Share via

أساليب إنشاء الشهادة

  • مقالة

يمكن إنشاء شهادة Key Vault (KV) أو استيرادها إلى خزنة مفاتيح. عند إنشاء شهادة KV، يتم إنشاء المفتاح الخاص داخل مخزن المفاتيح ولا يتعرض أبدا لمالك الشهادة. فيما يلي طرق لإنشاء شهادة في Key Vault:

  • إنشاء شهادة موقعة ذاتيا: إنشاء زوج مفاتيح عام-خاص وربطه بشهادة. سيتم توقيع الشهادة بواسطة مفتاحها الخاص.

  • إنشاء شهادة جديدة يدويا: إنشاء زوج مفاتيح عام-خاص وإنشاء طلب توقيع شهادة X.509. يمكن توقيع طلب التوقيع بواسطة مرجع التسجيل أو المرجع المصدق. يمكن دمج شهادة x509 الموقعة مع زوج المفاتيح المعلق لإكمال شهادة KV في Key Vault. على الرغم من أن هذه الطريقة تتطلب المزيد من الخطوات، إلا أنها توفر لك مزيداً من الأمان لأن المفتاح الخاص يتم إنشاؤه في Key Vault وحصره.

Create a certificate with your own certificate authority

تتوافق الأوصاف التالية مع الخطوات ذات الأحرف الخضراء في الرسم التخطيطي السابق.

  1. في الرسم التخطيطي، يقوم التطبيق الخاص بك بإنشاء شهادة، والتي تبدأ داخليا بإنشاء مفتاح في مخزن المفاتيح الخاص بك.
  2. يُعيد Key Vault إلى تطبيقك طلب توقيع الشهادة (CSR)
  3. يمرر التطبيق CSR إلى المرجع المصدق الذي اخترته.
  4. المرجع المصدق الذي اخترته يستجيب بشهادة X509.
  5. يكمل تطبيقك إنشاء الشهادة الجديدة بدمج شهادة X509 من المرجع المصدق الخاص بك.
  • إنشاء شهادة مع موفر مُصدر معروف: تتطلب منك هذه الطريقة القيام بمهمة لمرة واحدة لإنشاء كائن مُصدر. بمجرد إنشاء كائن مصدر في مخزن المفاتيح الخاص بك، يمكن الرجوع إلى اسمه في نهج شهادة KV. سيؤدي طلب إنشاء شهادة KV هذه إلى إنشاء زوج مفاتيح في الخزنة والتواصل مع خدمة مزود المُصدر باستخدام المعلومات الموجودة في كائن المُصدر المُشار إليه للحصول على شهادة x509. يتم استرداد شهادة x509 من خدمة المُصدر ويتم دمجها مع زوج المفاتيح لإكمال إنشاء شهادة KV.

Create a certificate with a Key Vault partnered certificate authority

تتوافق الأوصاف التالية مع الخطوات ذات الأحرف الخضراء في الرسم التخطيطي السابق.

  1. في الرسم التخطيطي، يقوم التطبيق الخاص بك بإنشاء شهادة، والتي تبدأ داخليا بإنشاء مفتاح في مخزن المفاتيح الخاص بك.
  2. يرسل Key Vault طلب شهادة TLS / SSL إلى CA.
  3. يجري تطبيقك، في عملية تكرار حلقي وانتظار، استقصاءً لـ Key Vault لديك لإكمال الشهادة. يكتمل إنشاء الشهادة عندما يتلقى Key Vault رد المرجع المصدق بشهادة x509.
  4. يستجيب المرجع المصدق لطلب شهادة TLS / SSL الخاص بـ Key Vault بشهادة TLS / SSL X.509.
  5. يكتمل إنشاء شهادتك الجديدة بدمج شهادة TLS / SSL X.509 لـ CA.

عملية غير متزامنة

إنشاء شهادة KV هو عملية غير متزامنة. ستقوم هذه العملية بإنشاء طلب شهادة KV وإرجاع رمز حالة http 202 (مقبول). يمكن تعقب حالة الطلب عن طريق استقصاء الكائن المعلق الذي تم إنشاؤه بواسطة هذه العملية. يتم إرجاع URI الكامل للعنصر المعلق في رأس LOCATION.

عند اكتمال طلب إنشاء شهادة KV، ستتغير حالة العنصر المعلق إلى "مكتمل" من "قيد التقدم"، وسيتم إنشاء إصدار جديد من شهادة KV. سيصبح هذا هو الإصدار الحالي.

الإبداع الأول

عند إنشاء شهادة KV لأول مرة، يتم أيضا إنشاء مفتاح وسر قابلين للعنوان بنفس اسم الشهادة. إذا كان الاسم قيد الاستخدام بالفعل، فستفشل العملية مع رمز حالة http 409 (تعارض). يحصل المفتاح والسر القابل للعنونة على سماتهما من سمات شهادة KV. يتم تمييز المفتاح والسر القابل للعنونة اللذين تم إنشاؤهما بهذه الطريقة كمفاتيح وأسرار مُدارة، تتم إدارة حياتها بواسطة Key Vault. المفاتيح والأسرار المُدارة للقراءة فقط. ملاحظة: إذا انتهت صلاحية شهادة KV أو تم تعطيلها، فسيصبح المفتاح والسر المقابلان غير صالحين للعمل.

إذا كانت هذه هي العملية الأولى لإنشاء شهادة KV، يلزم وجود نهج. يمكن أيضاً تزويد النهج بعمليات إنشاء متتالية لاستبدال مورد النهج. إذا لم يتم توفير نهج، فسيتم استخدام مورد النهج على الخدمة لإنشاء إصدار تالي من شهادة KV. في حين أن طلب إنشاء إصدار تالي قيد التقدم، تظل شهادة KV الحالية والمفتاح والبيانات السرية القابلة للعنوان المقابلة دون تغيير.

شهادة صادرة ذاتياً

لإنشاء شهادة مُصدرة ذاتياً، عيِّن اسم المُصدر على أنه "ذاتي" في نهج الشهادة كما هو موضح في المقتطف التالي من نهج الشهادة.

"issuer": {  
       "name": "Self"  
    }

إذا لم يتم تحديد اسم المصدر، فسيتم تعيين اسم المصدر إلى "غير معروف". عندما يكون المصدر "غير معروف"، سيتعين على مالك الشهادة الحصول يدويا على شهادة x509 من المصدر الذي يختاره، ثم دمج شهادة x509 العامة مع الكائن المعلق لشهادة مخزن المفاتيح لإكمال إنشاء الشهادة.

"issuer": {  
       "name": "Unknown"  
    }

مزودو CA المتعاونون

يمكن إكمال إنشاء الشهادة يدوياً أو باستخدام مُصدر "ذاتي". تتعاون Key Vault أيضاً مع موفري مُصدر معينين لتبسيط إنشاء الشهادات. يمكن طلب الأنواع التالية من الشهادات لمخزن المفاتيح مع موفري المصدر الشريكين.

الموفر نوع الشهادة إعداد التكوين
DigiCert تقدم Key Vault شهادات OV أو EV SSL مع DigiCert دليل التكامل
GlobalSign تقدم Key Vault شهادات OV أو EV SSL مع GlobalSign دليل التكامل

مُصدر الشهادة هو كيان ممثل في Azure Key Vault (KV) كمورد CertificateIssuer. يتم استخدامه لتوفير معلومات حول مصدر شهادة KV؛ اسم المُصدر والموفر وبيانات الاعتماد والتفاصيل الإدارية الأخرى.

عند تقديم طلب مع موفر المصدر، قد يحترم أو يتجاوز ملحقات شهادة x509 وفترة صلاحية الشهادة استنادا إلى نوع الشهادة.

التفويض: يتطلب الشهادات/ إذن إنشاء.

راجع أيضًا: