Azure Key Vaultで証明書期限切れ前にMail通知する

 

Azure App ServiceやAzure Front Door等のサービスでSSL証明書を使う場合、Azure Key Vault(Azureキーコンテナー) にSSL証明書を保管して利用する事があります。

今回は、マイクロソフト様のサイトを参考に、Let’s Encryptで発行した証明書をAzure Key Vault(Azureキーコンテナー) インポートして、証明書切れを事前にメール通知する設定まで試してみました。

 

Let’s Encryptでの証明書発行、OpenSSlを使った証明書のPFX化は以前やった記事も参考にしていただければと。

Azure Web Appsの拡張機能を使わずにLet’s Encryptで証明書を発行してOpenSSLでPFX形式へ変換してみた

 

1 .Let’s Encryptで発行したSSL証明書をAzure Key Vault(Azureキーコンテナー) インポートする

最初に以下のサイトを参考に、Azure Portalを使ったAzure Key Vault(Azureキーコンテナー)へのSSL証明書インポートを試してみました。

https://docs.microsoft.com/ja-jp/azure/key-vault/certificates/tutorial-import-certificate

非常に簡単です。アップロードして名前を付けて保存するだけです。

1)キーコンテナーのメニューで、設定にある証明書を選択。生成/インポートが表示されるのでこれをクリックします。

2)証明書の作成が表示されます。証明書の作成方法をインポートを選択します。下記画面が表示されますので、証明書の名前を設定し、証明書ファイルのアップロードでSSL証明書(PFX形式)をアップロードします。パスワードはパスワード付きでSSL証明書を作成している場合はこちらにパスワードを入力します。

保存すれば設定作業完了です。

これでAzure Key Vault(Azureキーコンテナー)から呼び出して各サービスでSSL証明書を利用できますが、実際の利用には注意が必要です。

Azure Front Doorのように、事前にキー コンテナーへの アクセス権付与が必要となるケースもありますので、この点は確認が必要です。

https://docs.microsoft.com/ja-jp/azure/frontdoor/front-door-custom-domain-https

 

.Azure Key Vault(Azureキーコンテナー)の機能を使ってSSL証明書の期限切れ前にメール通知する

以下のサイトを参考に、Azure Key Vault(Azureキーコンテナー)でSSL証明書期限切れ前のメール通知を試してみました。

https://docs.microsoft.com/ja-jp/azure/key-vault/certificates/tutorial-rotate-certificates

これも非常に簡単です。メール通知連絡先の登録、何日前に通知するのか?の設定だけです。

まず、期限切れを通知するメールアドレスを登録します。

1)キーコンテナーのメニューで、設定にある証明書を選択。証明書の連絡先が表示されるのでこれをクリックします。

2)証明書の連絡先が表示されますので、電子メールの部分に連絡先のメールアドレスを登録します。

これで、通知先のメールアドレスが登録出来ました。

次に期限切れの通知設定を行います。

1)キーコンテナーのメニューで、設定にある証明書を選択。期限切れ通知を設定するSSL証明書を選択します。

2)SSL証明書を選択すると以下の画面が表示されますので、発行ポリシーを選択します。

3)発行ポリシーの画面で、有効期間のアクションタイプを設定します。今回は14日前に通知という形にしますので、”有効期限の残りが指定された日数になったら、すべての連絡先にメールを送信する”を選択します。

4)今回は14日前に通知という想定していますので、有効期限までの日数に14と入力します。

保存すると設定完了です。期限切れ14日前に、メール通知されるようになります。

 

非常に簡単に設定できました。

SSL証明書の期限切れは結構多いので、この設定は絶対に使った方が良いかと思いました。