Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La prise en charge des certificats Azure Key Vault permet la gestion de vos certificats X.509 et les comportements suivants :
Permet à un propriétaire de certificat de créer un certificat via un processus de création de coffre de clés ou via l’importation d’un certificat existant. Les certificats importés incluent des certificats auto-signés et des certificats générés à partir d’une autorité de certification.
Permet à un propriétaire de certificat Key Vault d’implémenter un stockage et une gestion sécurisés des certificats X.509 sans interagir avec le matériel de clé privée.
Permet à un propriétaire de certificat de créer une stratégie qui dirige Key Vault pour gérer le cycle de vie d’un certificat.
Permet à un propriétaire de certificat de fournir des informations de contact pour les notifications concernant les événements d’expiration et de renouvellement du cycle de vie.
Prend en charge le renouvellement automatique avec les émetteurs sélectionnés : les fournisseurs de certificats partenaires X.509 de Key Vault et les autorités de certification.
Note
Les fournisseurs et les autorités non partenaires sont également autorisés, mais ne prennent pas en charge le renouvellement automatique.
Pour plus d’informations sur la création de certificat, consultez les méthodes de création de certificat.
Composition d’un certificat
Lorsqu’un certificat Key Vault est créé, une clé adressable et un secret sont également créés avec le même nom. La clé Key Vault autorise les opérations de clé et le secret Key Vault permet la récupération de la valeur du certificat en tant que secret. Un certificat Key Vault contient également des métadonnées de certificat X.509 publiques.
L’identificateur et la version des certificats sont similaires à ceux des clés et des secrets. Une version spécifique d’une clé adressable et d’un secret créés avec la version de certificat Key Vault est disponible dans la réponse du certificat Key Vault.
Clé exportable ou non exportable
Lorsqu’un certificat Key Vault est créé, il peut être récupéré à partir du secret adressable avec la clé privée au format PFX ou PEM. La stratégie utilisée pour créer le certificat doit indiquer que la clé est exportable. Si la stratégie indique que la clé n’est pas exportable, la clé privée ne fait pas partie de la valeur lorsqu’elle est récupérée en tant que secret.
La clé adressable devient plus pertinente avec les certificats Key Vault non exportables. Les opérations de la clé Key Vault adressables sont établies à partir du champ keyusage de la stratégie de certificat Key Vault utilisée pour créer le certificat Key Vault.
Pour obtenir la liste complète des types de clés pris en charge, consultez À propos des clés : types de clés et méthodes de protection. Les clés exportables sont autorisées uniquement avec RSA et EC. Les clés HSM ne sont pas exportables.
Attributs et balises de certificat
Outre les métadonnées de certificat, une clé adressable et un secret adressable, un certificat Key Vault contient des attributs et des balises.
Attributs
Les attributs de certificat sont mis en miroir aux attributs de la clé adressable et du secret créés lors de la création du certificat Key Vault.
Un certificat Key Vault a l’attribut suivant :
enabled: cet attribut booléen est facultatif. La valeur par défaut esttrue. Il peut être spécifié pour indiquer si les données de certificat peuvent être récupérées en tant que secret ou opérables en tant que clé.Cet attribut est également utilisé avec
nbfetexplorsqu’une opération se produit entrenbfetexp, mais uniquement sienabledelle est définie surtrue. Les opérations en dehors de la fenêtrenbfetexpsont automatiquement interdites.
Une réponse inclut ces attributs en lecture seule supplémentaires :
-
created:IntDateindique quand cette version du certificat a été créée. -
updated:IntDateindique quand cette version du certificat a été mise à jour. -
exp:IntDatecontient la valeur de la date d’expiration du certificat X.509. -
nbf:IntDatecontient la valeur de la date « pas antérieure » du certificat X.509.
Note
Si un certificat Key Vault expire, il peut toujours être récupéré, mais il peut devenir inopérable dans des scénarios tels que la protection TLS où l’expiration du certificat est validée.
Étiquettes
Les étiquettes pour les certificats sont un dictionnaire spécifié par le client de paires clé/valeur, comme les balises dans les clés et les secrets.
Note
Un appelant peut lire les balises s’ils ont la liste ou obtenir l’autorisation pour ce type d’objet (clés, secrets ou certificats).
Stratégie de certificat
Une stratégie de certificat contient des informations sur la création et la gestion du cycle de vie d’un certificat Key Vault. Lorsqu’un certificat avec clé privée est importé dans le key vault, le service Key Vault crée une stratégie par défaut en lisant le certificat X.509.
Lorsqu’un certificat Key Vault est créé à partir de zéro, une stratégie doit être fournie. La stratégie spécifie comment créer cette version de certificat Key Vault ou la version de certificat Key Vault suivante. Une fois qu’une stratégie a été établie, elle n’est pas requise avec des opérations de création successives pour les versions ultérieures. Il n'existe qu'une seule instance d'une stratégie pour toutes les versions d'un certificat Key Vault.
À un niveau élevé, une stratégie de certificat contient les informations suivantes :
Propriétés de certificat X.509, qui incluent le nom de l’objet, les autres noms d’objet et d’autres propriétés utilisées pour créer une demande de certificat X.509.
Propriétés de clé, qui incluent le type de clé, la longueur de clé, l’exportabilité et les champs
ReuseKeyOnRenewal. Ces champs indiquent Key Vault sur la façon de générer une clé.Les types de clés pris en charge sont RSA, RSA-HSM, EC, EC-HSM et oct.
Propriétés du secret, comme le type de contenu d’un secret adressable pour générer la valeur du secret, dans le but de récupérer un certificat comme secret.
Actions de durée de vie pour le certificat Key Vault. Chaque action de durée de vie contient :
- Déclencheur : spécifié en jours avant expiration ou pourcentage de durée de vie.
- Action :
emailContactsouautoRenew.
Type de validation des certificats : organisation validée (OV-SSL) et validation étendue (EV-SSL) pour les émetteurs DigiCert et GlobalSign.
Paramètres relatifs à l’émetteur de certificat à utiliser pour émettre des certificats X.509.
Attributs associés à la stratégie.
Pour plus d’informations, consultez Set-AzKeyVaultCertificatePolicy.
Mappage de l’utilisation de X.509 avec les opérations des clés
Le tableau suivant représente la correspondance entre les stratégies d'utilisation des clés X.509 et les opérations effectives pour une clé créée dans le cadre de la création de certificat dans Key Vault.
| Indicateurs d’utilisation des clés X.509 | Opérations des clés de Key Vault | Comportement par défaut |
|---|---|---|
DataEncipherment |
encrypt, decrypt |
Sans objet |
DecipherOnly |
decrypt |
Sans objet |
DigitalSignature |
sign, verify |
Key Vault valeur par défaut sans spécification d’utilisation au moment de la création du certificat |
EncipherOnly |
encrypt |
Sans objet |
KeyCertSign |
sign, verify |
Sans objet |
KeyEncipherment |
wrapKey, unwrapKey |
Key Vault valeur par défaut sans spécification d’utilisation au moment de la création du certificat |
NonRepudiation |
sign, verify |
Sans objet |
crlsign |
sign, verify |
Sans objet |
Émetteur de certificat
Un objet de certificat Key Vault contient une configuration utilisée pour communiquer avec un fournisseur d'émetteur de certificat sélectionné pour commander des certificats X.509.
Key Vault partenaires avec les fournisseurs d’émetteurs de certificats suivants pour les certificats TLS/SSL.
| Nom du fournisseur | Lieux |
|---|---|
| DigiCert | Pris en charge dans tous les emplacements de service Key Vault du cloud public et d'Azure Government |
| GlobalSign | Pris en charge dans tous les emplacements de service Key Vault du cloud public et d'Azure Government |
Avant qu’un émetteur de certificat puisse être créé dans un coffre de clés, un administrateur doit effectuer les étapes préalables suivantes :
Associez l'organisation à au moins un fournisseur d'autorité de certification.
Créez des informations d'identification du demandeur afin d'inscrire et de renouveler des certificats TLS/SSL dans Key Vault. Cette étape fournit la configuration permettant de créer un objet émetteur du fournisseur dans le coffre de clés.
Pour plus d’informations sur la création d’objets émetteurs à partir du portail de certificats, consultez Integrating Key Vault avec les autorités de certification.
Key Vault permet la création de plusieurs objets émetteur avec différentes configurations de fournisseur d’émetteurs. Une fois qu’un objet émetteur est créé, son nom peut être référencé dans une ou plusieurs stratégies de certificat. Le référencement de l'objet émetteur indique Key Vault d'utiliser la configuration comme spécifié dans l'objet émetteur lorsqu'il demande le certificat X.509 auprès du fournisseur d'autorité de certification pendant la création et le renouvellement du certificat.
Les objets émetteurs sont créés dans le coffre. Ils ne peuvent être utilisés qu’avec des certificats Key Vault dans le même coffre.
Note
Les certificats approuvés publiquement sont envoyés aux autorités de certification et aux journaux de transparence des certificats (CT) en dehors des limites d'Azure lors du processus d’inscription. Elles sont couvertes par les stratégies de gestion des données de ces entités.
Contacts du certificat
Les contacts de certificat contiennent des informations de contact pour l’envoi de notifications déclenchées par des événements liés à la durée de vie du certificat. Tous les certificats du coffre de clés partagent les informations de contact.
Une notification est envoyée à tous les contacts spécifiés pour un événement pour n’importe quel certificat dans le coffre de clés. Pour plus d’informations sur la définition d’un contact de certificat, consultez Renew your Azure Key Vault certificates.
Contrôle d’accès au certificat
Key Vault gère le contrôle d’accès pour les certificats. Le coffre de clés qui contient ces certificats fournit un contrôle d’accès. La stratégie de contrôle d’accès pour les certificats est distincte des stratégies de contrôle d’accès pour les clés et les secrets dans le même coffre de clés.
Les utilisateurs peuvent créer un ou plusieurs coffres pour contenir des certificats, afin de gérer la segmentation et la gestion appropriées des certificats dans les scénarios. Pour plus d’informations, consultez Contrôle d’accès au certificat.
Cas d’usage de certificat
Sécuriser la communication et l’authentification
Les certificats TLS peuvent aider à chiffrer les communications via Internet et à établir l’identité des sites web. Ce chiffrement rend le point d’entrée et le mode de communication plus sécurisés. En outre, un certificat chaîné signé par une autorité de certification publique peut vous aider à vérifier que les entités qui détiennent les certificats sont légitimes.
Par exemple, voici quelques cas d’utilisation de certificats pour sécuriser la communication et activer l’authentification :
- Sites web Intranet/Internet : protégez l’accès à votre site intranet et assurez le transfert de données chiffré sur Internet via des certificats TLS.
- Appareils IoT et réseau : protégez et sécurisez vos appareils à l’aide de certificats pour l’authentification et la communication.
- Cloud/multicloud : Sécurisez les applications cloud sur site, inter-cloud ou chez votre fournisseur de cloud.