Metody vytvoření certifikátu

  • Článek

Certifikát služby Key Vault (KV) je možné vytvořit nebo importovat do trezoru klíčů. Když se vytvoří certifikát KV, privátní klíč se vytvoří uvnitř trezoru klíčů a nikdy není vystavený vlastníkovi certifikátu. Certifikát ve službě Key Vault můžete vytvořit následujícím způsobem:

  • Vytvořte certifikát podepsaný svým držitelem: Vytvořte pár veřejného privátního klíče a přidružte ho k certifikátu. Certifikát se podepíše vlastním klíčem.

  • Ruční vytvoření nového certifikátu: Vytvořte pár veřejného privátního klíče a vygenerujte žádost o podepsání certifikátu X.509. Podpisový požadavek může podepsat vaše registrační autorita nebo certifikační autorita. Podepsaný certifikát x509 je možné sloučit s párem čekajících klíčů a dokončit certifikát KV ve službě Key Vault. I když tato metoda vyžaduje více kroků, poskytuje větší zabezpečení, protože privátní klíč je vytvořen v Key Vaultu a omezen na něj.

Create a certificate with your own certificate authority

Následující popisy odpovídají zeleným krokům v předchozím diagramu.

  1. V diagramu vaše aplikace vytváří certifikát, který interně začíná vytvořením klíče v trezoru klíčů.
  2. Key Vault se vrátí do vaší aplikace a žádost o podepsání certifikátu (CSR)
  3. Vaše aplikace předá žádost o podepsání certifikátu vaší zvolené certifikační autoritě.
  4. Zvolená certifikační autorita reaguje certifikátem X509.
  5. Aplikace dokončí vytvoření nového certifikátu sloučením certifikátu X509 od vaší certifikační autority.
  • Vytvořte certifikát se známým poskytovatelem vystavitele: Tato metoda vyžaduje, abyste jednorázově vytvořili objekt vystavitele. Po vytvoření objektu vystavitele ve vašem trezoru klíčů se na jeho název dá odkazovat v zásadách certifikátu KV. Žádost o vytvoření takového certifikátu KV vytvoří v trezoru pár klíčů a bude komunikovat se službou zprostředkovatele vystavitele pomocí informací v objektu odkazovaného vystavitele k získání certifikátu x509. Certifikát x509 se načte ze služby vystavitele a slučuje se s párem klíčů, aby se dokončilo vytvoření certifikátu KV.

Create a certificate with a Key Vault partnered certificate authority

Následující popisy odpovídají zeleným krokům v předchozím diagramu.

  1. V diagramu vaše aplikace vytváří certifikát, který interně začíná vytvořením klíče v trezoru klíčů.
  2. Key Vault odešle certifikační autoritě žádost o certifikát TLS/SSL.
  3. Vaše aplikace se dotazuje Key Vaultu v procesu smyčky a čekání na dokončení certifikátu. Vytvoření certifikátu je dokončeno, když Key Vault obdrží odpověď certifikační autority s certifikátem X.509.
  4. Certifikační autorita odpoví na žádost o certifikát TLS/SSL služby Key Vault pomocí certifikátu TLS/SSL X.509.
  5. Vytvoření nového certifikátu se dokončí sloučením certifikátu TLS/SSL X.509 pro certifikační autoritu.

Asynchronní proces

Vytvoření certifikátu KV je asynchronní proces. Tato operace vytvoří žádost o certifikát KV a vrátí stavový kód HTTP 202 (přijato). Stav požadavku lze sledovat dotazováním čekajícího objektu vytvořeného touto operací. Úplný identifikátor URI čekajícího objektu se vrátí v hlavičce LOCATION.

Po dokončení požadavku na vytvoření certifikátu KV se stav čekajícího objektu změní na dokončený z probíhajícího stavu a vytvoří se nová verze certifikátu KV. Tím se stane aktuální verze.

První vytvoření

Při prvním vytvoření certifikátu KV se vytvoří adresovatelný klíč a tajný klíč se stejným názvem jako certifikát. Pokud je název již používán, operace selže se stavovým kódem HTTP 409 (konflikt). Adresovatelný klíč a tajný klíč získávají své atributy z atributů certifikátu KV. Adresovatelný klíč a tajný klíč vytvořený tímto způsobem jsou označené jako spravované klíče a tajné kódy, jejichž životnost je spravovaná službou Key Vault. Spravované klíče a tajné kódy jsou jen pro čtení. Poznámka: Pokud vyprší platnost certifikátu KV nebo je zakázána, odpovídající klíč a tajný klíč budou funkční.

Pokud se jedná o první operaci pro vytvoření certifikátu KV, je vyžadována zásada. Zásady lze také zadat s následnými operacemi vytvoření, které nahradí prostředek zásad. Pokud zásada není zadaná, prostředek zásad ve službě se použije k vytvoření další verze certifikátu KV. I když probíhá požadavek na vytvoření další verze, aktuální certifikát KV a odpovídající adresovatelný klíč a tajný klíč zůstanou beze změny.

Certifikát vydaný vlastním držitelem

Pokud chcete vytvořit certifikát vystavený vlastním držitelem, nastavte v zásadách certifikátu název vystavitele jako "Self", jak je znázorněno v následujícím fragmentu kódu ze zásad certifikátu.

"issuer": {  
       "name": "Self"  
    }

Pokud není zadaný název vystavitele, je název vystavitele nastavený na Neznámý. Pokud je vystavitel "Neznámý", vlastník certifikátu bude muset ručně získat certifikát x509 od vydavatele podle svého výběru a potom sloučit veřejný certifikát x509 s certifikátem trezoru klíčů čekajícího na dokončení vytváření certifikátu.

"issuer": {  
       "name": "Unknown"  
    }

Poskytovatelé partnerských certifikačních autorit

Vytvoření certifikátu je možné provést ručně nebo pomocí vystavitele "Self". Key Vault také spolupracuje s některými poskytovateli vystavitelů, aby se zjednodušilo vytváření certifikátů. U trezoru klíčů s těmito poskytovateli vystavitelů partnerů je možné objednat následující typy certifikátů.

Poskytovatel Typ certifikátu Nastavení konfigurace
DigiCert Key Vault nabízí certifikáty OV nebo EV SSL s DigiCertem. Průvodce integrací
GlobalSign Key Vault nabízí certifikáty OV nebo EV SSL s globalSignem. Průvodce integrací

Vystavitel certifikátu je entita reprezentovaná ve službě Azure Key Vault (KV) jako prostředek CertificateIssuer. Slouží k poskytování informací o zdroji certifikátu KV; název vystavitele, poskytovatel, přihlašovací údaje a další podrobnosti o správě.

Při zadání objednávky u poskytovatele vystavitele může být dodržena nebo přepsána rozšíření certifikátů x509 a období platnosti certifikátu na základě typu certifikátu.

Autorizace: Vyžaduje certifikáty nebo oprávnění k vytvoření.

Viz také