问题描述

因为Azure Key Vault服务上保管的证书可以轻松的与其他Azure服务集成使用，所以需要知道 Key Vault 能不能生成 DigiCert 证书？能不能自动 Rotate 证书呢？

问题解答

Azure Key Vault本身只是一个保管库，它不会颁发证书。但是可以在页面上直接生成CA（Certificate Authority）证书，这个证书是由Azure的合作关系机构提供 （DigiCert 和 GlobalSign）。

同时，在创建证书时候，可以选择“Lifetime Action Type(证书生存期操作类型)” 来实现自动轮换将要过期的证书。

1）Automatically renew at a given percentage lifetime

2）Automatically renew at a given number of days before expiry

3）E-mail all contacts at a given percentage lifetime

4）E-mail all contacts at a given number of days before expiry

顾名思义，第1，2会自动轮换新证书，第3，4只是会发送通知邮件。

所以，本文中的两个问题答案都是肯定的。可以生成 DigiCert 证书，可以自动Rotate证书。

参考资料

将 Key Vault 与集成证书颁发机构集成：https://docs.azure.cn/zh-cn/key-vault/certificates/how-to-integrate-certificate-authority

在创建时更新证书生命周期属性: https://docs.azure.cn/zh-cn/key-vault/certificates/tutorial-rotate-certificates#update-certificate-lifecycle-attributes-at-the-time-of-creation