Megosztás a következőn keresztül:

Információk az Azure Key Vault-tanúsítványokról

  • Cikk

Az Azure Key Vault tanúsítványtámogatása az X.509-tanúsítványok felügyeletét és a következő viselkedéseket biztosítja:

  • Lehetővé teszi a tanúsítvány tulajdonosának, hogy egy kulcstartó létrehozási folyamatán vagy egy meglévő tanúsítvány importálásán keresztül hozzon létre tanúsítványt. Az importált tanúsítványok magukban foglalják az önaláírt tanúsítványokat és a hitelesítésszolgáltatótól (CA) létrehozott tanúsítványokat is.

  • Lehetővé teszi, hogy a Key Vault-tanúsítvány tulajdonosa az X.509-tanúsítványok biztonságos tárolását és felügyeletét anélkül implementálja, hogy a titkos kulcsok anyagával kellene együttműködnie.

  • Lehetővé teszi, hogy a tanúsítvány tulajdonosa olyan szabályzatot hozzon létre, amely a Key Vaultot irányítja a tanúsítvány életciklusának kezelésére.

  • Lehetővé teszi, hogy a tanúsítvány tulajdonosa kapcsolattartási adatokat adjon meg a lejárati és megújítási életciklus-eseményekről szóló értesítésekhez.

  • Támogatja az automatikus megújítást a kiválasztott kiállítókkal: Key Vault-partner X.509-tanúsítványszolgáltatókkal és hitelesítésszolgáltatókkal.

    Feljegyzés

    A nem partnerként működő szolgáltatók és hatóságok is engedélyezettek, de nem támogatják az automatikus megújítást.

A tanúsítványlétrehozás részleteiért lásd a tanúsítványlétrehozási módszereket.

A tanúsítványok összetétele

Key Vault-tanúsítvány létrehozásakor a rendszer egy címezhető kulcsot és titkos kulcsot is létrehoz ugyanazzal a névvel. A Key Vault-kulcs lehetővé teszi a kulcsműveleteket, a Key Vault titkos kulcs pedig lehetővé teszi a tanúsítvány értékének titkos kulcsként való lekérését. A Key Vault-tanúsítványok nyilvános X.509-tanúsítvány metaadatokat is tartalmaznak.

A tanúsítványok azonosítója és verziója hasonló a kulcsok és titkos kódokéhoz. A Key Vault-tanúsítványverzióval létrehozott címezhető kulcs és titkos kulcs adott verziója elérhető a Key Vault tanúsítványválaszában.

Diagram, amely a tanúsítványok szerepét mutatja be egy kulcstartóban.

Exportálható vagy nem exportálható kulcs

A Key Vault-tanúsítvány létrehozásakor lekérhető a címezhető titkos kulcsból PFX vagy PEM formátumban. A tanúsítvány létrehozásához használt szabályzatnak azt kell jeleznie, hogy a kulcs exportálható. Ha a szabályzat azt jelzi, hogy a kulcs nem exportálható, akkor a titkos kulcs nem része az értéknek, ha titkos kulcsként kéri le.

A címezhető kulcs relevánsabbá válik a nem exportálható Key Vault-tanúsítványoknál. A címzhető Key Vault-kulcs műveletei a keyusage Key Vault-tanúsítvány létrehozásához használt Key Vault-tanúsítványszabályzat mezőjéből vannak leképezve.

A támogatott kulcstípusok teljes listáját a Kulcsok ismertetése: Kulcstípusok és védelmi módszerek című témakörben találja. Az exportálható kulcsok csak RSA és EC használatával engedélyezettek. A HSM-kulcsok nem exportálhatók.

Tanúsítványattribútumok és címkék

A tanúsítvány metaadatai, a címezhető kulcs és a címzhető titkos kulcs mellett a Key Vault-tanúsítvány attribútumokat és címkéket is tartalmaz.

Attribútumok

A tanúsítványattribútumok a Key Vault-tanúsítvány létrehozásakor létrehozott címezhető kulcs és titkos kulcs attribútumaihoz lesznek tükrözve.

A Key Vault-tanúsítványok a következő attribútummal rendelkeznek:

  • enabled: Ez a logikai attribútum nem kötelező. Az alapértelmezett szint a true. Megadható annak jelzésére, hogy a tanúsítványadatok titkos kulcsként vagy kulcsként kezelhetők-e.

    Ezt az attribútumot a rendszer az és az közötti műveletekkel nbf exp nbf együtt és akkor is használja, de csak akkor, ha enabled be van állítvatrue.exp Az ablakon exp kívüli nbf műveletek automatikusan nem lesznek engedélyezve.

A válasz az alábbi további írásvédett attribútumokat tartalmazza:

  • created: IntDate a tanúsítvány ezen verziójának létrehozását jelzi.
  • updated: IntDate a tanúsítvány ezen verziójának frissítését jelzi.
  • exp: IntDate az X.509-tanúsítvány lejárati dátumának értékét tartalmazza.
  • nbf: IntDate az X.509-tanúsítvány "nem korábbi" dátumának értékét tartalmazza.

Feljegyzés

Ha egy Key Vault-tanúsítvány lejár, az továbbra is lekérhető, de a tanúsítvány működésképtelenné válhat olyan esetekben, mint a TLS-védelem, ahol a tanúsítvány lejárata érvényesítve van.

Címkék

A tanúsítványok címkéi a kulcs/érték párok ügyfél által megadott szótárai, hasonlóan a kulcsok és titkos kulcsok címkéihez.

Feljegyzés

A hívók elolvashatják a címkéket, ha rendelkeznek a listával , vagy engedélyt kapnak az adott objektumtípusra (kulcsokra, titkos kulcsokra vagy tanúsítványokra).

Tanúsítványházirend

A tanúsítványházirendek információkat tartalmaznak a Key Vault-tanúsítványok életciklusának létrehozásáról és kezeléséről. Ha egy titkos kulccsal rendelkező tanúsítványt importál a kulcstartóba, a Key Vault szolgáltatás az X.509-tanúsítvány olvasásával létrehoz egy alapértelmezett szabályzatot.

Amikor egy Key Vault-tanúsítványt nulláról hoz létre, meg kell adni egy szabályzatot. A szabályzat meghatározza, hogyan hozhatja létre ezt a Key Vault-tanúsítványverziót vagy a Key Vault következő tanúsítványverzióját. A szabályzat létrehozása után nem szükséges a jövőbeli verziók egymást követő létrehozási műveleteihez. A Key Vault-tanúsítvány összes verziójához csak egy szabályzatpéldány létezik.

Magas szinten a tanúsítványszabályzat a következő információkat tartalmazza:

  • X.509-tanúsítványtulajdonságok, amelyek tartalmazzák a tulajdonos nevét, a tulajdonos alternatív nevét és az X.509-tanúsítványkérelem létrehozásához használt egyéb tulajdonságokat.

  • Kulcstulajdonságok, amelyek tartalmazzák a kulcs típusát, a kulcs hosszát, az exportálható és a ReuseKeyOnRenewal mezőket. Ezek a mezők a Key Vaultot arra utasítják, hogyan hozhat létre kulcsokat.

    A támogatott kulcstípusok : RSA, RSA-HSM, EC, EC-HSM és okt.

  • Titkos kulcstulajdonságok, például a titkos kulcs létrehozásához használt megcímezhető titkos kulcs tartalomtípusa, a tanúsítvány titkos kulcsként való lekéréséhez.

  • A Key Vault-tanúsítvány élettartam-műveletei. Minden élettartam-művelet a következőket tartalmazza:

    • Eseményindító: Napként van megadva a lejárat előtt vagy az élettartam százalékában.
    • Művelet: emailContacts vagy autoRenew.

  • Tanúsítványok érvényesítési típusa: szervezet által ellenőrzött (OV-SSL) és kiterjesztett érvényesítés (EV-SSL) a DigiCert és a GlobalSign kiállítói számára.

  • Az X.509-tanúsítványok kiállításához használandó tanúsítványkibocsátó paraméterei.

  • A szabályzathoz társított attribútumok.

További információ: Set-AzKeyVaultCertificatePolicy.

X.509-használat leképezése kulcsműveletekkel

Az alábbi táblázat az X.509 kulcshasználati szabályzatok megfeleltetését mutatja be a Key Vault-tanúsítvány létrehozása során létrehozott kulcsok hatékony kulcsműveleteihez.

X.509 kulcshasználati jelzők Key Vault-kulcsműveletek Alapértelmezett viselkedés
DataEncipherment encrypt, decrypt Nem alkalmazható
DecipherOnly decrypt Nem alkalmazható
DigitalSignature sign, verify A Key Vault alapértelmezett használati specifikáció nélkül a tanúsítvány létrehozásakor
EncipherOnly encrypt Nem alkalmazható
KeyCertSign sign, verify Nem alkalmazható
KeyEncipherment wrapKey, unwrapKey A Key Vault alapértelmezett használati specifikáció nélkül a tanúsítvány létrehozásakor
NonRepudiation sign, verify Nem alkalmazható
crlsign sign, verify Nem alkalmazható

Tanúsítványkibocsátó

A Key Vault-tanúsítványobjektumok olyan konfigurációt tárolnak, amellyel egy kijelölt tanúsítványkibocsátó szolgáltatóval kommunikálva X.509-tanúsítványokat rendelhet.

A Key Vault a következő tanúsítványkibocsátó szolgáltatókkal működik együtt TLS/SSL-tanúsítványokhoz.

Szolgáltató neve Helyek
DigiCert Támogatott a Nyilvános felhőben és az Azure Governmentben található összes Key Vault-szolgáltatáshelyen
GlobalSign Támogatott a Nyilvános felhőben és az Azure Governmentben található összes Key Vault-szolgáltatáshelyen

A tanúsítványkibocsátó kulcstartóban való létrehozása előtt a rendszergazdának meg kell tennie a következő előfeltétel-lépéseket:

  1. A szervezet előkészítése legalább egy hitelesítésszolgáltatóval.

  2. TLS-/SSL-tanúsítványok regisztrálásához (és megújításához) hozzon létre hitelesítő adatokat a Key Vaulthoz. Ez a lépés a szolgáltató egy kiállítóobjektumának a kulcstartóban való létrehozásához nyújt konfigurációt.

A kiállítóobjektumok tanúsítványportálról való létrehozásáról a Key Vault csapat blogjában talál további információt.

A Key Vault lehetővé teszi több, különböző kiállítószolgáltatói konfigurációval rendelkező kiállítóobjektum létrehozását. A kiállítóobjektum létrehozása után a neve egy vagy több tanúsítványszabályzatban hivatkozhat rá. A kiállító objektumra való hivatkozás arra utasítja a Key Vaultot, hogy használja a kiállító objektumban megadott konfigurációt, amikor x.509-tanúsítványt kér a hitelesítésszolgáltatótól a tanúsítvány létrehozása és megújítása során.

A kiállítóobjektumok a tárolóban jönnek létre. Ezek csak ugyanabban a tárolóban található Key Vault-tanúsítványokkal használhatók.

Feljegyzés

A rendszer a regisztráció során elküldi a nyilvánosan megbízható tanúsítványokat a hitelesítésszolgáltatóknak és a tanúsítványátláthatósági (CT)-naplóknak az Azure határain kívül. Ezekre az entitások GDPR-szabályzatai vonatkoznak.

Tanúsítvány névjegyei

A tanúsítvány névjegyei a tanúsítvány élettartamának eseményei által aktivált értesítések küldéséhez tartalmaznak kapcsolattartási adatokat. A kulcstartó összes tanúsítványa megosztja a kapcsolattartási adatokat.

A rendszer értesítést küld az esemény összes megadott névjegyének a kulcstartóban lévő bármely tanúsítványról. A tanúsítványkulccsal kapcsolatos információkért tekintse meg az Azure Key Vault-tanúsítványok megújítását ismertető témakört.

Tanúsítvány hozzáférés-vezérlése

A Key Vault kezeli a tanúsítványok hozzáférés-vezérlését. A tanúsítványokat tartalmazó kulcstartó hozzáférés-vezérlést biztosít. A tanúsítványok hozzáférés-vezérlési szabályzata eltér az ugyanabban a kulcstartóban lévő kulcsok és titkos kulcsok hozzáférés-vezérlési szabályzatától.

A felhasználók létrehozhatnak egy vagy több tárolót a tanúsítványok tárolásához, hogy fenntartsák a forgatókönyvnek megfelelő szegmentálást és a tanúsítványok kezelését. További információ: Tanúsítványhozzáférés-vezérlés.

Tanúsítványhasználati esetek

Biztonságos kommunikáció és hitelesítés

A TLS-tanúsítványok segíthetnek az interneten keresztüli kommunikáció titkosításában és a webhelyek identitásának kialakításában. Ez a titkosítás biztonságosabbá teszi a belépési pontot és a kommunikációs módot. Emellett a nyilvános hitelesítésszolgáltató által aláírt láncolt tanúsítványok segítenek ellenőrizni, hogy a tanúsítványokat tartalmazó entitások jogszerűek-e.

Példaként íme néhány használati eset, amikor tanúsítványokat használ a kommunikáció biztonságossá tételéhez és a hitelesítés engedélyezéséhez:

  • Intranetes/internetes webhelyek: Az intranetes webhelyhez való hozzáférés védelme és az interneten keresztüli titkosított adatátvitel biztosítása TLS-tanúsítványokon keresztül.
  • IoT- és hálózati eszközök: Az eszközök védelme és védelme tanúsítványok használatával a hitelesítéshez és a kommunikációhoz.
  • Felhő/többfelhő: Felhőalapú alkalmazások védelme a helyszínen, felhőközi vagy felhőszolgáltató bérlőjében.

Következő lépések