Tutorial: Konfigurieren der automatischen Zertifikatrotation in Key Vault

Mit Azure Key Vault können Sie mühelos digitale Zertifikate bereitstellen und verwalten. Bei den Zertifikaten kann es sich um öffentliche und private SSL-/TLS-Zertifikate (Secure Sockets Layer/Transport Layer Security), die von einer Zertifizierungsstelle signiert wurden, oder um ein selbst signiertes Zertifikat handeln. Darüber hinaus kann Key Vault über Partnerschaften mit Zertifizierungsstellen Zertifikate anfordern und verlängern und bietet somit eine zuverlässige Lösung für die Verwaltung des Zertifikatlebenszyklus. In diesem Tutorial aktualisieren Sie die Gültigkeitsdauer, die Häufigkeit der automatischen Rotation und die Zertifizierungsstellenattribute eines Zertifikats.

Das Tutorial veranschaulicht folgende Vorgehensweisen:

  • Verwalten eines Zertifikats über das Azure-Portal
  • Hinzufügen des Kontos eines Zertifizierungsstellenanbieters
  • Aktualisieren der Gültigkeitsdauer eines Zertifikats
  • Aktualisieren der Frequenz der automatischen Zertifikatrotation
  • Aktualisieren der Zertifikatattribute mithilfe von Azure PowerShell

Machen Sie sich zunächst mit den grundlegenden Konzepten von Key Vault vertraut.

Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

Anmelden bei Azure

Melden Sie sich beim Azure-Portal an.

Erstellen eines Tresors

Erstellen Sie einen Schlüsseltresor mit einer der folgenden drei Methoden:

Erstellen eines Zertifikats in Key Vault

Erstellen Sie ein Zertifikat, oder importieren Sie ein Zertifikat in den Schlüsseltresor. (Die Schritte zum Erstellen eines Zertifikats in Key Vault finden Sie hier.) In diesem Beispiel wird das Zertifikat ExampleCertificate verwendet.

Aktualisieren der Attribute des Zertifikatlebenszyklus

In Azure Key Vault können Sie die Attribute des Zertifikatlebenszyklus sowohl bei als auch nach der Erstellung des Zertifikats aktualisieren.

Bei einem in Key Vault erstellten Zertifikat kann es sich um Folgendes handeln:

  • Ein selbstsigniertes Zertifikat.
  • Ein Zertifikat, das mit einer Zertifizierungsstelle (Certificate Authority, CA) erstellt wurde, die über eine Key Vault-Partnerschaft verfügt
  • Ein Zertifikat mit einer Zertifizierungsstelle, die nicht über eine Key Vault-Partnerschaft verfügt

Die folgenden Zertifizierungsstellen sind derzeit Key Vault-Partneranbieter:

  • DigiCert: Key Vault bietet OV- oder EV-TLS-/SSL-Zertifikate.
  • GlobalSign: Key Vault bietet OV- oder EV-TLS-/SSL-Zertifikate.

Zertifikate werden von Key Vault durch bewährte Partnerschaften mit Zertifizierungsstellen automatisch rotiert. Da Key Vault Zertifikate über die Partnerschaft automatisch anfordert und verlängert, gilt die Funktion für die automatische Rotation nicht für Zertifikate, die mit Zertifizierungsstellen erstellt wurden, für die keine Partnerschaft mit Key Vault besteht.

Hinweis

Ein Kontoadministrator für einen Zertifizierungsstellenanbieter erstellt Anmeldeinformationen, die von Key Vault verwendet werden, um TSL-/SSL-Zertifikate zu erstellen, zu verlängern und zu verwenden. Zertifizierungsstelle

Aktualisieren der Attribute des Zertifikatlebenszyklus zum Zeitpunkt der Erstellung

  1. Wählen Sie auf den Key Vault-Eigenschaftenseiten die Option Zertifikate aus.

  2. Wählen Sie die Option Generieren/Importieren aus.

  3. Aktualisieren Sie auf dem Bildschirm Zertifikat erstellen die folgenden Werte:

    • Gültigkeitsdauer: Geben Sie den Wert ein (in Monaten). Die Erstellung kurzlebiger Zertifikate ist eine empfohlene Sicherheitsmethode. Der Standardwert für die Gültigkeitsdauer eines neu erstellten Zertifikats beträgt zwölf Monate.

    • Lebensdauer-Aktionstyp: Wählen Sie die Aktion für die automatische Verlängerung des Zertifikats bzw. für die Benachrichtigung aus, und aktualisieren Sie dann den Wert für Prozentsatz der Lebensdauer oder Anzahl von Tagen vor Ablauf. Die automatische Verlängerung eines Zertifikats ist standardmäßig auf 80 Prozent der Lebensdauer festgelegt. Wählen Sie eine der folgenden Optionen aus der Dropdownliste aus:

      Bei Erreichen des vorgegebenen Prozentsatzes der Lebensdauer automatisch erneuern Bei Erreichen des vorgegebenen Prozentsatzes der Lebensdauer eine E-Mail an alle Kontakte senden
      Wenn Sie diese Option auswählen, wird die automatische Rotation aktiviert. Wenn Sie diese Option auswählen, werden nur die Kontakte benachrichtigt. Die automatische Rotation wird dadurch nicht aktiviert.

      Informationen zum Einrichten eines E-Mail-Kontakts finden Sie hier.

  4. Klicken Sie auf Erstellen.

Zertifikatlebenszyklus

Aktualisieren der Lebenszyklusattribute eines gespeicherten Zertifikats

  1. Wählen Sie den Schlüsseltresor aus.

  2. Wählen Sie auf den Key Vault-Eigenschaftenseiten die Option Zertifikate aus.

  3. Wählen Sie das Zertifikat aus, das Sie aktualisieren möchten. In diesem Beispiel wird das Zertifikat ExampleCertificate verwendet.

  4. Wählen Sie auf der oberen Menüleiste die Option Ausstellungsrichtlinie aus.

    Screenshot: Hervorgehobene Schaltfläche „Ausstellungsrichtlinie“

  5. Aktualisieren Sie im Bildschirm Ausstellungsrichtlinie die folgenden Werte:

    • Gültigkeitsdauer: Aktualisieren Sie den Wert (in Monaten).
    • Lebensdauer-Aktionstyp: Wählen Sie die Aktion für die automatische Verlängerung des Zertifikats bzw. für die Benachrichtigung aus, und aktualisieren Sie dann den Wert für Prozentsatz der Lebensdauer oder Anzahl von Tagen vor Ablauf.

    Zertifikateigenschaften

  6. Wählen Sie Speichern aus.

Wichtig

Wenn Sie den Lebensdauer-Aktionstyp eines Zertifikats ändern, werden Änderungen für die vorhandenen Zertifikate umgehend erfasst.

Aktualisieren der Zertifikatattribute mithilfe von PowerShell



Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName 
                                   -Name $certificateName 
                                   -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]

Tipp

Wenn Sie die Verlängerungsrichtlinie für eine Liste von Zertifikaten ändern möchten, verwenden Sie File.csv mit VaultName,CertName als Eingabe wie im folgenden Beispiel:
vault1,Cert1
vault2,Cert2

$file = Import-CSV C:\Users\myfolder\ReadCSVUsingPowershell\File.csv ​
foreach($line in $file)​
{​
Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName -Name $certificateName -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]
}

Weitere Informationen zu den Parametern finden Sie unter az keyvault certificate.

Bereinigen von Ressourcen

Weitere Key Vault-Tutorials bauen auf diesem Tutorial auf. Wenn Sie diese Tutorials verwenden möchten, sollten Sie die vorhandenen Ressourcen behalten. Wenn Sie sie nicht mehr benötigen, löschen Sie die Ressourcengruppe. Dadurch werden der Schlüsseltresor und die dazugehörigen Ressourcen gelöscht.

So löschen Sie die Ressourcengruppe über das Portal:

  1. Geben Sie den Namen Ihrer Ressourcengruppe in das Suchfeld am oberen Rand des Portals ein. Wählen Sie in den Suchergebnissen die Ressourcengruppe aus dieser Schnellstartanleitung aus.
  2. Wählen Sie die Option Ressourcengruppe löschen.
  3. Geben Sie im Feld GEBEN SIE DEN RESSOURCENGRUPPENNAMEN EIN: den Namen der Ressourcengruppe ein, und wählen Sie anschließend Löschen aus.

Nächste Schritte

In diesem Tutorial haben Sie die Lebenszyklusattribute eines Zertifikats aktualisiert. Weitere Informationen zu Key Vault und zur Integration in Ihre Anwendungen finden Sie in den folgenden Artikeln: