關於 Azure Key Vault 憑證
Azure 金鑰保存庫 憑證支援可讓您管理 X.509 憑證和下列行為:
允許憑證擁有者透過密鑰保存庫建立程式或透過匯入現有憑證來建立憑證。 匯入的憑證包括自我簽署憑證和從證書頒發機構單位 (CA) 產生的憑證。
允許 金鑰保存庫 憑證擁有者實作 X.509 憑證的安全儲存和管理,而不需與私鑰內容互動。
允許憑證擁有者建立原則,指示 金鑰保存庫 管理憑證的生命週期。
可讓憑證擁有者提供有關到期和更新生命週期事件之通知的連絡資訊。
支援使用選取的簽發者自動更新:金鑰保存庫 合作夥伴 X.509 憑證提供者和 CA。
注意
也允許非合作夥伴提供者和授權單位,但不支援自動更新。
如需憑證建立的詳細資訊,請參閱 憑證建立方法。
憑證的構成要素
建立 Key Vault 憑證時,可定址的金鑰和秘密也會以相同名稱建立。 Key Vault 金鑰可讓金鑰作業和 Key Vault 祕密允許擷取憑證值作為祕密。 金鑰保存庫 憑證也包含公用 X.509 憑證元數據。
憑證的標識碼和版本類似於密鑰和秘密的標識碼和版本。 以 Key Vault 憑證版本建立的特定可定址金鑰和秘密版本,可用於 Key Vault 憑證的回應。
可匯出或不可匯出的金鑰
Key Vault 憑證建立後,該憑證將可透過可定址秘密和 PFX 或 PEM 格式的私密金鑰來擷取。 用來建立憑證的原則必須指出密鑰可匯出。 如果原則指出金鑰不可匯出,則私鑰不是當擷取為秘密時值的一部分。
可定址的金鑰會變成與不可匯出的 Key Vault 憑證有較高相關性。 可尋址 金鑰保存庫 金鑰作業會從keyusage用來建立 金鑰保存庫 憑證的 金鑰保存庫 憑證原則字段對應。
如需支援金鑰類型的完整清單,請參閱 關於金鑰:金鑰類型和保護方法。 只有 RSA 和 EC 才允許可匯出的金鑰。 HSM 金鑰不可匯出。
憑證屬性和標籤
除了憑證元數據、可尋址密鑰和可尋址的秘密之外,金鑰保存庫 憑證還包含屬性和標記。
屬性
憑證屬性會鏡像到建立 金鑰保存庫 憑證時所建立之可尋址密鑰和秘密的屬性。
金鑰保存庫 憑證具有下列屬性:
enabled:這個布爾值屬性是選擇性的。 預設值為true。 您可以指定它,以指出憑證數據是否可以擷取為秘密或可操作的密鑰。這個屬性也會與與 之間發生
nbfexp作業時搭配nbfexp使用,但只有在 設定為true時才enabled使用 。 和exp視窗外的nbf作業會自動不允許。
回應包含下列其他唯讀屬性:
created:IntDate指出建立此版本的憑證的時間。updated:IntDate指出何時更新此版本的憑證。exp:IntDate包含 X.509 憑證到期日的值。nbf:IntDate包含 X.509 憑證 “not before” 日期的值。
注意
如果 金鑰保存庫 憑證到期,仍可擷取憑證,但在驗證憑證到期的 TLS 保護等案例中,憑證可能會變成無法運作。
標籤
憑證的標記是索引鍵/值組的用戶端指定字典,很像是密鑰和秘密中的標記。
注意
如果呼叫端具有 清單 或 取得 該物件類型的許可權(金鑰、秘密或憑證),則呼叫者可以讀取標記。
憑證原則
憑證原則包含如何建立和管理 金鑰保存庫 憑證生命週期的相關信息。 將具有私鑰的憑證匯入金鑰保存庫時,金鑰保存庫 服務會藉由讀取 X.509 憑證來建立默認原則。
從頭建立 Key Vault 憑證時,必須提供原則。 此原則會指定如何建立此 金鑰保存庫 憑證版本或下一個 金鑰保存庫 憑證版本。 建立原則之後,未來版本的後續建立作業並不需要它。 所有 Key Vault 憑證版本只會有一個原則執行個體。
概括而言,憑證原則包含下列資訊:
X.509 憑證屬性,其中包含主體名稱、主體替代名稱,以及用來建立 X.509 憑證要求的其他屬性。
索引鍵屬性,包括索引鍵類型、金鑰長度、可匯出和
ReuseKeyOnRenewal字段。 這些欄位會指示 金鑰保存庫 如何產生金鑰。支援的密鑰類型 包括 RSA、RSA-HSM、EC、EC-HSM 和 oct。
秘密屬性,例如可尋址秘密的內容類型來產生秘密值,以擷取憑證做為秘密。
金鑰保存庫 憑證的存留期動作。 每個存留期動作都包含:
- 觸發程式:指定為到期前的天數或存留期範圍百分比。
- 動作:
emailContacts或autoRenew。
憑證驗證類型:組織已驗證 (OV-SSL) 和 DigiCert 和 GlobalSign 簽發者的延伸驗證 (EV-SSL)。
用來發行 X.509 憑證之憑證簽發者的參數。
與原則相關聯的屬性。
如需詳細資訊,請參閱 Set-AzKeyVaultCertificatePolicy。
將 X.509 使用方式對應至金鑰作業
下表代表 X.509 金鑰使用原則對應至在建立憑證時 金鑰保存庫 建立之金鑰的有效密鑰作業。
| X.509 金鑰使用旗標 | 金鑰保存庫 金鑰作業 | 預設行為 |
|---|---|---|
DataEncipherment |
encrypt, decrypt |
不適用 |
DecipherOnly |
decrypt |
不適用 |
DigitalSignature |
sign, verify |
金鑰保存庫 在建立憑證時不使用使用規格的預設值 |
EncipherOnly |
encrypt |
不適用 |
KeyCertSign |
sign, verify |
不適用 |
KeyEncipherment |
wrapKey, unwrapKey |
金鑰保存庫 在憑證建立時間沒有使用方式規格的預設值 |
NonRepudiation |
sign, verify |
不適用 |
crlsign |
sign, verify |
不適用 |
憑證簽發者
金鑰保存庫 憑證物件會保存組態,用來與選取的憑證簽發者提供者通訊,以訂購 X.509 憑證。
金鑰保存庫 TLS/SSL 憑證的下列憑證簽發者提供者合作夥伴。
| 提供者名稱 | 位置 |
|---|---|
| DigiCert | 在公用雲端和 Azure Government 的所有 金鑰保存庫 服務位置中都支援 |
| GlobalSign | 在公用雲端和 Azure Government 的所有 金鑰保存庫 服務位置中都支援 |
在密鑰保存庫中建立憑證簽發者之前,系統管理員必須採取下列必要條件步驟:
使用至少一個 CA 提供者讓組織上線。
為 金鑰保存庫 建立要求者認證,以註冊(並更新)TLS/SSL 憑證。 此步驟提供在金鑰保存庫中建立提供者簽發者物件的組態。
如需從憑證入口網站建立簽發者對象的詳細資訊,請參閱 金鑰保存庫 小組部落格。
金鑰保存庫 可讓您建立具有不同簽發者提供者設定的多個簽發者物件。 建立簽發者對象之後,就可以在一或多個憑證原則中參考其名稱。 參考簽發者物件會指示 金鑰保存庫 在憑證建立和更新期間向 CA 提供者要求 X.509 憑證時,使用簽發者物件中指定的組態。
簽發者物件會在保存庫中建立。 它們只能與相同保存庫中的 金鑰保存庫 憑證搭配使用。
注意
公開信任的憑證會在註冊期間傳送至 CA 和 Azure 界限外的憑證透明度 (CT) 記錄。 這些實體的 GDPR 原則涵蓋這些原則。
憑證連絡人
憑證聯繫人包含用來傳送憑證存留期事件所觸發通知的連絡資訊。 金鑰保存庫中的所有憑證都會共用連絡資訊。
若金鑰保存庫中發生任何憑證事件,系統會將通知傳送給所有指定的連絡人。 如需如何設定憑證聯繫人的資訊,請參閱更新您的 Azure 金鑰保存庫 憑證。
憑證存取控制
金鑰保存庫 管理憑證的訪問控制。 包含這些憑證的金鑰保存庫會提供訪問控制。 憑證的訪問控制原則與相同密鑰保存庫中金鑰和秘密的訪問控制原則不同。
使用者可以建立一或多個保存庫來保存憑證,以維護案例適當的憑證分割和管理。 如需詳細資訊,請參閱 憑證訪問控制。
憑證使用案例
保護通訊和驗證
TLS 憑證可協助透過因特網加密通訊,並建立網站的身分識別。 此加密可讓進入點和通訊模式更安全。 此外,由公用 CA 簽署的鏈結憑證可協助驗證持有憑證的實體是否合法。
例如,以下是使用憑證來保護通訊並啟用驗證的一些使用案例:
- 內部網路/因特網網站:保護對內部網路網站的存取,並確保透過 TLS 憑證透過因特網進行加密數據傳輸。
- IoT 和網路裝置:使用憑證進行驗證和通訊來保護裝置。
- 雲端/多重雲端:在內部部署、跨雲端或雲端提供者的租用戶中保護雲端式應用程式。