Renovar seus certificados do Azure Key Vault

  • Artigo

Com o Azure Key Vault, pode facilmente aprovisionar, gerir e implementar certificados digitais para a rede e permitir comunicações seguras para as aplicações. Para obter mais informações sobre certificados, consulte Sobre certificados do Azure Key Vault.

Ao utilizar certificados de curta duração ou ao aumentar a frequência da rotação de certificados, pode ajudar a impedir o acesso às aplicações por utilizadores não autorizados.

Este artigo descreve como renovar seus certificados do Azure Key Vault.

Seja notificado sobre a expiração do certificado

Para ser notificado sobre eventos de vida do certificado, você precisa adicionar contato de certificado. Os contatos de certificado contêm informações de contato para enviar notificações acionadas por eventos de tempo de vida do certificado. As informações de contatos são compartilhadas por todos os certificados no cofre de chaves. Uma notificação é enviada a todos os contatos especificados para um evento para qualquer certificado no cofre de chaves.

Etapas para definir notificações de certificado

Primeiro, adicione um contato de certificado ao seu cofre de chaves. Você pode adicionar usando o portal do Azure ou o cmdlet do PowerShell Add-AzKeyVaultCertificateContact.

Em segundo lugar, configure quando quiser ser notificado sobre a expiração do certificado. Para configurar os atributos do ciclo de vida do certificado, consulte Configurar a rotação automática do certificado no Cofre da Chave.

Se a política de um certificado estiver definida como renovação automática, uma notificação será enviada nos seguintes eventos:

  • Antes da renovação do certificado
  • Após a renovação do certificado, declarando se o certificado foi renovado com sucesso, ou se houve um erro, exigindo a renovação manual do certificado.

Quando uma política de certificado é definida para ser renovada manualmente (somente por email), uma notificação é enviada quando é hora de renovar o certificado.

No Key Vault, existem três categorias de certificados:

  • Certificados criados com uma autoridade de certificação (CA) integrada, como DigiCert ou GlobalSign.
  • Certificados criados com uma autoridade de certificação não integrada.
  • Certificados autoassinados.

Renovar um certificado de autoridade de certificação integrado

O Azure Key Vault lida com a manutenção de ponta a ponta de certificados emitidos por autoridades de certificação confiáveis da Microsoft DigiCert e GlobalSign. Saiba como integrar uma AC confiável no Key Vault. Quando um certificado é renovado, uma nova versão secreta é criada com um novo identificador do Cofre da Chave.

Renovar um Certificado de AC não integrado

Usando o Azure Key Vault, você pode importar certificados de qualquer CA, um benefício que permite integrar com vários recursos do Azure e facilitar a implantação. Se você está preocupado em perder o controle das datas de validade do seu certificado ou, pior, descobriu que um certificado já expirou, seu cofre de chaves pode ajudar a mantê-lo atualizado. Para certificados de CA não integrados, o Key Vault permite configurar notificações por e-mail de quase expiração. Estas notificações também podem ser definidas para vários utilizadores.

Importante

Um certificado é um objeto versionado. Se a versão atual estiver expirando, você precisará criar uma nova versão. Conceitualmente, cada nova versão é um novo certificado composto por uma chave e um blob que vincula essa chave a uma identidade. Quando você usa uma CA sem parceria, o cofre de chaves gera um par chave/valor e retorna uma solicitação de assinatura de certificado (CSR).

Para renovar um certificado de autoridade de certificação não integrado:

  1. Entre no portal do Azure e abra o certificado que deseja renovar.
  2. No painel de certificados, selecione Nova Versão.
  3. Na página Criar um certificado, verifique se a opção Gerar está selecionada em Método de Criação de Certificado.
  4. Verifique o Requerente e os outros detalhes do certificado e selecione Criar.
  5. Agora você deve ver a mensagem A criação do nome >> do certificado de certificado << está pendente no momento. Clique aqui para acessar sua Operação de Certificado para monitorar o progresso
  6. Selecione na mensagem e deverá ser apresentado um painel novo. O painel deverá mostrar o estado como "Em Curso". Neste momento, o Key Vault gerou um CSR que pode transferir com a opção Transferir CSR.
  7. Selecione Transferir CSR para transferir um ficheiro CSR para a sua unidade local.
  8. Envie o CSR para a autoridade de certificação à sua escolha para assinar o pedido.
  9. Recupere o pedido assinado e selecione Unir Pedido Assinado no mesmo painel da operação de certificado.
  10. Após a união, o estado aparecerá como Concluído e, no painel principal do certificado, pode premir Atualizar para ver a nova versão do certificado.

Nota

É importante mesclar o CSR assinado com a mesma solicitação de CSR que você criou. Caso contrário, a chave não corresponderá.

Para obter mais informações sobre como criar um novo CSR, consulte Criar e mesclar um CSR no Cofre de Chaves.

Renovar um certificado autoassinado

O Azure Key Vault também lida com a renovação automática de certificados autoassinados. Para saber mais sobre como alterar a política de emissão e atualizar os atributos do ciclo de vida de um certificado, consulte Configurar a rotação automática de certificados no Cofre de Chaves.

Próximos passos