Začínáme s certifikáty Key Vault

Tento článek vám pomůže začít se správou certifikátů v Key Vault. Zabývá se následujícími scénáři:

  • Vytvoření prvního certifikátu Key Vault
  • Vytvoření certifikátu s certifikační autoritou (CA), která je partnerovaná s Key Vault
  • Vytvoření certifikátu s certifikační autoritou, která není partnerem Key Vault
  • Import certifikátu

Certifikáty jsou složité objekty.

Certifikáty se skládají ze tří vzájemně propojených prostředků jako certifikát Key Vault: metadata certifikátu, klíč a tajemství.

Certifikáty jsou složité

Vytvoření prvního certifikátu Key Vault

Před vytvořením certifikátu v trezoru klíčů je nutné dokončit následující nezbytné kroky a pro tohoto uživatele nebo organizaci musí existovat trezor klíčů.

Krok 1: Zprostředkovatelé certifikační autority (CA)

  • Onboarding jako správce IT, správce PKI nebo kdokoli, kdo spravuje účty s certifikačními autoritami, je předpokladem pro použití certifikátů Key Vault.
    Následující certifikační autority jsou aktuální partneři s Key Vault. Další informace najdete v tématu Poskytovatelé partnerských certifikačních autorit.
    • DigiCert – Key Vault nabízí certifikáty TLS/SSL OV s DigiCertem.
    • GlobalSign – Key Vault nabízí certifikáty TLS/SSL OV s GlobalSignem.

Step 2: Správce účtu pro poskytovatele certifikační autority vytvoří přihlašovací údaje, které budou používat Key Vault k registraci, obnovení a používání certifikátů TLS/SSL.

Step 3a: Správce Společnosti Contoso spolu s zaměstnancem společnosti Contoso (Key Vault uživatelem), který vlastní certifikáty v závislosti na certifikační autoritě, může certifikát získat od správce nebo přímo z účtu s certifikační autoritou.

  • Zahájení operace přidání přihlašovacích údajů do trezoru klíčů nastavením prostředku vystavitele certifikátu Vystavitel certifikátu je entita reprezentovaná v Azure Key Vault jako zdroj CertificateIssuer. Poskytuje informace o zdroji certifikátu Key Vault: název vystavitele, zprostředkovatele, přihlašovací údaje a další podrobnosti o správě.

    • Například MyDigiCertIssuer

      • Poskytovatel
      • Přihlašovací údaje – přihlašovací údaje účtu certifikační autority. Každá certifikační autorita má svá vlastní specifická data.

      Další informace o vytváření účtů s poskytovateli certifikační autority najdete v tématu Integrování Key Vault s certifikačními autoritami.

Krok 3b: Nastavte kontakty certifikátu pro oznámení. Toto je kontakt pro Key Vault uživatele. Key Vault tento krok nevynucuje.

Poznámka:

Tento proces, až krok 3b, je jednorázová operace.

Vytvoření certifikátu s certifikační autoritou, která je partnerem Key Vault

Vytvoření certifikátu pomocí Key Vault partnerské certifikační autority

Krok 4: Následující popisy odpovídají zeleným očíslovaným krokům v předchozím diagramu.
(1) – V diagramu výše vaše aplikace vytváří certifikát, který interně začíná vytvořením klíče v trezoru klíčů.
(2) – Key Vault odešle certifikační autoritě žádost o certifikát TLS/SSL.
(3) – Vaše aplikace se dotazuje ve smyčce a procesu čekání na dokončení certifikátu Key Vault. Vytvoření certifikátu se dokončí, když Key Vault obdrží odpověď certifikační autority s certifikátem x509.
(4) – Certifikační autorita reaguje na žádost o certifikát TLS/SSL Key Vault pomocí certifikátu PROTOKOLU TLS/SSL X509.
(5) - Vytvoření nového certifikátu se dokončí sloučením certifikátu X509 pro certifikační autoritu.

Key Vault uživatel – vytvoří certifikát zadáním zásady.

  • Podle potřeby to zopakujte.

  • Omezení zásad

    • X509 – vlastnosti
    • Základní vlastnosti
    • Referenční informace o poskytovateli –> například MyDigiCertIssuer
    • Informace o prodloužení –> například 90 dní před vypršením platnosti

  • Proces vytvoření certifikátu je obvykle asynchronní proces a zahrnuje dotazování trezoru klíčů na stav operace vytvoření certifikátu.
    Operace získání certifikátu

    • Stav: dokončeno, selhalo s informacemi o chybě nebo zrušeno
    • Kvůli zpoždění vytvoření je možné zahájit operaci zrušení. Zrušení může nebo nemusí být účinné.

Zásady zabezpečení sítě a přístupu přidružené k integrované certifikační autoritě

Key Vault služba odesílá požadavky certifikační autoritě (odchozí provoz). Proto je plně kompatibilní s trezory klíčů s podporou brány firewall. Key Vault nesdílí zásady přístupu s certifikační autoritou. Certifikační autorita musí být nakonfigurovaná tak, aby přijímala žádosti o podepsání nezávisle. Další informace najdete v tématu Integrování Key Vault s certifikačními autoritami.

Import certifikátu

Případně můžete importovat certifikát do Key Vault ve formátu PFX nebo PEM.

Import certifikátu vyžaduje na disku soubor PEM nebo PFX, který obsahuje privátní klíč.

  • Je nutné zadat název trezoru a název certifikátu (zásada je volitelná).

  • Soubory PEM a PFX obsahují atributy, které Key Vault mohou analyzovat a používat k naplnění zásad certifikátu. Pokud je zásada certifikátu již zadaná, Key Vault se pokusí spárovat data ze souboru PFX nebo PEM.

  • Po dokončení importu následující operace používají nové zásady (nové verze).

  • Pokud neexistují žádné další operace, první, co Key Vault udělá, je odeslání oznámení o vypršení platnosti.

  • Uživatel může také upravit zásadu, která je funkční v době importu, ale obsahuje výchozí hodnoty, kdy při importu nebyly zadány žádné informace. Například žádné informace o vystaviteli.

Formáty importu, které podporujeme

Azure Key Vault podporuje soubory certifikátů .pem a .pfx pro import certifikátů do trezoru klíčů. Pro soubory PEM je podporován následující formát importu: jeden certifikát s kódováním PEM spolu s nešifrovaným klíčem PKCS#8 v následujícím formátu:

----- CERTIFIKÁTBEGIN-----

-----KONEC CERTIFIKÁTU-----

privátní klíč -----BEGIN-----

privátní klíč -----END-----

Při importu certifikátu se ujistěte, že je klíč součástí samotného souboru. Pokud máte privátní klíč samostatně v jiném formátu, musíte klíč s certifikátem zkombinovat. Některé certifikační autority poskytují certifikáty v různých formátech, takže před importem certifikátu se ujistěte, že je ve formátu .pem nebo .pfx.

Poznámka:

Ujistěte se, že v souboru certifikátu nejsou žádná další metadata a že se privátní klíč nezobrazuje jako šifrovaný.

Formáty sloučení CSR, které podporujeme

Azure Key Vault podporuje certifikáty s kódováním PKCS#8 s následujícími hlavičkami:

----- CERTIFIKÁTBEGIN-----

-----KONEC CERTIFIKÁTU-----

Poznámka:

Řetězce podepsaných certifikátů P7B (PKCS#7), běžně používané certifikačními autoritami (CA), se podporují, pokud jsou kódované podle base64. K převodu do podporovaného formátu můžete použít certutil -encode .

Vytvoření certifikátu s certifikační autoritou, která není partnerem Key Vault

Tato metoda umožňuje pracovat s jinými certifikačními autoritami než s partnerskými poskytovateli Key Vault, což znamená, že vaše organizace může pracovat s certifikační autoritou podle svého výběru.

Vytvoření certifikátu s vlastní certifikační autoritou

Následující popisy kroků odpovídají zeleným krokům v předchozím diagramu.

  1. V diagramu vaše aplikace vytváří certifikát, který interně začíná vytvořením klíče v trezoru klíčů.

  2. Key Vault vrátí vaší aplikaci žádost o podepsání certifikátu (CSR).

  3. Vaše aplikace předá csr vaší zvolené certifikační autoritě.

  4. Zvolená certifikační autorita odpoví certifikátem X.509.

  5. Aplikace dokončí vytvoření nového certifikátu sloučením certifikátu X.509 od vaší certifikační autority.

  • Last updated on