续订 Azure Key Vault 证书

通过 Azure Key Vault,可轻松地为网络预配、管理和部署数字证书,并支持应用程序的安全通信。 若要了解证书的详细信息,请参阅关于 Azure Key Vault 证书

通过使用生存期较短的证书或增加证书轮换的频率,可以帮助防止未经授权的用户访问应用程序。

本文介绍如何续订 Azure Key Vault 证书。

获取有关证书过期的通知

若要获取有关证书生存期事件的通知,需要添加证书联系人。 证书联系人包含联系人信息以发送由证书生存期事件触发的通知。 密钥保管库中的所有证书共享联系人信息。 如果保管库中的任何证书发生事件,所有指定联系人都会收到通知。

设置证书通知的步骤

首先,将证书联系人添加到密钥保管库中。 可以使用 Azure 门户或 PowerShell cmdlet Add-AzKeyVaultCertificateContact 添加。

其次,配置希望收到证书过期通知的时间。 若要配置证书的生命周期属性,请参阅在 Key Vault 中配置证书自动轮换

如果证书的策略设置为自动续订,则在发生以下事件时发送通知:

  • 证书续订之前
  • 证书续订之后,指出是否已成功续订证书,或是否存在错误,需要手动续订证书。

如果你将证书策略设置为手动续订(仅限电子邮件),系统会在你需要续订证书时发送通知。

在 Key Vault 中,有三种类别的证书:

  • 通过集成证书颁发机构 (CA)(如 DigiCert 或 GlobalSign)创建的证书。
  • 通过非集成 CA 创建的证书。
  • 自签名证书。

续订集成 CA 证书

Azure Key Vault 处理由受信任的 Azure 证书颁发机构 DigiCert 和 GlobalSign 颁发的证书的端到端维护。 了解如何将受信任的 CA 与 Key Vault 集成。 续订证书时,会使用新的 Key Vault 标识符创建新的机密版本。

续订非集成 CA 证书

通过使用 Azure Key Vault,可导入来自任何 CA 的证书,这一优点使你能够与多个 Azure 资源集成并简化部署。 如果你担心无法跟踪证书的到期日期,或者更糟的是,你发现某个证书已过期,那么你的密钥保管库可帮助你保持最新状态。 对于非集成 CA 证书,密钥保管库允许你设置即将过期的电子邮件通知。 此类通知也可为多个用户设置。

重要

证书是受版本控制的对象。 如果当前版本即将过期,则需要创建新版本。 从概念上讲,每个新版本都是一个新证书,它由一个密钥和将该密钥与标识联系起来的 Blob 组成。 使用非合作伙伴 CA 时,密钥保管库将生成一个键/值对,并返回证书签名请求 (CSR)。

续订非集成 CA 证书:

  1. 登录到 Azure 门户,然后打开要续订的证书。
  2. 在证书窗格中,选择“新版本”。
  3. 确保在“创建证书”页面上选择了“证书创建方法”下的“生成”选项。
  4. 验证“主题”和有关证书的其他详细信息,然后选择“创建”。
  5. 现在应该会看到消息“证书创建 << 证书名称 >> 暂被挂起。请单击此处进入证书操作,以监视其进度”
  6. 选择该消息,这时应当会显示一个新窗格。 窗格应显示“正在运行”状态。 此时,密钥保管库已生成 CSR,可以使用“下载 CSR”选项下载该 CSR。
  7. 选择“下载 CSR”,将 CSR 文件下载到本地驱动器。
  8. 将 CSR 发送到所选的 CA 以对请求进行签名。
  9. 返回已签名请求,并在相同证书操作窗格中选择“合并已签名请求”。
  10. 合并后的状态将显示“已完成”,在主证书窗格上,可以点击“刷新”查看证书的新版本 。

注意

将已签名的 CSR 与你创建的相同 CSR 请求合并,这点很重要。 否则,密钥将不匹配。

有关创建新 CSR 的详细信息,请参阅在 Key Vault 中创建和合并 CSR

续订自签名证书

Azure Key Vault 还处理自签名证书的自动续订。 若要详细了解如何更改颁发策略和更新证书的生命周期属性,请参阅在 Key Vault 中配置证书自动轮换

后续步骤