البدء باستخدام شهادات Key Vault
توضح السيناريوهات التالية العديد من الاستخدامات الأساسية لخدمة إدارة الشهادات في Key Vault بما في ذلك الخطوات الإضافية المطلوبة لإنشاء شهادتك الأولى في خزينة المفاتيح.
تم توضيح ما يلي:
- إنشاء أول شهادة Key Vault الخاصة بك
- إنشاء شهادة مع المرجع المصدق الذي يشارك مع Key Vault
- إنشاء شهادة بمرجع مصدق غير مشترك مع Key Vault
- استيراد شهادة
الشهادات هي عناصر معقدة
تتكون الشهادات من ثلاثة موارد مترابطة؛ مرتبطة معاً كشهادة Key Vault؛ بيانات التعريف للشهادة ومفتاح وسر.
إنشاء أول شهادة Key Vault الخاصة بك
قبل أن يتم إنشاء شهادة في Key Vault (KV)، يجب إتمام الخطوتين 1 و2 بنجاح، ويجب وجود مخزن مفاتيح لهذا المستخدم/ المؤسسة.
الخطوة 1: موفرو المرجع المصدق (CA)
- يعد الالتحاق بصفتك IT Admin أو PKI Admin أو أي شخص يدير حسابات مع مراجع مصدقة (CAs) لشركة معينة (مثل شركة Contoso) شرطاً أساسياً لاستخدام شهادات Key Vault.
المراجع المصدقة (CA) التالية هي الموفرات الحالية المشتركة مع Key Vault. تعرَّف على المزيد من هنا- تقدم DigiCert - Key Vault شهادات OV TLS / SSL مع DigiCert.
- تقدم GlobalSign - Key Vault شهادات OV TLS / SSL مع GlobalSign.
الخطوة 2: ينشئ مسؤول الحساب لموفر CA بيانات اعتماد لاستخدامها من قبل 密钥保管库 لتسجيل شهادات TLS/SSL وتجديدها واستخدامها عبر 密钥保管库.
الخطوة 3أ: يمكن لمسؤول Contoso، جنبا إلى جنب مع موظف Contoso (مستخدم 密钥保管库) الذي يمتلك الشهادات، اعتمادا على المرجع المصدق، الحصول على شهادة من المسؤول أو مباشرة من الحساب مع المرجع المصدق.
- ابدأ عملية إضافة بيانات اعتماد إلى مخزن مفاتيح عن طريق تعيين مصدر شهادة. مُصدر الشهادة هو كيان ممثل في Azure Key Vault (KV) كمورد CertificateIssuer. يتم استخدامه لتوفير معلومات حول مصدر شهادة KV؛ اسم المُصدر والموفر وبيانات الاعتماد، والتفاصيل الإدارية الأخرى.
مثال. MyDigiCertIssuer
- "الموفر"
- بيانات الاعتماد - بيانات اعتماد حساب CA. كل مرجع مصدق لديه بياناته الخاصة.
لمزيد من المعلومات حول إنشاء حسابات مع موفري CA، راجع المنشور ذا الصلة على مدونة Key Vault.
الخطوة 3 ب: إعداد جهات اتصال الشهادة للإعلامات. هذه هي جهة الاتصال الخاصة بمستخدم Key Vault. Key Vault لا يفرض هذه الخطوة.
ملاحظة - هذه العملية، من خلال الخطوة 3b، هي عملية لمرة واحدة.
إنشاء شهادة مع المرجع المصدق (CA) بالشراكة مع Key Vault
الخطوة 4: تتوافق الأوصاف التالية مع الخطوات ذات التعداد الرقمي الأخضر في الرسم التخطيطي السابق.
(1) - في الرسم البياني أعلاه، يقوم التطبيق الخاص بك بإنشاء شهادة تبدأ داخلياً بإنشاء مفتاح في خزينة المفاتيح الخاصة بك.
(2) - يرسل Key Vault طلب شهادة TLS / SSL إلى CA.
(3) - يستطلع التطبيق الخاص بك، في حلقة وعملية انتظار، من أجل Key Vault الخاص بك لإكمال الشهادة. يكتمل إنشاء الشهادة عندما يتلقى Key Vault رد المرجع المصدق بشهادة x509.
(4) - يستجيب المرجع المصدق لطلب شهادةTLS / SSL الخاص بـ Key Vault بشهادة X509 TLS / SSL.
(5) - يكتمل إنشاء شهادتك الجديدة بدمج شهادة X509 الخاصة بشهادة CA.
مستخدم Key Vault - يُنشئ شهادة عن طريق تحديد نهج
كرر حسب الحاجة
قيود النهج
- خصائص X509
- الخصائص الرئيسية
- مرجع الموفر - > على سبيل المثال. MyDigiCertIssure
- معلومات التجديد - > على سبيل، 90 يوماً قبل انتهاء الصلاحية
عادة ما تكون عملية إنشاء الشهادة عملية غير متزامنة، وتتضمن استقصاء خزينة المفاتيح الخاصة بك عن حالة عملية إنشاء الشهادة.
الحصول على عملية الشهادة- الحالة: مكتمل أو فشل مع وجود معلومات خطأ أو تم إلغاؤه
- بسبب التأخير في الإنشاء، يمكن بدء عملية إلغاء. قد يكون الإلغاء ساري المفعول، وقد لا يكون كذلك.
نُهج أمان الشبكة والوصول المرتبطة بالمرجع المصدق المتكامل
ترسل خدمة Key Vault الطلبات إلى CA (نسبة استخدام الشبكة الصادرة). لذلك، فهو متوافق تماماً مع مخازن المفاتيح التي تم تمكين جدار الحماية بها. لا يشارك Key Vault نُهج الوصول مع CA. يجب تكوين المرجع المصدق لقبول طلبات التوقيع بشكل مستقل. دليل حول دمج المرجع المصدق (CA) الموثوق به
استيراد شهادة
بدلاً من ذلك -يمكن استيراد الشهادة إلىKey Vault - PFX أو PEM.
شهادة الاستيراد- تتطلب وجود PEM أو PFX على القرص ولديك مفتاح خاص.
يجب تحديد: اسم المخزن واسم الشهادة (النهج اختيارية)
تحتوي ملفات PEM / PFX على سمات يمكن لـ KV تحليلها واستخدامها لتعبئة نهج الشهادة. في حالة تحديد نهج الشهادة بالفعل، سيحاول KV مطابقة البيانات من ملف PFX / PEM.
بمجرد أن يصبح الاستيراد نهائياً، ستستخدم العمليات اللاحقة النهج الجديدة (الإصدارات الجديدة).
إذا لم تكن هناك عمليات أخرى، فإن أول شيء يفعله Key Vault هو إرسال إشعار انتهاء الصلاحية.
يمكن أيضاً للمستخدم تحرير النهج الذي يعمل في وقت الاستيراد ولكنه يحتوي على الإعدادات الافتراضية حيث لم يتم تحديد أي معلومات عند الاستيراد، على سبيل عدم وجود معلومات المُصدر
تنسيقات الاستيراد التي ندعمها
يدعم Azure Key Vault ملفات شهادات .pem و.pfx لاستيراد الشهادات إلى مخزن المفاتيح. نحن ندعم النوع التالي من الاستيراد لتنسيق ملف PEM. شهادة مشفرة PEM واحدة جنبا إلى جنب مع مفتاح PKCS#8 مشفر وغير مشفر له التنسيق التالي:
شهادة -----BEGIN-----
شهادة -----END-----
-----مفتاح خاص-----
-----END PRIVATE KEY-----
عندما تقوم باستيراد الشهادة، فأنت بحاجة إلى التأكد من تضمين المفتاح في الملف نفسه. إذا كان لديك المفتاح الخاص بشكل منفصل بتنسيق مختلف، فستحتاج إلى دمج المفتاح مع الشهادة. توفر بعض المراجع المصدقة شهادات بتنسيقات مختلفة، لذلك قبل استيراد الشهادة، تأكد من أنها إما بتنسيق .pem أو .pfx.
ملاحظة
تأكد من عدم وجود بيانات وصفية أخرى في ملف الشهادة، وأن المفتاح الخاص لا يظهر على أنه مشفر.
تنسيقات Merge CSR التي ندعمها
يدعم AKV تنسيقين يعتمدان على PEM. يمكنك إمّا دمج شهادة PKCS # 8 مشفرة واحدة وإمّا P7B بتشفير base64 (سلسلة من الشهادات موقعة من قِبل CA). إذا كنت بحاجة إلى تحويل تنسيق P7B إلى تنسيق معتمد، يمكنك استخدام certutil -encode
شهادة -----BEGIN-----
شهادة -----END-----
إنشاء شهادة مع المرجع المصدق (CA) ليس في شراكة مع Key Vault
تسمح هذه الطريقة بالعمل مع CAs أخرى غير موفري Key Vault الشركاء، ما يعني أن مؤسستك يمكنها العمل مع CA من اختيارها.
تتوافق أوصاف الخطوة التالية مع الخطوات ذات الأحرف الخضراء في الرسم التخطيطي السابق.
(1) - في الرسم التخطيطي أعلاه، يقوم التطبيق الخاص بك بإنشاء شهادة، والتي تبدأ داخلياً بإنشاء مفتاح في خزينة المفاتيح الخاصة بك.
(2) - يقوم Key Vault بإعادة طلب توقيع الشهادة (CSR) إلى تطبيقك.
(3) - يمرر طلبك CSR إلى CA الذي اخترته.
(4) - المرجع المصدق الذي اخترته يستجيب بشهادة X509.
(5) - يكمل طلبك إنشاء الشهادة الجديدة بدمج شهادة X509 من المرجع المصدق الخاص بك.