续订 Azure Key Vault 证书
通过 Azure Key Vault,可轻松地为网络预配、管理和部署数字证书,并支持应用程序的安全通信。 若要了解证书的详细信息,请参阅关于 Azure Key Vault 证书。
通过使用生存期较短的证书或增加证书轮换的频率,可以帮助防止未经授权的用户访问应用程序。
本文介绍如何续订 Azure Key Vault 证书。
若要获取有关证书生存期事件的通知,需要添加证书联系人。 证书联系人包含联系人信息以发送由证书生存期事件触发的通知。 密钥保管库中的所有证书共享联系人信息。 如果保管库中的任何证书发生事件,所有指定联系人都会收到通知。
首先,将证书联系人添加到密钥保管库中。 可以使用 Azure 门户或 PowerShell cmdlet Add-AzKeyVaultCertificateContact 添加。
其次,配置希望收到证书过期通知的时间。 若要配置证书的生命周期属性,请参阅在 Key Vault 中配置证书自动轮换。
如果证书的策略设置为自动续订,则在发生以下事件时发送通知:
- 证书续订之前
- 证书续订之后,指出是否已成功续订证书,或是否存在错误,需要手动续订证书。
如果你将证书策略设置为手动续订(仅限电子邮件),系统会在你需要续订证书时发送通知。
在 Key Vault 中,有三种类别的证书:
- 通过集成证书颁发机构 (CA)(如 DigiCert 或 GlobalSign)创建的证书。
- 通过非集成 CA 创建的证书。
- 自签名证书。
Azure Key Vault 处理由受信任的 Microsoft 证书颁发机构 DigiCert 和 GlobalSign 颁发的证书的端到端维护。 了解如何将受信任的 CA 与 Key Vault 集成。 续订证书时,会使用新的密钥保管库标识符创建一个新的机密版本。
通过使用 Azure Key Vault,可导入来自任何 CA 的证书,这一优点使你能够与多个 Azure 资源集成并简化部署。 如果你担心无法跟踪证书的到期日期,或者更糟的是,你发现某个证书已过期,那么你的密钥保管库可帮助你保持最新状态。 对于非集成 CA 证书,密钥保管库允许你设置即将过期的电子邮件通知。 此类通知也可为多个用户设置。
重要
证书是受版本控制的对象。 如果当前版本即将过期,则需要创建新版本。 从概念上讲,每个新版本都是一个新证书,它由一个密钥和将该密钥与标识联系起来的 Blob 组成。 使用非合作伙伴 CA 时,密钥保管库将生成一个键/值对,并返回证书签名请求 (CSR)。
续订非集成 CA 证书:
- 登录到 Azure 门户,然后打开要续订的证书。
- 在证书窗格中,选择“新版本”。
- 确保在“创建证书”页面上选择了“证书创建方法”下的“生成”选项。
- 验证“主题”和有关证书的其他详细信息,然后选择“创建”。
- 现在应该会看到消息“证书创建 << 证书名称 >> 暂被挂起。请单击此处进入证书操作,以监视其进度”
- 选择该消息,这时应当会显示一个新窗格。 窗格应显示“正在运行”状态。 此时,密钥保管库已生成 CSR,可以使用“下载 CSR”选项下载该 CSR。
- 选择“下载 CSR”,将 CSR 文件下载到本地驱动器。
- 将 CSR 发送到所选的 CA 以对请求进行签名。
- 返回已签名请求,并在相同证书操作窗格中选择“合并已签名请求”。
- 合并后的状态将显示“已完成”,在主证书窗格上,可以点击“刷新”查看证书的新版本 。
备注
将已签名的 CSR 与你创建的相同 CSR 请求合并,这点很重要。 否则,密钥将不匹配。
有关创建新 CSR 的详细信息,请参阅在 Key Vault 中创建和合并 CSR。
Azure Key Vault 还处理自签名证书的自动续订。 若要详细了解如何更改颁发策略和更新证书的生命周期属性,请参阅在 Key Vault 中配置证书自动轮换。