Azure App ServiceやAzure Front Door等のサービスでSSL証明書を使う場合、Azure Key Vault(Azureキーコンテナー) にSSL証明書を保管して利用する事があります。
今回は、マイクロソフト様のサイトを参考に、Let’s Encryptで発行した証明書をAzure Key Vault(Azureキーコンテナー) インポートして、証明書切れを事前にメール通知する設定まで試してみました。
Let’s Encryptでの証明書発行、OpenSSlを使った証明書のPFX化は以前やった記事も参考にしていただければと。
Azure Web Appsの拡張機能を使わずにLet’s Encryptで証明書を発行してOpenSSLでPFX形式へ変換してみた
1 .Let’s Encryptで発行したSSL証明書をAzure Key Vault(Azureキーコンテナー) インポートする
最初に以下のサイトを参考に、Azure Portalを使ったAzure Key Vault(Azureキーコンテナー)へのSSL証明書インポートを試してみました。
https://docs.microsoft.com/ja-jp/azure/key-vault/certificates/tutorial-import-certificate
非常に簡単です。アップロードして名前を付けて保存するだけです。
1)キーコンテナーのメニューで、設定にある証明書を選択。生成/インポートが表示されるのでこれをクリックします。
2)証明書の作成が表示されます。証明書の作成方法をインポートを選択します。下記画面が表示されますので、証明書の名前を設定し、証明書ファイルのアップロードでSSL証明書(PFX形式)をアップロードします。パスワードはパスワード付きでSSL証明書を作成している場合はこちらにパスワードを入力します。
保存すれば設定作業完了です。
これでAzure Key Vault(Azureキーコンテナー)から呼び出して各サービスでSSL証明書を利用できますが、実際の利用には注意が必要です。
Azure Front Doorのように、事前にキー コンテナーへの アクセス権付与が必要となるケースもありますので、この点は確認が必要です。
https://docs.microsoft.com/ja-jp/azure/frontdoor/front-door-custom-domain-https
2 .Azure Key Vault(Azureキーコンテナー)の機能を使ってSSL証明書の期限切れ前にメール通知する
以下のサイトを参考に、Azure Key Vault(Azureキーコンテナー)でSSL証明書期限切れ前のメール通知を試してみました。
https://docs.microsoft.com/ja-jp/azure/key-vault/certificates/tutorial-rotate-certificates
これも非常に簡単です。メール通知連絡先の登録、何日前に通知するのか?の設定だけです。
まず、期限切れを通知するメールアドレスを登録します。
1)キーコンテナーのメニューで、設定にある証明書を選択。証明書の連絡先が表示されるのでこれをクリックします。
2)証明書の連絡先が表示されますので、電子メールの部分に連絡先のメールアドレスを登録します。
これで、通知先のメールアドレスが登録出来ました。
次に期限切れの通知設定を行います。
1)キーコンテナーのメニューで、設定にある証明書を選択。期限切れ通知を設定するSSL証明書を選択します。
2)SSL証明書を選択すると以下の画面が表示されますので、発行ポリシーを選択します。
3)発行ポリシーの画面で、有効期間のアクションタイプを設定します。今回は14日前に通知という形にしますので、”有効期限の残りが指定された日数になったら、すべての連絡先にメールを送信する”を選択します。
4)今回は14日前に通知という想定していますので、有効期限までの日数に14と入力します。
保存すると設定完了です。期限切れ14日前に、メール通知されるようになります。
非常に簡単に設定できました。
SSL証明書の期限切れは結構多いので、この設定は絶対に使った方が良いかと思いました。