Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Key Vault Zertifikatunterstützung bietet die Verwaltung Ihrer X.509-Zertifikate und der folgenden Verhaltensweisen:
Ermöglicht Zertifikatbesitzenden die Erstellung eines Zertifikats über einen Schlüsseltresor-Erstellungsvorgang oder durch den Import eines vorhandenen Zertifikats. Zu den importierten Zertifikaten gehören sowohl selbstsignierte Zertifikate als auch Zertifikate, die von einer Zertifizierungsstelle (ZS) generiert wurden.
Ermöglicht es einem Key Vault Zertifikatbesitzer, sichere Speicherung und Verwaltung von X.509-Zertifikaten zu implementieren, ohne mit privatem Schlüsselmaterial zu interagieren.
Ermöglicht es einem Zertifikatbesitzer, eine Richtlinie zu erstellen, die Key Vault zum Verwalten des Lebenszyklus eines Zertifikats leitet.
Ermöglicht es einem Zertifikatbesitzer, Kontaktinformationen für Benachrichtigungen zu den Lebenszyklusereignissen „Ablauf“ und „Verlängerung“ bereitzustellen.
Unterstützt die automatische Verlängerung mit ausgewählten Ausstellern: Key Vault Partner X.509-Zertifikatanbieter und Zertifizierungsstellen.
Hinweis
Nicht partnerorientierte Anbieter und Behörden sind ebenfalls zulässig, unterstützen aber keine automatische Verlängerung.
Ausführliche Informationen zur Zertifikaterstellung finden Sie unter Zertifikaterstellungsmethoden.
Zusammensetzung eines Zertifikats
Wenn ein Key Vault Zertifikat erstellt wird, werden auch ein adressierbarer Schlüssel und geheimer Schlüssel mit demselben Namen erstellt. Der Key Vault Schlüssel ermöglicht Schlüsselvorgänge, und der Key Vault Geheimschlüssel ermöglicht das Abrufen des Zertifikatwerts als geheimer Schlüssel. Ein Key Vault Zertifikat enthält auch öffentliche X.509-Zertifikatmetadaten.
Der Bezeichner und die Version der Zertifikate ähneln denen von Schlüsseln und Geheimnissen. Eine bestimmte Version eines adressierbaren Schlüssels und Geheimnisses, die mit der Key Vault-Zertifikatversion erstellt wurde, ist in der Key Vault-Zertifikatantwort verfügbar.
Exportierbarer oder nicht exportierbarer Schlüssel
Wenn ein Key Vault-Zertifikat erstellt wird, kann es aus dem adressierbaren Geheimnis mit dem privaten Schlüssel entweder im PFX- oder PEM-Format abgerufen werden. Die zum Erstellen des Zertifikats verwendete Richtlinie muss angeben, dass der Schlüssel exportierbar ist. Wenn die Richtlinie angibt, dass der Schlüssel nicht exportierbar ist, ist der private Schlüssel beim Abruf als Geheimnis kein Teil des Werts.
Der adressierbare Schlüssel wird mit nicht exportierbaren Key Vault Zertifikaten relevanter. Die Operationen des adressierbaren Key Vault Schlüssels werden aus dem Feld keyusage der Key Vault Zertifikatrichtlinie abgeleitet, die zum Erstellen des Key Vault Zertifikats verwendet wird.
Die vollständige Liste der unterstützten Schlüsseltypen finden Sie unter "Informationen zu Schlüsseln: Schlüsseltypen und Schutzmethoden". Exportierbare Schlüssel sind nur mit RSA und EC zulässig. HSM-Schlüssel sind nicht exportierbar.
Zertifikatattribute und -tags
Neben Zertifikatmetadaten, einem adressierbaren Schlüssel und einem adressierbaren Geheimnis enthält ein Key Vault-Zertifikat Attribute und Tags.
Attribute
Die Zertifikatattribute werden in Attributen des adressierbaren Schlüssels und Geheimnisses gespiegelt, wenn das Key Vault-Zertifikat erstellt wird.
Ein Key Vault-Zertifikat weist das folgende Attribut auf:
enabled: Dieses boolesche Attribut ist optional. Der Standardwert isttrue. Damit kann angegeben werden, ob die Zertifikatdaten als Geheimnis abgerufen werden können oder als Schlüssel funktionsfähig sind.Dieses Attribut wird auch in Verbindung mit
nbfundexpverwendet, wenn ein Vorgang zwischennbfundexpauftritt, jedoch nur, wennenabledauftruefestgelegt ist. Operationen außerhalb desnbf- undexp-Fensters sind automatisch unzulässig.
Eine Antwort enthält die folgenden zusätzlichen, schreibgeschützten Attribute:
-
created:IntDategibt an, wann diese Version des Zertifikats erstellt wurde. -
updated:IntDategibt an, wann diese Version des Zertifikats aktualisiert wurde. -
exp:IntDateenthält den Wert des Ablaufdatums des X.509-Zertifikats. -
nbf:IntDateenthält den Wert des "Nicht vor"-Datums des X.509-Zertifikats.
Hinweis
Wenn ein Key Vault Zertifikat abläuft, kann es weiterhin abgerufen werden, aber das Zertifikat kann in Szenarien wie TLS-Schutz, in denen der Ablauf des Zertifikats überprüft wird, inoperierbar werden.
Stichwörter
Tags für Zertifikate sind ein vom Kunden angegebenes Wörterbuch mit Schlüssel-Wert-Paaren, ganz ähnlich wie Tags in Schlüsseln und geheimen Informationen.
Hinweis
Ein Aufrufer kann Tags lesen, wenn sie über die Liste verfügen oder die Berechtigung für diesen Objekttyp (Schlüssel, Geheime Schlüssel oder Zertifikate) erhalten .
Zertifikatrichtlinie
Eine Zertifikatrichtlinie enthält Informationen zum Erstellen und Verwalten des Lebenszyklus eines Key Vault Zertifikats. Wenn ein Zertifikat mit privatem Schlüssel in den key vault importiert wird, erstellt der Key Vault-Dienst eine Standardrichtlinie durch Lesen des X.509-Zertifikats.
Wenn ein Key Vault Zertifikat von Grund auf neu erstellt wird, muss eine Richtlinie bereitgestellt werden. Die Richtlinie gibt an, wie sie diese Key Vault Zertifikatversion oder die nächste Key Vault Zertifikatversion erstellen. Nachdem eine Richtlinie eingerichtet wurde, ist bei nachfolgenden Erstellungsvorgängen für zukünftige Versionen keine weitere Richtlinie erforderlich. Es gibt nur eine einzelne Instanz einer Richtlinie für alle Versionen eines Key Vault-Zertifikats.
Auf hoher Ebene enthält eine Zertifikatsrichtlinie folgende Informationen:
X.509-Zertifikateigenschaften, die Subjektnamen, alternative Subjektnamen und weitere Eigenschaften enthalten, die zur Erstellung einer X.509-Zertifikatanforderung verwendet werden.
Schlüsseleigenschaften, was den Schlüsseltyp, die Schlüssellänge, „exportierbar“ und
ReuseKeyOnRenewal-Felder umfasst. Diese Felder weisen Key Vault an, wie ein Schlüssel generiert wird.Unterstützte Schlüsseltypen sind RSA, RSA-HSM, EC, EC-HSM und okt.
Geheimniseigenschaften wie der Inhaltstyp eines adressierbaren Geheimnisses zum Generieren des Geheimniswerts, um das Zertifikat als Geheimnis abzurufen.
Lebensdaueraktionen für das Key Vault-Zertifikat. Jede Lebensdaueraktion enthält:
- Trigger: Wird als Tage vor Ablauf oder Prozentsatz der Lebensdauer angegeben.
- Aktion:
emailContactsoderautoRenew.
Zertifikatsüberprüfungstyp: organisationsvalidiert (OV-SSL) und erweiterte Validierung (EV-SSL) für DigiCert und GlobalSign Aussteller.
Parameter über den zum Ausstellen von X.509-Zertifikaten zu verwendenden Zertifikataussteller.
Der Richtlinie zugeordnete Attribute.
Weitere Informationen finden Sie unter Set-AzKeyVaultCertificatePolicy.
Zuordnen der X.509-Verwendung zu Schlüsselvorgängen
Die folgende Tabelle stellt die Zuordnung von X.509-Schlüsselverwendungsrichtlinien zu effektiven Schlüsselvorgängen eines Schlüssels dar, der als Teil der Key Vault Zertifikaterstellung erstellt wird.
| X.509-Schlüsselverwendungskennzeichnungen | Schlüsselvorgänge im Key Vault | Standardverhalten |
|---|---|---|
DataEncipherment |
encrypt, decrypt |
Nicht anwendbar |
DecipherOnly |
decrypt |
Nicht anwendbar |
DigitalSignature |
sign, verify |
Key Vault-Standard ohne Nutzungsspezifikation zum Zeitpunkt der Zertifikaterstellung |
EncipherOnly |
encrypt |
Nicht anwendbar |
KeyCertSign |
sign, verify |
Nicht anwendbar |
KeyEncipherment |
wrapKey, unwrapKey |
Key Vault-Standard ohne Nutzungsspezifikation zum Zeitpunkt der Zertifikaterstellung |
NonRepudiation |
sign, verify |
Nicht anwendbar |
crlsign |
sign, verify |
Nicht anwendbar |
Zertifikataussteller
Ein Key Vault Zertifikatobjekt enthält eine Konfiguration, die für die Kommunikation mit einem ausgewählten Zertifikatausstelleranbieter verwendet wird, um X.509-Zertifikate zu bestellen.
Key Vault arbeitet mit den folgenden Zertifikatanbietern für TLS/SSL-Zertifikate zusammen.
| Anbietername | Orte |
|---|---|
| DigiCert | Unterstützt in allen Key Vault Dienststandorten in der öffentlichen Cloud und Azure Government |
| GlobalSign | Unterstützt in allen Key Vault Dienststandorten in der öffentlichen Cloud und Azure Government |
Bevor ein Zertifikataussteller in einem Schlüsseltresor erstellt werden kann, muss ein Administrator die folgenden vorausgesetzten Schritte ausführen:
Onboarding der Organisation bei mindestens einem Zertifizierungsstellenanbieter.
Erstellen Sie Anmeldeinformationen für Key Vault, um TLS/SSL-Zertifikate zu registrieren (und zu erneuern). Mit diesem Schritt wird die Konfiguration zum Erstellen eines Issuer-Objekts des Anbieters im Key Vault bereitgestellt.
Weitere Informationen zum Erstellen von Ausstellerobjekten aus dem Zertifikatportal finden Sie unter Integrating Key Vault mit Zertifizierungsstellen.
Key Vault ermöglicht die Erstellung mehrerer Ausstellerobjekte mit unterschiedlichen Ausstelleranbieterkonfigurationen. Nachdem ein Ausstellerobjekt erstellt wurde, kann in einer oder mehreren Zertifikatrichtlinien auf seinen Namen verwiesen werden. Durch Verweisen auf das Ausstellerobjekt wird Key Vault angewiesen, die Konfiguration gemäß der Angabe im Ausstellerobjekt zu verwenden, wenn das X.509-Zertifikat vom Zertifizierungsstellenanbieter während der Zertifikaterstellung und Erneuerung angefordert wird.
Ausstellerobjekte werden im Tresor erstellt. Sie können nur mit Key Vault Zertifikaten im selben Tresor verwendet werden.
Hinweis
Öffentlich vertrauenswürdige Zertifikate werden während der Registrierung an CAs und Zertifikattransparenz-Protokolle außerhalb der Azure-Grenze gesendet. Sie werden von den Datenverarbeitungsrichtlinien dieser Entitäten abgedeckt.
Zertifikatkontakte
Zertifikatkontakte enthalten Kontaktinformationen zum Senden von Benachrichtigungen, die durch Zertifikatlebensdauer-Ereignisse ausgelöst werden. Alle Zertifikate im Schlüsseltresor verwenden die Kontaktinformationen gemeinsam.
Eine Benachrichtigung zu einem Ereignis eines beliebigen Zertifikats im Schlüsseltresor wird an alle angegebenen Kontakte gesendet. Informationen zum Festlegen eines Zertifikatkontakts finden Sie unter Neuen Sie Ihre Azure Key Vault Zertifikate.
Zertifikatzugriffssteuerung
Key Vault verwaltet die Zugriffssteuerung für Zertifikate. Der Schlüsseltresor, der diese Zertifikate enthält, stellt die Zugriffssteuerung bereit. Die Zugriffssteuerungsrichtlinie für Zertifikate unterscheidet sich von den Zugriffssteuerungsrichtlinien für Schlüssel und Geheimnisse im selben Key Vault.
Benutzer können einen oder mehrere Tresore zum Speichern von Zertifikaten erstellen und müssen für eine dem Szenario entsprechende Segmentierung und Verwaltung von Zertifikaten sorgen. Weitere Informationen finden Sie unter Zertifikatzugriffskontrolle.
Anwendungsfälle für Zertifikate
Sichere Kommunikation und Authentifizierung
TLS-Zertifikate können die Kommunikation über das Internet verschlüsseln und die Identität von Websites einrichten. Durch diese Verschlüsselung werden der Einstiegspunkt und der Kommunikationsmodus besser geschützt. Darüber hinaus kann mit einem von einer öffentlichen Zertifizierungsstelle signierten verketteten Zertifikat überprüft werden, ob die Entitäten mit den Zertifikaten legitim sind.
Nachfolgend werden beispielsweise einige Anwendungsfälle für die Verwendung von Zertifikaten zum Sichern der Kommunikation und zum Aktivieren der Authentifizierung beschrieben:
- Intranet-/Internetwebsites: Schützen Sie den Zugriff auf Ihre Intranetwebsite, und stellen Sie sicher, dass verschlüsselte Daten über TLS-Zertifikate über das Internet übertragen werden.
- IoT- und Netzwerkgeräte: Schützen Ihrer Geräte mithilfe von Zertifikaten für die Authentifizierung und Kommunikation.
- Cloud/Multicloud: Schützen cloudbasierter Anwendungen lokal, cloudübergreifend oder im Mandanten Ihres Cloudanbieters.