Hablemos de algo que odiamos hacer, rotar certificados SSL. Desde rotarlos para nuestros servidores web hasta rotar certificados de aplicaciones AAD, es algo que lleva tiempo, no es divertido, y si te olvidas de hacerlo… puede costarle a tu organización cientos de miles de dólares. Probablemente haya leído sobre la rotación automática de certificados de AKV con digicert y se pregunte si puede hacer la Lo mismo para sus certificados privados. El TL;DR es sí, pero necesitará EZCA, una herramienta de administración de certificados creada por ex ingenieros de Microsoft PKI que tiene increíbles integraciones de certificados nativos para Azure, una de ellas es nuestra rotación automática de Key Vault.
EZCA puede crear y rotar automáticamente sus certificados en su bóveda de claves, pero primero hay algunas cosas que deberá hacer. Cree su CA EZCA no se preocupe si desea utilizar su CA ADCS existente, puede conectar su ADCS CA a EZCA y modernícelo con todas las conexiones nativas de la nube que ofrece EZCA. Una vez que su CA esté creada en EZCA, puede darle acceso a EZCA a su Key Vault Nota: Si va a utilizar la rotación de certificados AAD, EZCA también requiere permiso de firma, esto nos permite firmar la solicitud sin siquiera tocar su clave privada. Una vez que EZCA tenga acceso, puede registrar su dominio y solicite su certificado de bóveda de claves en EZCA. Sólo recuerda configurarlo para que se renueve automáticamente y deja que EZCA haga la magia por ti.
Ahora, si desea habilitar la rotación automática de certificados AAD, debe otorgar permiso a su aplicación para rotar su propia credencial y luego repita los mismos pasos de solicitud de certificado anteriores pero agregando el ID de la aplicación en el campo ID de la aplicación. Nota: tendrás que registrar el primer certificado ya que no podemos hacerlo, pero después puedes rotar el certificado y ver cómo se agrega el nuevo a tu aplicación.
Hasta ahora solo hemos hablado de que EZCA gestione certificados privados pero con integraciones como nuestra integración GlobalSign ahora también puede automatizar la emisión de certificados públicos utilizando las mismas herramientas que utiliza para sus certificados privados. Si aún tiene preguntas, no dude en reservar una llamada con nuestros expertos en PKI y ellos podrán ayudarle a ver cuál es la mejor configuración para usted. es (a veces puedes automatizar todos tus certificados de forma gratuita).
