إنشاء طلب توقيع شهادة ودمجه في Key Vault

يدعم Azure Key Vault تخزين الشهادات الرقمية الصادرة عن أي مصدر شهادة (CA). وهو يدعم إنشاء طلب توقيع شهادة (CSR) مع زوج مفاتيح خاص/عام. يمكن توقيع CSR من قِبل أي مصدر شهادة (CA) (مصدر شهادة تابع لمؤسسة داخلية أو مصدر شهادة عمومي خارجي). طلب توقيع الشهادة (CSR) هي رسالة تقوم بإرسالها إلى مصدر الشهادة لطلب شهادة رقمية.

للحصول على مزيد من المعلومات العامة حول الشهادات، راجع شهادات Azure Key Vault.

إذا لم يكن لديك اشتراك Azure، فأنشئ حساباً مجانياً قبل أن تبدأ.

إضافة شهادات في "Key Vault" صادرة عن مصدري الشهادات الشركاء

شركاء Key Vault مع مصدري الشهادات التالين لتبسيط إنشاء الشهادة.

⁧⁩"الموفر"⁧⁩	نوع الشهادة	إعداد التكوين
DigiCert	تقدم Key Vault شهادات OV أو EV SSL مع DigiCert	دليل التكامل
GlobalSign	تقدم Key Vault شهادات OV أو EV SSL مع GlobalSign	دليل التكامل

إضافة شهادات في Key Vault صادر عن مصدري الشهادات غير الشركاء

اتبع هذه الخطوات لإضافة شهادة من مصدري الشهادات من غير الشركاء مع Key Vault. (على سبيل المثال، GoDaddy ليس مصدر شهادة موثوقاً به لدى Key Vault.)

المدخل

1. انتقل إلى Key Vault التي تريد إضافة الشهادة إليها.

2. في صفحة الخصائص، حدد الشهادات.

3. حدد علامة التبويب إنشاء/استيراد.

4. على شاشة إنشاء شهادة اختر القيم التالية:

   • طريقة إنشاء الشهادة: إنشاء.
   • اسم الشهادة: ContosoManualCSRCertificate.
   • نوع مصدر الشهادة: شهادة صادرة عن مصدر شهادة غير متكامل.
   • الموضوع: "CN=www.contosoHRApp.com".

   ملاحظة

   إذا كنت تستخدم اسماً مميزاً نسبياً (RDN) يحتوي على فاصلة (،) في القيمة، فقم بتضمين القيمة التي تحتوي على الحرف الخاص في علامات الاقتباس المزدوجة.

   إدخال مثال إلى الموضوع: DC=Contoso,OU="Docs,Contoso",CN=www.contosoHRApp.com

   في هذا المثال، OU يحتوي RDN على قيمة بفاصلة في الاسم. الناتج عن OU هو المستندات، Contoso.

5. حدد القيم الأخرى كما هو مطلوب، ثم حدد "Create" لإضافة الشهادة إلى قائمة الشهادات.

   

6. في قائمة الشهادات، حدد الشهادة الجديدة. الحالة الحالية للشهادة معطلة لأنه لم يتم إصدارها من قِبل مصدر الشهادة حتى الآن.

7. في علامة التبويب عملية الشهادة، حدد "Download CSR" .

   

8. اطلب من مصدر الشهادة توقيع CSR ‏(.csr).

9. بعد توقيع الطلب، حدد "Merge Signed Request" على علامة التبويب عملية الشهادة لإضافة الشهادة الموقعة إلى Key Vault.

تم الآن دمج طلب الشهادة بنجاح.

PowerShell

1. إنشاء نهج الشهادة. نظرا لعدم الشراكة مع مصدر الشهادة الذي تم اختياره في هذا السيناريو، يتم تعيين اسم المصدر إلى غير معروف ولا يسجل Key Vault الشهادة أو يجددها.

   $policy = New-AzKeyVaultCertificatePolicy -SubjectName "CN=www.contosoHRApp.com" -ValidityInMonths 1  -IssuerName Unknown
   

   ملاحظة

   إذا كنت تستخدم اسماً نسبياً مميزاً (RDN) يحتوي على فاصلة (،) في القيمة، فاستخدم علامات الاقتباس المفردة للقيمة الكاملة أو مجموعة القيمة، وضمّن القيمة التي تحتوي على الحرف الخاص في علامات اقتباس مزدوجة.

   إدخال مثال إلى اسم الموضوع: $policy = New-AzKeyVaultCertificatePolicy -SubjectName 'OU="Docs,Contoso",DC=Contoso,CN=www.contosoHRApp.com' -ValidityInMonths 1 -IssuerName Unknown في هذا المثال، OU تقرأ القيمة كـ مستندات، Contoso. يعمل هذا التنسيق لجميع القيم التي تحتوي على فاصلة.

   في هذا المثال، OU يحتوي RDN على قيمة بفاصلة في الاسم. الناتج عن OU هو المستندات، Contoso.

2. إنشاء طلب توقيع شهادة.

   $csr = Add-AzKeyVaultCertificate -VaultName ContosoKV -Name ContosoManualCSRCertificate -CertificatePolicy $policy
   $csr.CertificateSigningRequest
   

3. اطلب من CA توقيع CSR. $csr.CertificateSigningRequestهو أساس ترميز CSR للشهادة. يمكنك تفريغ هذه البيانات الثنائية الكبيرة في موقع طلب الشهادة الخاص بجهة الإصدار. تختلف هذه الخطوة من CA إلى CA. ابحث عن إرشادات CA لديك حول كيفية تنفيذ هذه الخطوة. يمكنك أيضاً استخدام أدوات مثل certreq أو openssl لتوقيع CSR وإكمال عملية إنشاء شهادة.

4. دمج الطلب الموقع في Key Vault. بعد توقيع طلب الشهادة، يمكنك دمجه مع زوج المفاتيح الأولي الخاص/العام الذي تم إنشاؤه في Azure Key Vault.

   Import-AzKeyVaultCertificate -VaultName ContosoKV -Name ContosoManualCSRCertificate -FilePath C:\test\OutputCertificateFile.cer
   

تم الآن دمج طلب الشهادة بنجاح.

إضافة مزيد من المعلومات إلى CSR

إذا كنت تريد إضافة مزيد من المعلومات عند إنشاء CSR، قم بتعريفها في اسم الموضوع. قد ترغب في إضافة معلومات مثل:

• البلد / المنطقة
• المدينة/المنطقة
• المحافظة/المنطقة
• المؤسسة
• الوحدة التنظيمية

مثال

SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US"

ملاحظة

إذا كنت تطلب شهادة التحقق من صحة المجال (DV) مع معلومات إضافية، فقد يرفض مصدر الشهادة الطلب إذا لم يتمكن من التحقق من صحة جميع المعلومات الواردة في الطلب. قد تكون المعلومات الإضافية أكثر ملاءمة إذا كنت تطلب شهادة التحقق من صحة المؤسسة (OV).

‏‫الأسئلة المتداولة

• كيف يمكنني مراقبة أو إدارة CSR؟

  راجع مراقبة إنشاء الشهادة وإدارتها .

• ماذا لو رأيت نوع الخطأ "المفتاح العام لشهادة الكيان النهائي في محتوى شهادة X.509 المحدد لا يتطابق مع الجزء العام من المفتاح الخاص المحدد. يرجى التحقق مما إذا كانت الشهادة صالحة" ؟

  يحدث هذا الخطأ إذا كنت لا تدمج CSR الموقع مع نفس طلب CSR الذي بدأته. كل CSR جديد تقوم بإنشائه يحتوي على مفتاح خاص، والذي يجب أن يتطابق عند دمج الطلب الموقع.

• عندما يتم دمج CSR، هل سيتم دمج السلسلة بأكملها؟

  نعم، سيتم دمج السلسلة بأكملها، شريطة أن يكون المستخدم قد أعاد ملف .p7b لدمجه.

• ماذا لو كانت الشهادة الصادرة في حالة تعطيل في مدخل Microsoft Azure؟

  اعرض علامة التبويب عملية الشهادة لمراجعة رسالة الخطأ لهذه الشهادة.

• ماذا لو رأيت نوع الخطأ "اسم الموضوع المقدم ليس اسم X500 صالحاً" ؟

  قد يحدث هذا الخطأ إذا كان اسم الموضوع يتضمن أي أحرف خاصة. راجع الملاحظات في مدخل Microsoft Azure وإرشادات PowerShell.

• نوع الخطأ تم بالفعل استخدام CSR المستخدم للحصول على شهادتك. يرجى محاولة إنشاء شهادة جديدة مع CSR جديد. انتقل إلى قسم 'النهج المتقدمة' في الشهادة وتحقق من إيقاف تشغيل خيار 'reuse key on renewal'.

---

الخطوات التالية

• المصادقة والطلبات والاستجابات
• دليل مطور Key Vault
• مرجع واجهة برمجة تطبيقات REST لـ Azure Key Vault
• مخازن - إنشاء أو تحديث
• مخازن - تحديث نهج الوصول