Sdílet prostřednictvím

Začínáme s certifikáty služby Key Vault

  • Článek

Toto vodítko vám pomůže začít se správou certifikátů ve službě Key Vault.

Seznam zde popsaných scénářů:

  • Vytvoření prvního certifikátu služby Key Vault
  • Vytvoření certifikátu s certifikační autoritou, která je partnerovaná se službou Key Vault
  • Vytvoření certifikátu s certifikační autoritou, která není partnerkou se službou Key Vault
  • Import certifikátu

Certifikáty jsou složité objekty.

Certifikáty se skládají ze tří vzájemně propojených prostředků, které jsou propojené dohromady jako certifikát služby Key Vault; metadata certifikátu, klíč a tajný klíč.

Certifikáty jsou složité

Vytvoření prvního certifikátu služby Key Vault

Před vytvořením certifikátu ve službě Key Vault (KV) je nutné úspěšně provést kroky 1 a 2 a pro tohoto uživatele nebo organizaci musí existovat trezor klíčů.

Krok 1: Zprostředkovatelé certifikační autority (CA)

  • Onboarding jako IT Správa, PKI Správa nebo kdokoli, kdo spravuje účty s certifikačními autoritami, pro danou společnost (např. Contoso) je předpokladem pro používání certifikátů služby Key Vault.
    Následující certifikační autority jsou aktuální partneři se službou Key Vault. Další informace najdete tady.
    • DigiCert – Key Vault nabízí certifikáty TLS/SSL OV s DigiCertem.
    • GlobalSign – Key Vault nabízí certifikáty TLS/SSL OV s globalSignem.

Krok 2: Správce účtu pro poskytovatele certifikační autority vytvoří přihlašovací údaje, které bude služba Key Vault používat k registraci, obnovení a používání certifikátů TLS/SSL prostřednictvím služby Key Vault.

Krok 3a: Správce společnosti Contoso spolu s zaměstnancem společnosti Contoso (uživatelem key Vaultu), který vlastní certifikáty v závislosti na certifikační autoritě, může certifikát získat od správce nebo přímo z účtu s certifikační autoritou.

  • Zahájení operace přidání přihlašovacích údajů do trezoru klíčů nastavením prostředku vystavitele certifikátu Vystavitel certifikátu je entita reprezentovaná ve službě Azure Key Vault (KV) jako prostředek CertificateIssuer. Slouží k poskytování informací o zdroji certifikátu KV; název vystavitele, poskytovatel, přihlašovací údaje a další podrobnosti o správě.

    • Například MyDigiCertIssuer

      • Poskytovatel
      • Přihlašovací údaje – přihlašovací údaje účtu certifikační autority. Každá certifikační autorita má svá vlastní specifická data.

      Další informace o vytváření účtů s poskytovateli certifikační autority najdete v souvisejícím příspěvku na blogu služby Key Vault.

Krok 3b: Nastavení kontaktů certifikátů pro oznámení Toto je kontakt pro uživatele služby Key Vault. Key Vault tento krok nevynucuje.

Poznámka: Tento proces, až krok 3b, je jednorázová operace.

Vytvoření certifikátu s certifikační autoritou partnerovanou se službou Key Vault

Vytvoření certifikátu s partnerovanou certifikační autoritou služby Key Vault

Krok 4: Následující popisy odpovídají zeleným číslovaným krokům v předchozím diagramu.
(1) – V diagramu výše vaše aplikace vytváří certifikát, který interně začíná vytvořením klíče v trezoru klíčů.
(2) – Key Vault odešle certifikační autoritě žádost o certifikát TLS/SSL.
(3) – Vaše aplikace se dotazuje ve smyčce a procesu čekání na dokončení certifikátu ve službě Key Vault. Vytvoření certifikátu je dokončeno, když Key Vault obdrží odpověď certifikační autority s certifikátem X.509.
(4) – Certifikační autorita reaguje na žádost o certifikát TLS/SSL služby Key Vault pomocí certifikátu PROTOKOLU TLS/SSL X509.
(5) - Vytvoření nového certifikátu se dokončí sloučením certifikátu X509 pro certifikační autoritu.

Uživatel služby Key Vault – vytvoří certifikát zadáním zásady.

  • Podle potřeby to zopakujte.

  • Omezení zásad

    • X509 – vlastnosti
    • Základní vlastnosti
    • Referenční informace o poskytovateli – > např. MyDigiCertIssure
    • Informace o prodloužení – > např. 90 dní před vypršením platnosti

  • Proces vytvoření certifikátu je obvykle asynchronní proces a zahrnuje dotazování trezoru klíčů na stav operace vytvoření certifikátu.
    Získání operace certifikátu

    • Stav: dokončeno, selhalo s informacemi o chybě nebo zrušeno
    • Kvůli zpoždění vytvoření je možné zahájit operaci zrušení. Zrušení může nebo nemusí být účinné.

Zásady zabezpečení sítě a přístupu přidružené k integrované certifikační autoritě

Služba Key Vault odesílá požadavky certifikační autoritě (odchozí provoz). Proto je plně kompatibilní s trezory klíčů s podporou brány firewall. Služba Key Vault nesdílí zásady přístupu s certifikační autoritou. Certifikační autorita musí být nakonfigurovaná tak, aby přijímala žádosti o podepsání nezávisle. Průvodce integrací důvěryhodné certifikační autority

Import certifikátu

Případně můžete certifikát importovat do služby Key Vault – PFX nebo PEM.

Import certifikátu – vyžaduje, aby byl PEM nebo PFX na disku a měl privátní klíč.

  • Musíte zadat: název trezoru a název certifikátu (zásada je volitelná).

  • Soubory PEM/ PFX obsahují atributy, které může KV analyzovat a používat k naplnění zásad certifikátu. Pokud už je zásada certifikátu zadaná, pokusí se KV spárovat data ze souboru PFX nebo PEM.

  • Po dokončení importu budou následné operace používat nové zásady (nové verze).

  • Pokud neexistují žádné další operace, první věc, kterou key Vault provede, odešle oznámení o vypršení platnosti.

  • Uživatel může také upravit zásadu, která je funkční v době importu, ale obsahuje výchozí hodnoty, kdy při importu nebyly zadány žádné informace. Např. žádné informace o vystaviteli

Formáty importu, které podporujeme

Azure Key Vault podporuje soubory certifikátů .pem a .pfx pro import certifikátů do trezoru klíčů. Podporujeme následující typ importu pro formát souboru PEM. Jeden certifikát s kódováním PEM spolu s kódovaným kódem PKCS#8, nešifrovaným klíčem, který má následující formát:

-----ZAČÁTEK CERTIFIKÁTU-----

-----KONEC CERTIFIKÁTU-----

-----ZAČÁTEK PRIVÁTNÍHO KLÍČE-----

-----KONEC PRIVÁTNÍHO KLÍČE-----

Při importu certifikátu je nutné zajistit, aby byl klíč součástí samotného souboru. Pokud máte privátní klíč samostatně v jiném formátu, budete muset tento klíč s certifikátem zkombinovat. Některé certifikační autority poskytují certifikáty v různých formátech, proto před importem certifikátu se ujistěte, že jsou ve formátu .pem nebo .pfx.

Poznámka:

Ujistěte se, že v souboru certifikátu nejsou žádná další metadata a že se privátní klíč nezobrazuje jako šifrovaný.

Formáty csr pro sloučení, které podporujeme

Azure Key Vault podporuje certifikát s kódováním PKCS#8 s následujícími hlavičkami:

-----ZAČÁTEK CERTIFIKÁTU-----

-----KONEC CERTIFIKÁTU-----

Poznámka:

Řetězec podepsaných certifikátů P7B (PKCS#7), běžně používaný certifikačními autoritami(CA), se podporuje, pokud je kódovaný podle base64. K převodu na podporovaný formát můžete použít certutil -encode .

Vytvoření certifikátu s certifikační autoritou, která není partnerkou se službou Key Vault

Tato metoda umožňuje pracovat s jinými certifikačními autoritami než s partnerskými poskytovateli služby Key Vault, což znamená, že vaše organizace může pracovat s certifikační autoritou podle svého výběru.

Vytvoření certifikátu s vlastní certifikační autoritou

Následující popisy kroků odpovídají zeleným krokům v předchozím diagramu.

(1) – V diagramu výše vaše aplikace vytváří certifikát, který interně začíná vytvořením klíče v trezoru klíčů.

(2) – Key Vault se vrátí do vaší aplikace žádost o podepsání certifikátu (CSR).

(3) – Vaše aplikace předá csr vaší zvolené certifikační autoritě.

(4) – Zvolená certifikační autorita odpoví certifikátem X509.

(5) - Vaše aplikace dokončí vytvoření nového certifikátu sloučením certifikátu X509 od vaší certifikační autority.