Tutorial: Configurar a rotação automática de certificados no Cofre da Chave

Você pode provisionar, gerenciar e implantar facilmente certificados digitais usando o Cofre de Chaves do Azure. Os certificados podem ser certificados SSL (Secure Sockets Layer)/TLS (Transport Layer Security) públicos e privados assinados por uma autoridade de certificação (CA) ou um certificado autoassinado. O Key Vault também pode solicitar e renovar certificados por meio de parcerias com CAs, fornecendo uma solução robusta para o gerenciamento do ciclo de vida dos certificados. Neste tutorial, você atualizará o período de validade de um certificado, a frequência de rotação automática e os atributos da autoridade de certificação.

Este tutorial mostra-lhe como:

  • Gerencie um certificado usando o portal do Azure.
  • Adicione uma conta de provedor de autoridade de certificação.
  • Atualize o período de validade do certificado.
  • Atualize a frequência de rotação automática do certificado.
  • Atualize os atributos do certificado usando o Azure PowerShell.

Antes de começar, leia os conceitos básicos do Key Vault.

Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Iniciar sessão no Azure

Inicie sessão no portal do Azure.

Criar um cofre

Crie um cofre de chaves usando um destes três métodos:

Criar um certificado no Cofre da Chave

Crie um certificado ou importe um certificado para o cofre de chaves (consulte Etapas para criar um certificado no Cofre de Chaves. Nesse caso, você trabalhará em um certificado chamado ExampleCertificate.

Atualizar atributos do ciclo de vida do certificado

No Cofre da Chave do Azure, você pode atualizar os atributos do ciclo de vida de um certificado no momento da criação do certificado ou depois.

Um certificado criado no Cofre da Chave pode ser:

  • Um certificado autoassinado.
  • Um certificado criado com uma autoridade de certificação parceira do Key Vault.
  • Um certificado com uma autoridade de certificação que não tem parceria com o Cofre de Chaves.

Atualmente, as seguintes autoridades de certificação são provedores parceiros do Key Vault:

  • DigiCert: Key Vault oferece certificados OV ou EV TLS / SSL.
  • GlobalSign: Key Vault oferece certificados OV ou EV TLS/SSL.

O Key Vault gira automaticamente os certificados por meio de parcerias estabelecidas com autoridades de certificação. Como o Key Vault solicita e renova automaticamente certificados por meio da parceria, o recurso de rotação automática não é aplicável a certificados criados com CAs que não são parceiras do Key Vault.

Nota

Um administrador de conta para um provedor de CA cria credenciais que o Cofre de Chaves usa para criar, renovar e usar certificados TLS/SSL. Autoridade de certificação

Atualizar atributos do ciclo de vida do certificado no momento da criação

  1. Nas páginas de propriedades do Cofre da Chave, selecione Certificados.

  2. Selecione Gerar/Importar.

  3. Na tela Criar um certificado, atualize os seguintes valores:

    • Período de validade: Insira o valor (em meses). A criação de certificados de curta duração é uma prática de segurança recomendada. Por padrão, o valor de validade de um certificado recém-criado é de 12 meses.

    • Tipo de ação vitalícia: selecione a ação de alerta e renovação automática do certificado e, em seguida, atualize a percentagem de tempo de vida ou o número de dias antes de expirar. Por padrão, a renovação automática de um certificado é definida em 80% de sua vida útil. No menu suspenso, selecione uma das seguintes opções.

      Renovar automaticamente em um determinado momento Envie todos os contatos por e-mail em um determinado momento
      Selecionar esta opção ativará a rotação automática. Selecionar esta opção não girará automaticamente, mas apenas alertará os contatos.

      Você pode aprender sobre como configurar o contato de e-mail aqui

  4. Selecione Criar.

Ciclo de vida do certificado

Atualizar atributos do ciclo de vida de um certificado armazenado

  1. Selecione o cofre de chaves.

  2. Nas páginas de propriedades do Cofre da Chave, selecione Certificados.

  3. Selecione o certificado que deseja atualizar. Nesse caso, você trabalhará em um certificado chamado ExampleCertificate.

  4. Selecione Política de emissão na barra de menu superior.

    Captura de ecrã que realça o botão Política de Emissão.

  5. Na tela Política de Emissão, atualize os seguintes valores:

    • Prazo de validade: Atualize o valor (em meses).
    • Tipo de ação vitalícia: selecione a ação de alerta e renovação automática do certificado e, em seguida, atualize a percentagem de tempo de vida ou o número de dias antes de expirar.

    Propriedades do certificado

  6. Selecione Guardar.

Importante

Alterar o tipo de ação vitalício de um certificado registrará modificações para os certificados existentes imediatamente.

Atualizar atributos de certificado usando o PowerShell



Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName 
                                   -Name $certificateName 
                                   -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]

Gorjeta

Para modificar a política de renovação de uma lista de certificados, insira File.csv VaultName,CertName contendo como no exemplo a seguir:
vault1,Cert1
vault2,Cert2

$file = Import-CSV C:\Users\myfolder\ReadCSVUsingPowershell\File.csv ​
foreach($line in $file)​
{​
Set-AzureKeyVaultCertificatePolicy -VaultName $vaultName -Name $certificateName -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]
}

Para saber mais sobre os parâmetros, consulte az keyvault certificate.

Clean up resources (Limpar recursos)

Outros tutoriais do Key Vault se baseiam neste tutorial. Se você planeja trabalhar com esses tutoriais, convém deixar esses recursos existentes no lugar. Quando não precisar mais deles, exclua o grupo de recursos, que exclui o cofre de chaves e os recursos relacionados.

Para excluir o grupo de recursos usando o portal:

  1. Digite o nome do seu grupo de recursos na caixa Pesquisar na parte superior do portal. Quando o grupo de recursos usado neste início rápido aparecer nos resultados da pesquisa, selecione-o.
  2. Selecione Eliminar grupo de recursos.
  3. Na caixa DIGITE O NOME DO GRUPO DE RECURSOS:, digite o nome do grupo de recursos e selecione Excluir.

Próximos passos

Neste tutorial, você atualizou os atributos do ciclo de vida de um certificado. Para saber mais sobre o Key Vault e como integrá-lo com seus aplicativos, continue nos seguintes artigos: