Azure 门户

创建保管库

使用以下三种方法之一创建密钥保管库:

在 Key Vault 中创建证书

创建证书或将证书导入密钥保管库(请参阅 在 Key Vault 中创建证书的步骤。 在本例中,你将使用名为 ExampleCertificate 的证书。

更新证书生命周期属性

在 Azure Key Vault 中,可以在创建证书时或之后更新证书的生命周期属性。

在 Key Vault 中创建的证书可以是:

  • 自签名证书。
  • 使用与 Key Vault 合作的 CA 创建的证书。
  • 通过未与 Key Vault 合作的 CA 创建的证书。

以下 CA 目前是与 Key Vault 合作的提供商:

  • DigiCert:Key Vault 提供 OV 或 EV TLS/SSL 证书。
  • GlobalSign:Key Vault 提供 OV 或 EV TLS/SSL 证书。

Key Vault 通过与 CA 建立的合作关系自动轮换证书。 由于 Key Vault 通过合作关系自动请求和续订证书,因此自动轮换功能不适用于使用未与 Key Vault 合作的 CA 创建的证书。

注释

CA 提供商的帐户管理员创建凭据,供 Key Vault 用于创建、续订及使用 TLS/SSL 证书。 证书颁发机构

在创建时更新证书生命周期属性

  1. 在 Key Vault 属性页上,选择“ 证书”。

  2. 选择生成/导入

  3. “创建证书 ”屏幕上,更新以下值:

    • 有效期:输入值(以月为单位)。 建议的安全做法是创建短期证书。 默认情况下,新创建的证书的有效性值为 12 个月。

    • 生存期操作类型:选择证书的自动续订和警报操作,然后更新“生存期到达的百分比”或“距离到期还剩的天数”。 默认情况下,证书的自动续订设置为其生存期的 80%。 从下拉菜单中选择以下选项之一。

      在给定时间自动续订 在给定时间向所有联系人发送电子邮件
      选择此选项会启用自动轮换。 选择此选项 不会 自动启动,但只会提醒联系人。

      可以 在此处了解如何设置电子邮件联系人

  4. 选择 创建

证书生命周期

更新存储证书的生命周期属性

  1. 选择密钥保管库。

  2. 在 Key Vault 属性页上,选择“ 证书”。

  3. 选择要更新的证书。 在本例中,你将使用名为 ExampleCertificate 的证书。

  4. 从顶部菜单栏中选择 颁发策略

    突出显示“颁发策略”按钮的屏幕截图。

  5. 颁发策略 屏幕上,更新以下值:

    • 有效期:更新值(以月为单位)。
    • 生命周期操作类型:选择证书的自动续订和警报操作,然后更新百分比生存期到期前的天数

    证书属性

  6. 选择“保存”

重要

更改证书的生存期操作类型会立即记录对现有证书的修改。

使用 PowerShell 更新证书属性



Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName 
                                   -Name $certificateName 
                                   -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]

小窍门

若要修改证书列表的续订策略,请输入包含File.csvVaultName,CertName ,如下例所示:
vault1,Cert1
vault2,Cert2

$file = Import-CSV C:\Users\myfolder\ReadCSVUsingPowershell\File.csv ​
foreach($line in $file)​
{​
Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName -Name $certificateName -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]
}

若要了解有关参数的详细信息,请参阅 az keyvault 证书

清理资源

其他 Key Vault 教程基于本教程进行构建。 如果打算使用这些教程,可能需要保留这些现有资源。 不再需要它们时,请删除资源组,该资源组会删除密钥保管库和相关资源。

要使用门户删除资源组,请执行以下操作:

  1. 在门户顶部的“搜索”框中输入资源组的名称。 当本快速入门中使用的资源组显示在搜索结果中时,请选择它。
  2. 选择“删除资源组”。
  3. “键入资源组名称: ”框中,键入资源组的名称,然后选择“ 删除”。

后续步骤

在本教程中,你更新了证书的生命周期属性。 若要详细了解 Key Vault 以及如何将其与应用程序集成,请继续阅读以下文章: