Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
借助Azure 密钥保管库,可以轻松为网络预配、管理和部署数字证书,并为应用程序启用安全通信。 有关证书的详细信息,请参阅 About Azure 密钥保管库 证书。
通过使用生存期较短的证书或增加证书轮换的频率,可以帮助防止未经授权的用户访问应用程序。
本文讨论如何续订Azure 密钥保管库证书。
获取有关证书过期的通知
若要获取有关证书生存期事件的通知,需要添加证书联系人。 证书联系人包含联系人信息,以发送由证书生命周期事件触发的通知。 密钥保管库中的所有证书共享联系人信息。 如果密钥保管库中的任何证书发生事件,将向所有指定联系人发送通知。
设置证书通知的步骤
首先,将证书联系人添加到密钥保管库中。 可以使用 Azure 门户或 PowerShell cmdlet Add-AzKeyVaultCertificateContact 进行添加。
其次,配置希望收到证书过期通知的时间。 若要配置证书的生命周期属性,请参阅 配置 密钥保管库 中的证书自动设置。
如果证书的策略设置为自动续订,则在发生以下事件时发送通知:
- 证书续订之前
- 证书续订之后,指出是否已成功续订证书,或是否存在错误,需要手动续订证书。
如果你将证书策略设置为手动续订(仅限电子邮件),系统会在你需要续订证书时发送通知。
在密钥保管库中,有三类证书:
- 通过集成证书颁发机构 (CA)(如 DigiCert 或 GlobalSign)创建的证书。
- 通过非集成 CA 创建的证书。
- 自签名证书。
续订集成 CA 证书
Azure 密钥保管库处理由受信任的Microsoft证书颁发机构 DigiCert 和 GlobalSign 颁发的证书的端到端维护。 了解如何将受信任的 CA 与密钥保管库 集成。 续订证书时,会使用新的密钥保管库标识符创建新的机密版本。
续订非集成 CA 证书
通过使用Azure 密钥保管库,可以从任何 CA 导入证书,这一优势使你可以与多个Azure资源集成,并简化部署。 如果你担心无法跟踪证书的到期日期,或者更糟的是,你发现某个证书已过期,那么你的密钥保管库可帮助你保持最新状态。 对于非集成 CA 证书,密钥保管库允许你设置即将过期的电子邮件通知。 此类通知也可为多个用户设置。
重要
证书是受版本控制的对象。 如果当前版本即将过期,则需要创建新版本。 从概念上讲,每个新版本都是一个新证书,它由一个密钥和将该密钥与标识联系起来的 Blob 组成。 使用非合作伙伴 CA 时,密钥保管库将生成一个键/值对,并返回证书签名请求 (CSR)。
续订非集成 CA 证书:
- 登录到 Azure 门户,然后打开要续订的证书。
- 在证书窗格中,选择“新版本”。
- 确保在“创建证书”页面上选择了“证书创建方法”下的“生成”选项。
- 验证“主题”和有关证书的其他详细信息,然后选择“创建”。
- 现在应会看到消息 :创建证书
<certificate-name>当前处于挂起状态。单击此处可转到其证书操作以监视进度 - 选择该消息,这时应当会显示一个新窗格。 窗格应显示“正在运行”状态。 此时,密钥保管库 已生成 CSR,您可以使用 Download CSR 选项下载。
- 选择“下载 CSR”,将 CSR 文件下载到本地驱动器。
- 将 CSR 发送到所选的 CA 以对请求进行签名。
- 返回已签名请求,并在相同证书操作窗格中选择“合并已签名请求”。
- 合并后的状态将显示“已完成”,在主证书窗格上,可以点击“刷新”查看证书的新版本 。
注意
将已签名的 CSR 与你创建的相同 CSR 请求合并,这点很重要。 否则,密钥将不匹配。
有关创建新的 CSR 的详细信息,请参阅
续订自签名证书
Azure 密钥保管库还处理自签名证书的自动重新更新。 若要详细了解如何更改颁发策略和更新证书的生命周期属性,请参阅