问题描述
因为Azure Key Vault服务上保管的证书可以轻松的与其他Azure服务集成使用,所以需要知道 Key Vault 能不能生成 DigiCert 证书?能不能自动 Rotate 证书呢?
问题解答
Azure Key Vault本身只是一个保管库,它不会颁发证书。但是可以在页面上直接生成CA(Certificate Authority)证书,这个证书是由Azure的合作关系机构提供 (DigiCert 和 GlobalSign)。
同时,在创建证书时候,可以选择“Lifetime Action Type(证书生存期操作类型)” 来实现自动轮换将要过期的证书。
1)Automatically renew at a given percentage lifetime
2)Automatically renew at a given number of days before expiry
3)E-mail all contacts at a given percentage lifetime
4)E-mail all contacts at a given number of days before expiry
顾名思义,第1,2会自动轮换新证书,第3,4只是会发送通知邮件。
所以,本文中的两个问题答案都是肯定的。可以生成 DigiCert 证书,可以自动Rotate证书。
参考资料
将 Key Vault 与集成证书颁发机构集成:https://docs.azure.cn/zh-cn/key-vault/certificates/how-to-integrate-certificate-authority
在创建时更新证书生命周期属性: https://docs.azure.cn/zh-cn/key-vault/certificates/tutorial-rotate-certificates#update-certificate-lifecycle-attributes-at-the-time-of-creation