チュートリアル: Key Vaultで証明書の自動ローテーションを構成する

Azure Key Vaultを使用して、デジタル証明書を簡単にプロビジョニング、管理、デプロイできます。 証明書には、証明機関 (CA) によって署名されたパブリックおよびプライベートの Secure Sockets Layer (SSL)/トランスポート層セキュリティ (TLS) 証明書、または自己署名証明書を指定できます。 Key Vaultは CA とのパートナーシップを通じて証明書を要求および更新することもできます。これにより、証明書のライフサイクル管理のための堅牢なソリューションが提供されます。

Azure Key Vaultのさまざまな資産の種類にわたる自動ローテーションの概念と利点の包括的な理解については、「Azure Key Vault

このチュートリアルでは、証明書の有効期間、自動ローテーション頻度、および CA 属性を更新します。

  • Azure ポータルを使用して証明書を管理します。
  • CA プロバイダー アカウントを追加します。
  • 証明書の有効期間を更新します。
  • 証明書の自動ローテーション頻度を更新します。
  • Azure PowerShellを使用して証明書の属性を更新します。

開始する前に、Key Vault基本的な概念を参照してください。

Azure サブスクリプションがない場合は、開始する前に free アカウントを作成します。

Azureにサインインする

Azure ポータルにサインインします。

コンテナーの作成

次の 3 つの方法のいずれかを使用して、キーボールトを作成します。

Key Vaultで証明書を作成する

証明書を作成するか、証明書をkey vaultにインポートします (手順を参照して、Key Vault。 この場合は、 ExampleCertificate という名前の証明書を操作します。

証明書のライフサイクル属性を更新する

Azure Key Vaultでは、証明書の作成時と後の両方で、証明書のライフサイクル属性を更新できます。

Key Vaultで作成される証明書は次のとおりです。

  • 自己署名証明書。
  • Key Vaultと連携する CA で作成された証明書。
  • Key Vaultと提携していない CA を持つ証明書。

現在、次の CA は、Key Vaultと提携しているプロバイダーです。

  • DigiCert: Key Vaultは OV または EV TLS/SSL 証明書を提供します。
  • GlobalSign: Key Vaultは OV または EV TLS/SSL 証明書を提供します。

Key Vault CA との確立されたパートナーシップを通じて証明書を自動ローテーションします。 Key Vaultはパートナーシップを通じて証明書を自動的に要求および更新するため、自動ローテーション機能は、Key Vaultと提携していない CA で作成された証明書には適用されません。

CA プロバイダーのアカウント管理者は、Key Vault が TLS/SSL 証明書の作成、更新、および使用を行うために使用する資格情報を作成します。 証明機関

作成時に証明書のライフサイクル属性を更新する

  1. Key Vaultのプロパティ ページで、Certificates を選択します。

  2. [Generate/Import](生成/インポート) を選択します。

  3. [ 証明書の作成 ] 画面で、次の値を更新します。

    • 有効期間: 値を入力します (月単位)。 有効期間の短い証明書を作成することをお勧めします。 既定では、新しく作成された証明書の有効性の値は 12 か月です。

    • 有効期間アクションの種類: 証明書の自動更新アクションとアラート アクションを選択し、有効期間 の割合 または 有効期限の日数を更新します。 既定では、証明書の自動更新は有効期間の 80% に設定されます。 ドロップダウン メニューから、次のいずれかのオプションを選択します。

      特定の時刻に自動的に更新する 特定の時点ですべての連絡先にメールを送信する
      このオプションを選択すると、自動回転 がオンになります このオプションを選択すると、自動回転 は行われません が、連絡先にのみ通知されます。

      メール連絡先の設定については、こちらをご覧ください

  4. を選択してを作成します。

証明書のライフサイクル

保存されている証明書のライフサイクル属性を更新する

  1. キー コンテナーを選択します。

  2. Key Vaultのプロパティ ページで、Certificates を選択します。

  3. 更新する証明書を選択します。 この場合は、 ExampleCertificate という名前の証明書を操作します。

  4. 上部のメニュー バーから [発行ポリシー ] を選択します。

    [発行ポリシー] ボタンが強調表示されているスクリーンショット。

  5. [ 発行ポリシー ] 画面で、次の値を更新します。

    • 有効期間: 値 (月単位) を更新します。
    • 有効期間アクションの種類: 証明書の自動更新とアラート アクションを選択し、有効期限の 割合 または 有効期限の日数を更新します。

    証明書のプロパティ

  6. 保存 を選択します。

Von Bedeutung

証明書の有効期間アクションの種類を変更すると、既存の証明書の変更がすぐに記録されます。

PowerShell を使用して証明書属性を更新する

Set-AzKeyVaultCertificatePolicy -VaultName $vaultName `
                                -Name $certificateName `
                                -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]

ヒント

証明書の一覧の更新ポリシーを変更するには、次の例のように、File.csvを含むVaultName,CertNameを入力します。
vault1,Cert1
vault2,Cert2

$file = Import-CSV C:\Users\myfolder\ReadCSVUsingPowershell\File.csv ​
foreach($line in $file)​
{​
Set-AzKeyVaultCertificatePolicy -VaultName $vaultName -Name $certificateName -RenewAtNumberOfDaysBeforeExpiry [276 or appropriate calculated value]
}

パラメーターの詳細については、 az keyvault 証明書を参照してください。

リソースをクリーンアップする

他のKey Vaultチュートリアルは、このチュートリアルに基づいています。 これらのチュートリアルを使用する予定の場合は、これらの既存のリソースをそのまま使用できます。 不要になったら、リソース グループを削除します。これで、キー コンテナーと関連リソースが削除されます。

ポータルを使用してリソース グループを削除するには:

  1. ポータルの上部にある検索ボックスにリソース グループの名前を入力します。 このクイック スタートで使用したリソース グループが検索結果に表示されたら、それを選択します。
  2. [リソース グループの削除] を選択します。
  3. [ リソース グループ名の入力: ] ボックスに、リソース グループの名前を入力し、[削除] を選択 します

次のステップ

このチュートリアルでは、証明書のライフサイクル属性を更新しました。 Key Vaultとそのアプリケーションとの統合方法の詳細については、次の記事に進んでください。

  • Key Vault 概要
  • Azure Key Vault
  • Azure Key Vault での自動回転の理解
  • Last updated on