Azure Key Vaultでの証明書管理方法(証明書の生成・削除・復元・インポート・有効期限切れ通知、リソース作成手順)
Azure Key Vault(キーコンテナー)の証明書関連の操作手順です。
Azure Key Vaultのリソースの作成から自己署名証明書の生成、削除、復元、インポート、期限切れ通知設定までの操作をまとめました。
Azure Key Vaultは、アプリケーションのシークレット情報や証明書、暗号化キーなどの機密情報を安全に格納するためのソリューションです。
証明書の管理では、証明書の保管だけでなく、自動更新や有効期限切れの通知も可能です。
Azure Key Vaultのリソース作成から証明書を操作するためのロール割り当て追加までの手順
Azure Key Vaultとは
Azure Key Vaultは、クラウドネイティブなセキュリティサービスです。
機密情報の安全な管理を実現します。
キー、シークレット、証明書などの機密情報を安全に格納することができます。
Azure Application Gatewayなどの証明書管理、ディスク暗号化のカスタムマネージドキー(CMK)の保管、Azure Kubernetes Service(AKS)のシークレットの保管などにも利用されます。
今回は証明書関連の操作を中心に手順を確認しています。
価格レベルについて
価格レベルにはStandard(標準)とPremium(プレミアム)があります。
Standard(標準)はソフトウェアキーを使用して暗号化を行いますが、Premium(プレミアム)はハードウェアセキュリティモジュール(HSM)で保護されたキーを利用できます。
Key Vault の価格
Azure Key Vault について
作成したリソースの設定値
今回作成したAzure Key Vaultのリソースの設定内容です。
検証目的のため、削除されたコンテナーを保持する日数は7日間、ネットワークアクセスはすべてのネットワークを許可しています。
※実環境で利用する際にはセキュリティを考慮して、アクセス元の制限を行うようにします。
| 区分 | 項目 | 設定値 |
| 基本 | Key Vault名 | kv-01 |
| 場所 | Japan East | |
| 価格レベル | 標準 | |
| 削除されたコンテナーを保持する期間 | 7日間 | |
| 消去保護 | 消去保護を無効にする | |
| アクセスポリシー | アクセス制御 | Azure ロールベースのアクセス制御 |
| ネットワーク | パブリックアクセスを有効にする | チェック有 |
| 許可するアクセス元 | すべてのネットワーク |
リソースの作成手順
公式サイトを参考にして、Azure Key Vaultのリソースを作成します。
クイック スタート:Azure portal を使用してキー コンテナーを作成する
| Azure Key Vaultのリソース作成手順 | |
| キーコンテナーで作成を選択します。 |  |
|
インスタンスの詳細を設定します。 今回は検証目的であるため、削除されたコンテナーを保持する日数を7日としています。 |
 |
|
アクセスポリシーのタブです。 |
 |
|
ネットワーク設定では、Azure Key Vaultへのアクセスを許可するネットワークを指定します。 今回は手順確認を目的としているため、すべてのネットワークを許可しています。実際に利用する場合は、セキュリティを考慮してアクセス元ネットワークを制限します。 |
 |
| 確認画面が表示されます。 内容を確認し、問題がなければ作成を選択します。 |
 |
アクセス制御(IAM)で証明書を操作するためのロール割り当てを追加
ユーザーにAzure Key Vaultで証明書操作を行うための権限を付与します。
キー コンテナー証明書責任者のロールを割り当てます。
Key Vault データ プレーン操作のための Azure の組み込みロール
※後ほど実施する証明書の連絡先設定には、キー コンテナー管理者の権限が必要です。
| ロールの割り当てを追加 | |
| リソース作成直後など、証明書を操作する権限がない場合は、RBACで許可されていませんというメッセージが表示されます。 |  |
| キー コンテナーのアクセス制御(IAM)で、ロールの割り当ての追加を選択します。 |  |
| ロールにはキー コンテナー証明書責任者を選択します。 |  |
| ロールを割り当てるメンバーを選択します。 アクセスの割り当て先でユーザー、グループ、またはサービス プリンシパルを選択します。 権限を付与するメンバーを選択します。 |
 |
| 確認画面が表示されます。 レビューと割り当てを選択します。 |
 |
| ロールの割り当てが完了すると、アクセス制御(IAM)に追加したユーザーが表示されます。 |  |
—広告—
Azure Key Vault使った自己署名証明書の生成、バックアップ、削除、復元の手順
自己署名証明書を生成
公式サイトを参考に、自己署名証明書を生成します。
クイック スタート:Azure portal を使用して Azure Key Vault から証明書の設定と取得を行う
| 自己署名証明書を生成 | |
| 証明書のメニューで生成/インポートを選択します。 |  |
|
作成方法で生成を選択します。 ※証明書名に使用できる文字は英数字とダッシュのみです。条件を満たさない場合、証明書作成時にエラーになります。 |
 |
| 有効期間のアクションタイプを4つの中から選択します。 自動更新またはメール送信を選択できます。 |
 |
|
証明機関(CA)は種類から選択します。 |
 |
|
ポリシーの詳細構成では、キーの種類などの設定ができます。 |
 |
| 処理が完了すると、生成された証明書が表示されます。 |  |
生成した自己署名証明書を確認
生成した自己署名証明書を確認します。
| 生成した自己署名証明書を確認 | |
| 生成した証明書を表示します。 |  |
| 発行ポリシーを表示します。 証明書の作成時に設定した内容が表示されます。 |
 |
| 証明書自体を選択するプロパティが表示されます。 証明書のダウンロードもできます。 |
 |
生成した証明書をバックアップしてダウンロード
証明書をバックアップすることができます。
バックアップをファイルとしてダウンロードできます。
| バックアップのダウンロード | |
| 証明書の画面でバックアップのダウンロードを選択します。 バックアップ作成の確認画面が表示されます。 ダウンロードを選択します。 |
 |
証明書削除および回復の手順
証明書の削除には2段階があります。
論理削除と完全削除です。
| 証明書の削除 | |
|
証明書の画面で削除ができます。 |
 |
|
完全に削除する場合や回復する場合は、削除された証明書の管理を利用します。 ※回復を選択すると、削除した証明書を元に戻すことができます。 |
 |
バックアップから証明書を復元(リストア)
バックアップから証明書を復元します。
なお、復元は同じサブスクリプションのAzure Key Vaultにしか実施できないため、注意が必要です。
また、かつ同じジオグラフィー(地理的領域)内である必要があります。
例えば、Japan EastとJapan Westは異なるリージョンですが、同一ジオグラフィーのため復元可能です。
| バックアップから証明書を復元 | |
| 証明書でバックアップの復元を選択します。 |  |
| 事前にダウンロードしておいた証明書のバックアップファイルを選択して開きます。 |  |
| ファイルが読み込まれ、証明書がリストアされます。 |  |
—広告—
Azure Key Vaultへの証明書インポート手順
Azure Key Vaultを利用して、自身が作成した公開証明書や自己署名証明書をインポートして管理できます。
チュートリアル:Azure Key Vault に証明書をインポートする
| 証明書のインポート | |
| 証明書のリソースメニューで生成/インポートを選択します。 |  |
|
インポートする証明書ファイルを選択してアップロードします。 ※PFX形式およびPEM形式に対応しています。 |
 |
| 完了欄に、インポートされた証明書が表示されます。 |  |
| 発行プロパティで、インポートした証明書CNなども確認できます。 |  |
Let’s Encryptの証明書発行、OpenSSLを使って証明書をpem形式からpfx形式へ変換する手順については、こちらで紹介しています。
https://www.tama-negi.com/2020/05/05/webapps-letsencrypt/DNS認証(DNS-01 challenge)を利用したLet’s Encryptの証明書発行手順については、こちらで紹介しています。
Azure Key Vaultで管理する証明書の期限切れ通知設定方法
Azure Key Vaultで証明書を管理している場合、期限切れ前にメール通知を行うことができます。
有効期間の何パーセントを超えた場合や、期限切れの何日前にメール通知するかを指定できます。
証明書の連絡先となるメールアドレスを設定
期限切れを通知するメールアドレスを登録します。
※キーコンテナー証明書責任者のロール(権限)では登録できません。キーコンテナー管理者など、証明書の連絡先を追加できるロール(権限)が必要です。
| 証明書の連絡先にメールアドレスを登録 | |
|
証明書の連絡先でメールアドレスを登録します。 |
 |
発行ポリシーで証明書の期限切れを通知設定
証明書の期限切れ通知は、発行ポリシーで設定します。
証明書の発行ポリシーは、該当する証明書のみに適用されます。
| 証明書の期限切れ通知設定 | |
| 通知対象の証明書で発行ポリシーを選択します。 |  |
|
期限切れ通知の設定は、有効期間のアクションタイプと有効期間の2つの設定から構成されます。
設定が終わったら保存します。 |
【インポートした証明書の場合】 |
【Azure Key Vaultで証明書を生成した場合】 |
|
 |
|
 |
|
証明書の期限切れ通知メールの例
証明書の期限切れ通知のメール例です。
| 証明書の期限切れ通知メール | |
| 証明書の名前、Azure Key Vaultリソース名、有効期限などが確認できます。 |  |
※メールを確認するために、意図的に有効期間の割合を小さく設定しています。
—広告—
最後に
今回は、Azure Key Vaultで証明書を管理するための手順について確認しました。
Azure Key Vaultを利用することで、証明書の期限切れ通知などが行えるため、非常に便利です。
また、Azure Application GatewayやAzure Front Doorとの連携も可能なため、Azureでの証明書管理にAzure Key Vaultを利用するのは非常に良い選択だと思いました。
引き続き、いろいろ試してみたいと思います。
Azure Key Vaultのシークレットを利用する手順については、こちらで紹介しています。
シークレットの作成手順や、マネージドIDを利用したシークレットの参照方法も紹介しています。