دمج Key Vault مع المراجع المصدقة المتكاملة
يتيح لك Azure Key Vault توفير الشهادات الرقمية وإدارتها ونشرها بسهولة لشبكتك وتمكين الاتصالات الآمنة للتطبيقات. الشهادة الرقمية هي بيانات اعتماد إلكترونية تُثبت إثبات الهوية في معاملة إلكترونية.
يتمتع Azure Key Vault بشراكة موثوقة مع المراجع المصدقة التالية:
يمكن لمستخدمي Azure Key Vault إنشاء شهادات DigiCert / GlobalSign مباشرةً من مخازن المفاتيح الخاصة بهم. تضمن شراكة Key Vault إدارة دورة حياة الشهادة الشاملة للشهادات الصادرة عن DigiCert.
للحصول على مزيد من المعلومات العامة حول الشهادات، راجع شهادات Azure Key Vault.
إذا لم يكن لديك اشتراك Azure، فأنشئ حسابًا مجانيًا قبل أن تبدأ.
المتطلبات الأساسية
لإكمال الإجراءات الواردة في هذه المقالة، يجب أن يكون لديك:
- خزنة مفتاح. يمكنك استخدام مخزن مفاتيح موجود أو إنشاء مخزن عن طريق إكمال الخطوات في إحدى عمليات التشغيل السريع هذه:
- حساب DigiCert CertCentral المنشط. اشترك في حساب CertCentral الخاص بك.
- أذونات على مستوى المسؤول في حساباتك.
قبل البدء
DigiCert
تأكد من حصولك على المعلومات التالية من حسابك على DigiCert CertCentral:
- معرف حساب CertCentral
- معرّف المؤسسة
- مفتاح API
- معرف الحساب
- كلمة مرور الحساب
GlobalSign
تأكد من حصولك على المعلومات التالية من حساب Global Sign لديك:
- معرف الحساب
- كلمة مرور الحساب
- الاسم الأول للمسؤول
- اسم العائلة للمسؤول
- البريد الإلكتروني للمسؤول
- رقم الهاتف المسؤول
أضف المرجع المصدق في Key Vault
بعد جمع المعلومات السابقة من حساب DigiCert CertCentral الخاص بك، يمكنك إضافة DigiCert إلى قائمة المرجع المصدق في مخزن المفاتيح.
مدخل Azure (DigiCert)
لإضافة مرجع مصدق DigiCert، انتقل إلى مفتاح الخزنة الذي تريد إضافته إليه.
في صفحة خصائص Key Vault، حدد الشهادات .
حدد علامة التبويب المراجع المصدقة:
حدد إضافة:
ضمن إنشاء مرجع مصدق ، أدخل هذه القيم:
- الاسم : اسم مُصدر قابل للتحديد. على سبيل المثال، DigiCertCA .
- الموفر : DigiCert .
- معرف الحساب : معرف حساب DigiCert CertCentral الخاص بك.
- كلمة مرور الحساب : مفتاح واجهة برمجة التطبيقات الذي أنشأته في حسابك على DigiCert CertCentral.
- معرف المؤسسة : معرف المؤسسة من حساب DigiCert CertCentral الخاص بك.
حدد إنشاء.
DigicertCA الآن في قائمة المرجع المصدق.
مدخل Azure (GlobalSign)
لإضافة مرجع شهادة GlobalSign، انتقل إلى مخزن المفاتيح الذي تريد إضافته إليه.
في صفحة خصائص Key Vault، حدد الشهادات .
حدد علامة التبويب المراجع المصدقة:
حدد إضافة:
ضمن إنشاء مرجع مصدق ، أدخل هذه القيم:
- الاسم : اسم مُصدر قابل للتحديد. على سبيل المثال، GlobalSignCA.
- موفر الخدمة: GlobalSign.
- معرف الحساب: معرف حساب GlobalSign.
- كلمة مرور الحساب: كلمة مرور حساب GlobalSign لديك.
- الاسم الأول للمسؤول: الاسم الأول لمسؤول حساب Global Sign.
- اسم العائلة للمسؤول: اسم العائلة لمسؤول حساب Global Sign.
- البريد الإلكتروني للمسؤول: البريد الإلكتروني لمسؤول حساب Global Sign.
- رقم هاتف المسؤول: رقم هاتف مسؤول حساب Global Sign.
حدد إنشاء.
تندرج GlobalSignCA الآن في قائمة المرجع المصدق.
Azure PowerShell
يمكنك استخدام Azure PowerShell لإنشاء موارد Azure وإدارتها باستخدام الأوامر أو البرامج النصية. يستضيف Azure Cloud Shell، وهي بيئة صدفة تفاعلية يمكنك استخدامها من خلال بوابة Azure في المستعرض.
إذا اخترت تثبيت PowerShell واستخدامه محليًا، فأنت بحاجة إلى وحدة Azure AZ PowerShell 1.0.0 أو إصدار أحدث لإكمال الإجراءات هنا. اكتب $PSVersionTable.PSVersion
لتحديد الإصدار. إذا كنت بحاجة إلى الترقية، فراجع تثبيت وحدة Azure AZ PowerShell . إذا كنت تقوم بتشغيل PowerShell محليًا، فستحتاج أيضًا إلى تشغيل Connect-AzAccount
لإنشاء اتصال بـ Azure:
Connect-AzAccount
أنشئ مجموعة موارد Azure باستخدام New-AzResourceGroup . وتُعد مجموعة الموارد عبارة عن حاوية منطقية يتم فيها توزيع موارد Azure وإدارتها.
New-AzResourceGroup -Name ContosoResourceGroup -Location EastUS
قم بإنشاء مفتاح خزنة لها اسم فريد. هنا،
Contoso-Vaultname
هو اسم مفتاح الخزنة.- اسم Vault :
Contoso-Vaultname
- اسم مجموعة الموارد :
ContosoResourceGroup
- الموقع :
EastUS
New-AzKeyVault -Name 'Contoso-Vaultname' -ResourceGroupName 'ContosoResourceGroup' -Location 'EastUS'
- اسم Vault :
حدد المتغيرات للقيم التالية من حساب DigiCert CertCentral الخاص بك:
- ID الحساب
- ID المؤسسة
- مفتاح API
$accountId = "myDigiCertCertCentralAccountID" $org = New-AzKeyVaultCertificateOrganizationDetail -Id OrganizationIDfromDigiCertAccount $secureApiKey = ConvertTo-SecureString DigiCertCertCentralAPIKey -AsPlainText –Force
اضبط المُصدر. سيؤدي القيام بذلك إلى إضافة Digicert كمرجع مصدق في مفتاح الخزنة. اعرف المزيد حول المعلمات.
Set-AzKeyVaultCertificateIssuer -VaultName "Contoso-Vaultname" -Name "TestIssuer01" -IssuerProvider DigiCert -AccountId $accountId -ApiKey $secureApiKey -OrganizationDetails $org -PassThru
قم بتعيين سياسة الشهادة وإصدار الشهادة من DigiCert مباشرة في Key Vault:
$Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "TestIssuer01" -ValidityInMonths 12 -RenewAtNumberOfDaysBeforeExpiry 60 Add-AzKeyVaultCertificate -VaultName "Contoso-Vaultname" -Name "ExampleCertificate" -CertificatePolicy $Policy
يتم إصدار الشهادة الآن من قبل مرجع مصدق DigiCert في مفتاح الخزنة المحدد.
استكشاف الأخطاء وإصلاحها
إذا كانت الشهادة التي تم إصدارها في حالة التعطيل في مدخل Azure، فقم بعرض عملية الشهادة لمراجعة رسالة خطأ DigiCert للشهادة:
رسالة الخطأ: "الرجاء إجراء دمج لإكمال طلب الشهادة هذا".
دمج CSR الموقعة من قبل المرجع المصدق لإكمال الطلب. للحصول على معلومات حول دمج ممثل خدمة العملاء، راجع إنشاء ودمج ممثل خدمة العملاء .
لمزيد من المعلومات، راجع عمليات الشهادة في مرجع Key Vault REST API . للحصول على معلومات حول إنشاء الأذونات، راجع الخزائن - إنشاء أو تحديث و الخزائن - تحديث سياسة الوصول .