Guida: Configurare la rotazione automatica dei certificati in Key Vault

Azure Key Vault consente di effettuare il provisioning, gestire e distribuire i certificati digitali. I certificati possono essere certificati TLS/SSL pubblici o privati firmati da un'autorità di certificazione (CA) o autofirmato. Key Vault può anche richiedere e rinnovare i certificati tramite partnership con autorità di certificazione, che offre una soluzione completa di gestione del ciclo di vita dei certificati.

Per una panoramica dell'autorotazione in diversi tipi di asset in Azure Key Vault, vedere Informazioni sull'autorotazione in Azure Key Vault.

In questa esercitazione si aggiorna il periodo di validità di un certificato, la frequenza di autorotazione e gli attributi della CA.

  • Gestire un certificato usando il portale di Azure.
  • Aggiungere un account del provider della CA.
  • Aggiornare il periodo di validità del certificato.
  • Aggiornare la frequenza di rotazione automatica del certificato.
  • Aggiornare gli attributi del certificato usando Azure PowerShell.

Prima di iniziare, leggere Key Vault concetti di base.

Se non si ha una sottoscrizione Azure, creare un account free prima di iniziare.

Accedere a Azure

Accedere al portale Azure.

Creare un insieme di credenziali

Creare un'istanza di Key Vault usando uno dei tre metodi seguenti:

Creare un certificato in Key Vault

Creare un certificato o importare un certificato nella key vault (vedere Passaggi per creare un certificato in Key Vault). Questa esercitazione usa un certificato denominato ExampleCertificate.

Aggiornare gli attributi del ciclo di vita del certificato

In Azure Key Vault è possibile aggiornare gli attributi del ciclo di vita di un certificato al momento della creazione o successivamente.

Un certificato creato in Key Vault può essere:

  • Un certificato autofirmato.
  • Un certificato creato con una CA associata a Key Vault.
  • Certificato creato con una CA che non è partner di Key Vault.

Key Vault attualmente include le seguenti autorità di certificazione (CA) partner:

  • DigiCert: Key Vault offre certificati OV o EV TLS/SSL.
  • GlobalSign: Key Vault offre certificati OV o EV TLS/SSL.

Key Vault ruota automaticamente i certificati attraverso le partnership con le autorità di certificazione. Poiché Key Vault richiede e rinnova automaticamente i certificati nell'ambito della partnership, l'autorotazione non si applica ai certificati creati con CA non partner.

Annotazioni

Un amministratore dell'account per un provider ca crea le credenziali che Key Vault usa per creare, rinnovare e usare certificati TLS/SSL. Autorità di certificazione

Aggiornare gli attributi del ciclo di vita del certificato al momento della creazione

  1. Nelle pagine delle proprietà Key Vault selezionare Certificates.

  2. Selezionare Genera/Importa.

  3. Nella schermata Crea un certificato aggiornare i valori seguenti:

    • Periodo di validità: immettere il valore in mesi. I certificati di breve durata sono una procedura consigliata per la sicurezza. Per impostazione predefinita, un certificato appena creato ha un periodo di validità di 12 mesi.

    • Tipo di azione per la durata di validità: seleziona l'azione di rinnovo automatico e avviso del certificato, quindi aggiorna la percentuale della durata di validità o il numero di giorni prima della scadenza. Per impostazione predefinita, il rinnovo automatico è impostato all'80% della durata del certificato. Dal menu a discesa selezionare una delle opzioni seguenti.

      Rinnovo automatico in un determinato momento Invia un messaggio di posta elettronica a tutti i contatti in un determinato momento
      Attiva l'autorotazione. Non esegue l'autorotazione; avvisa solo i contatti.

      Per altre informazioni, vedere Ricevere una notifica sulla scadenza del certificato.

  4. Fare clic su Crea.

Ciclo di vita del certificato

Aggiornare gli attributi del ciclo di vita di un certificato archiviato

  1. Selezionare l'insieme di credenziali delle chiavi.

  2. Nelle pagine delle proprietà Key Vault selezionare Certificates.

  3. Selezionare il certificato da aggiornare. Questa esercitazione usa un certificato denominato ExampleCertificate.

  4. Nella barra dei menu in alto selezionare Criteri di rilascio.

    Screenshot con il pulsante Criterio di rilascio evidenziato.

  5. Nella schermata Criteri di rilascio aggiornare i valori seguenti:

    • Periodo di validità: aggiornare il valore in mesi.
    • Tipo di azione per la durata: selezionare l'azione di rinnovo automatico e di avviso del certificato, quindi aggiornare percentuale della durata o il numero di giorni prima della scadenza.

    Proprietà del certificato

  6. Seleziona Salva.

Importante

La modifica del tipo di azione per la durata per un certificato si applica immediatamente al certificato esistente.

Aggiornare gli attributi del certificato tramite PowerShell

Set-AzKeyVaultCertificatePolicy -VaultName $vaultName `
                                -Name $certificateName `
                                -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]

Suggerimento

Per modificare i criteri di rinnovo per un elenco di certificati, immettere File.csv contenente VaultName,CertName come nell'esempio seguente:
vault1,Cert1
vault2,Cert2

$file = Import-CSV C:\Users\myfolder\ReadCSVUsingPowershell\File.csv ​
foreach($line in $file)​
{​
Set-AzKeyVaultCertificatePolicy -VaultName $vaultName -Name $certificateName -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]
}

Per ulteriori informazioni sui parametri, vedere az keyvault certificate.

Pulire le risorse

Altre esercitazioni Key Vault si basano su questa. Se si prevede di usarli, lasciare le risorse disponibili. Quando non sono più necessari, eliminare il gruppo di risorse. L'eliminazione del gruppo di risorse comporta l'eliminazione del Key Vault e delle risorse associate.

Per eliminare il gruppo di risorse nel portale:

  1. Immettere il nome del gruppo di risorse nella casella Cerca nella parte superiore del portale e selezionarlo nei risultati.
  2. Selezionare Elimina gruppo di risorse.
  3. Nella casella DIGITARE IL NOME DEL GRUPPO DI RISORSE immettere il nome del gruppo di risorse e quindi selezionare Elimina.

Passaggi successivi

In questa esercitazione sono stati aggiornati gli attributi del ciclo di vita di un certificato. Per altre informazioni su Key Vault e su come integrarlo con le applicazioni, vedere: