小编点评

**问题 1：Can Azure Key Vault Generate DigiCert Certificates?** 答：Azure Key Vault 本身不是证书颁发机构，因此不能直接生成 DigiCert 证书。 **问题 2：Can Azure Key Vault Automatically Rotate Certificates?** 答：是的，在创建证书时可以选择“Lifetime Action Type(证书生存期操作类型)” 来实现自动轮换。支持的选项包括： - 自动轮换（1 天） - 自动轮换（7 天） - 定期邮件提醒（每隔 3 天发送一次） - 发送给所有联系人的电子邮件提醒（每隔 3 天发送一次）

正文

问题描述

因为Azure Key Vault服务上保管的证书可以轻松的与其他Azure服务集成使用，所以需要知道 Key Vault 能不能生成 DigiCert 证书？能不能自动 Rotate 证书呢？

 

问题解答

Azure Key Vault本身只是一个保管库，它不会颁发证书。但是可以在页面上直接生成CA（Certificate Authority）证书，这个证书是由Azure的合作关系机构提供 （DigiCert 和 GlobalSign）。

 同时，在创建证书时候，可以选择“Lifetime Action Type(证书生存期操作类型)” 来实现自动轮换将要过期的证书。 

1）Automatically renew at a given percentage lifetime

2）Automatically renew at a given number of days before expiry

3）E-mail all contacts at a given percentage lifetime

4）E-mail all contacts at a given number of days before expiry

顾名思义，第1，2会自动轮换新证书，第3，4只是会发送通知邮件。

 

所以，本文中的两个问题答案都是肯定的。可以生成 DigiCert 证书，可以自动Rotate证书。

 

 

参考资料

将 Key Vault 与集成证书颁发机构集成：https://docs.azure.cn/zh-cn/key-vault/certificates/how-to-integrate-certificate-authority