Azure Key Vaultで証明書期限切れ前にMail通知する

2020-06-102020-08-29Azure,Key Vault

Azure App ServiceやAzure Front Door等のサービスでSSL証明書を使う場合、Azure Key Vault(Azureキーコンテナー) にSSL証明書を保管して利用する事があります。

今回は、マイクロソフト様のサイトを参考に、Let’s Encryptで発行した証明書をAzure Key Vault(Azureキーコンテナー) インポートして、証明書切れを事前にメール通知する設定まで試してみました。

Let’s Encryptでの証明書発行、OpenSSlを使った証明書のPFX化は以前やった記事も参考にしていただければと。

Let’s Encryptで発行したSSL証明書をAzure Key Vault(Azureキーコンテナー) インポート

最初にマイクロソフト公式サイトを参考に、Azure Portalを使ったAzure Key Vault(Azureキーコンテナー)へのSSL証明書インポートを試してみました。

Azure Key Vault に証明書をインポートする(公式サイト)

非常に簡単です。アップロードして名前を付けて保存するだけです。

１）キーコンテナーのメニューで、設定にある証明書を選択。生成/インポートが表示されるのでこれをクリックします。

２）証明書の作成が表示されます。証明書の作成方法をインポートを選択します。下記画面が表示されますので、証明書の名前を設定し、証明書ファイルのアップロードでSSL証明書(PFX形式)をアップロードします。パスワードはパスワード付きでSSL証明書を作成している場合はこちらにパスワードを入力します。

保存すれば設定作業完了です。

これでAzure Key Vault(Azureキーコンテナー)から呼び出して各サービスでSSL証明書を利用できますが、実際の利用には注意が必要です。

Azure Front Doorのように、事前にキー コンテナーへの アクセス権付与が必要となるケースもありますので、この点は確認が必要です。

Front Door カスタム ドメインで HTTPS を構成する(公式サイト)

App ServiceでのSSL証明書利用については下記に記載しています。

Azure Key Vault(Azureキーコンテナー)の機能を使ってSSL証明書の期限切れ前にメール通知

マイクロソフト公式サイトを参考に、Azure Key Vault(Azureキーコンテナー)でSSL証明書期限切れ前のメール通知を試してみました。

Key Vault における証明書の自動ローテーションを構成する(公式サイト)

これも非常に簡単です。メール通知連絡先の登録、何日前に通知するのか？の設定だけです。

まず、期限切れを通知するメールアドレスを登録します。

１）キーコンテナーのメニューで、設定にある証明書を選択。証明書の連絡先が表示されるのでこれをクリックします。

２）証明書の連絡先が表示されますので、電子メールの部分に連絡先のメールアドレスを登録します。

これで、通知先のメールアドレスが登録出来ました。

次に期限切れの通知設定を行います。

１）キーコンテナーのメニューで、設定にある証明書を選択。期限切れ通知を設定するSSL証明書を選択します。

２）SSL証明書を選択すると以下の画面が表示されますので、発行ポリシーを選択します。

３）発行ポリシーの画面で、有効期間のアクションタイプを設定します。今回は14日前に通知という形にしますので、”有効期限の残りが指定された日数になったら、すべての連絡先にメールを送信する”を選択します。

４）今回は14日前に通知という想定していますので、有効期限までの日数に14と入力します。

保存すると設定完了です。期限切れ14日前に、メール通知されるようになります。

SSL証明書の期限切れは結構多いので、この設定は絶対に使った方が良いかと思いました。