Integrace služby Key Vault s integrovanými certifikačními autoritami
Azure Key Vault umožňuje snadno zřizovat, spravovat a nasazovat digitální certifikáty pro vaši síť a umožnit zabezpečenou komunikaci pro aplikace. Digitální certifikát je elektronické přihlašovací údaje, které vytváří doklad o identitě v elektronické transakci.
Azure Key Vault má důvěryhodné partnerství s následujícími certifikačními autoritami:
Uživatelé služby Azure Key Vault mohou generovat certifikáty DigiCert/GlobalSign přímo ze svých trezorů klíčů. Partnerství služby Key Vault zajišťuje kompletní správu životního cyklu certifikátů pro certifikáty vydané společností DigiCert.
Další obecné informace ocertifikátch
Pokud nemáte předplatné Azure, vytvořte si před zahájením bezplatný účet .
Požadavky
K dokončení postupů v tomto článku potřebujete:
- Trezor klíčů. Pomocí existujícího trezoru klíčů nebo ho můžete vytvořit provedením kroků v jednom z těchto rychlých startů:
- Aktivovaný účet DigiCert CertCentral. Zaregistrujte se ke svému účtu CertCentral.
- Oprávnění na úrovni správce ve vašich účtech.
Než začnete
DigiCert
Ujistěte se, že máte následující informace z účtu DigiCert CertCentral:
- ID účtu CertCentral
- ID organizace
- Klíč rozhraní API
- ID účtu
- Heslo účtu
GlobalSign
Ujistěte se, že máte z účtu globálního podpisu následující informace:
- ID účtu
- Heslo účtu
- Jméno správce
- Příjmení správce
- E-mail správce
- Telefonní číslo správce
Přidání certifikační autority ve službě Key Vault
Po shromáždění předchozích informací z účtu DigiCert CertCentral můžete digiCert přidat do seznamu certifikační autority v trezoru klíčů.
Azure Portal (DigiCert)
Pokud chcete přidat certifikační autoritu DigiCert, přejděte do trezoru klíčů, do kterého ho chcete přidat.
Na stránce vlastností služby Key Vault vyberte Certifikáty.
Vyberte kartu Certifikační autority:
Vyberte Přidat:
V části Vytvořit certifikační autoritu zadejte tyto hodnoty:
- Název: Identifikovatelný název vystavitele. Například DigiCertCA.
- Zprostředkovatel: DigiCert.
- ID účtu: ID vašeho účtu DigiCert CertCentral.
- Heslo účtu: Klíč rozhraní API, který jste vygenerovali ve svém účtu DigiCert CertCentral.
- ID organizace: ID organizace z vašeho účtu DigiCert CertCentral.
Vyberte Vytvořit.
DigicertCA je teď v seznamu certifikační autority.
Azure Portal (GlobalSign)
Pokud chcete přidat certifikační autoritu GlobalSign, přejděte do trezoru klíčů, do kterého ho chcete přidat.
Na stránce vlastností služby Key Vault vyberte Certifikáty.
Vyberte kartu Certifikační autority:
Vyberte Přidat:
V části Vytvořit certifikační autoritu zadejte tyto hodnoty:
- Název: Identifikovatelný název vystavitele. Například GlobalSignCA.
- Zprostředkovatel: GlobalSign.
- ID účtu: ID vašeho účtu GlobalSign.
- Heslo účtu: Heslo účtu GlobalSign.
- Jméno správce: Jméno správce účtu globálního podpisu.
- Příjmení správce: Příjmení správce účtu globálního podpisu.
- E-mail správce: E-mail správce účtu globálního podpisu.
- Telefonní číslo správce: Telefonní číslo správce účtu globálního podpisu.
Vyberte Vytvořit.
GlobalSignCA je teď v seznamu certifikační autority.
Azure PowerShell
Pomocí Azure PowerShellu můžete vytvářet a spravovat prostředky Azure pomocí příkazů nebo skriptů. Azure hostuje Azure Cloud Shell, interaktivní prostředí, které můžete použít prostřednictvím webu Azure Portal v prohlížeči.
Pokud se rozhodnete nainstalovat a používat PowerShell místně, budete potřebovat modul Azure AZ PowerShell 1.0.0 nebo novější, abyste mohli dokončit postupy uvedené tady. Zadáním $PSVersionTable.PSVersion určíte verzi. Pokud potřebujete upgradovat, přečtěte si téma Instalace modulu Azure AZ PowerShellu. Pokud používáte PowerShell místně, musíte také spustit Connect-AzAccount , abyste vytvořili připojení k Azure:
Connect-AzAccount
Vytvořte skupinu prostředků Azure pomocí rutiny New-AzResourceGroup. Skupina prostředků je logický kontejner, ve kterém se nasazují a spravují prostředky Azure.
New-AzResourceGroup -Name ContosoResourceGroup -Location EastUSVytvořte trezor klíčů, který má jedinečný název.
Contoso-VaultnameTady je název trezoru klíčů.- Název trezoru:
Contoso-Vaultname - Název skupiny prostředků:
ContosoResourceGroup - Umístění:
EastUS
New-AzKeyVault -Name 'Contoso-Vaultname' -ResourceGroupName 'ContosoResourceGroup' -Location 'EastUS'- Název trezoru:
Definujte proměnné pro následující hodnoty z účtu DigiCert CertCentral:
- ID účtu
- ID organizace
- Klíč API
$accountId = "myDigiCertCertCentralAccountID" $org = New-AzKeyVaultCertificateOrganizationDetail -Id OrganizationIDfromDigiCertAccount $secureApiKey = ConvertTo-SecureString DigiCertCertCentralAPIKey -AsPlainText –ForceNastavte vystavitele. Tím přidáte Digicert jako certifikační autoritu do trezoru klíčů. Přečtěte si další informace o parametrech.
Set-AzKeyVaultCertificateIssuer -VaultName "Contoso-Vaultname" -Name "TestIssuer01" -IssuerProvider DigiCert -AccountId $accountId -ApiKey $secureApiKey -OrganizationDetails $org -PassThruNastavte zásadu pro certifikát a vystavování certifikátu z DigiCertu přímo ve službě Key Vault:
$Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "TestIssuer01" -ValidityInMonths 12 -RenewAtNumberOfDaysBeforeExpiry 60 Add-AzKeyVaultCertificate -VaultName "Contoso-Vaultname" -Name "ExampleCertificate" -CertificatePolicy $Policy
Certifikát je teď vydaný certifikační autoritou DigiCert v zadaném trezoru klíčů.
Odstraňování potíží
Pokud je vystavený certifikát v zakázaném stavu na webu Azure Portal, projděte si operaci certifikátu a zkontrolujte chybovou zprávu DigiCert pro certifikát:
Chybová zpráva: Proveďte sloučení a dokončete tuto žádost o certifikát.
Sloučit CSR podepsané certifikační autoritou a dokončit žádost. Informace o sloučení CSR naleznete v tématu Vytvoření a sloučení CSR.
Další informace najdete v tématu Operace certifikátů v referenčních informacích k rozhraní REST API služby Key Vault. Informace o navazování oprávnění najdete v tématu Trezory – Vytvoření nebo aktualizace a trezory – Zásady přístupu k aktualizaci.