Vytvoření a sloučení žádosti o podepsání certifikátu ve službě Key Vault

Azure Key Vault podporuje ukládání digitálních certifikátů vydaných libovolnou certifikační autoritou (CA). Podporuje vytvoření žádosti o podepsání certifikátu (CSR) s párem privátního a veřejného klíče. Csr může podepsat libovolná certifikační autorita (interní certifikační autorita organizace nebo externí veřejná certifikační autorita). Žádost o podepsání certifikátu (CSR) je zpráva, kterou odešlete certifikační autoritě za účelem vyžádání digitálního certifikátu.

Další obecné informace ocertifikátch

Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

Přidání certifikátů ve službě Key Vault vydaných partnerskými certifikačními autoritami

Key Vault spolupracuje s následujícími certifikačními autoritami pro zjednodušení vytváření certifikátů.

Poskytovatel	Typ certifikátu	Nastavení konfigurace
DigiCert	Key Vault nabízí certifikáty OV nebo EV SSL s DigiCertem.	Průvodce integrací
GlobalSign	Key Vault nabízí certifikáty OV nebo EV SSL s globalSignem.	Průvodce integrací

Přidání certifikátů ve službě Key Vault vydaných ne partnerskými certifikačními autoritami

Podle těchto kroků přidejte certifikát z certifikačních autorit, které nejsou partnerské se službou Key Vault. (Například GoDaddy není důvěryhodná certifikační autorita služby Key Vault.)

Azure Portal

1. Přejděte do trezoru klíčů, do kterého chcete certifikát přidat.

2. Na stránce vlastností vyberte Certifikáty.

3. Vyberte kartu Generovat/Importovat.

4. Na obrazovce Vytvořit certifikát zvolte následující hodnoty:

   • Metoda vytvoření certifikátu: Vygenerujte.
   • Název certifikátu: ContosoManualCSRCertificate.
   • Typ certifikační autority (CA): Certifikát vydaný neintegrovanou certifikační autoritou.
   • Předmět: "CN=www.contosoHRApp.com".

   Poznámka:

   Pokud používáte relativní rozlišující název (RDN), který má v hodnotě čárku (,), zalomte hodnotu, která obsahuje speciální znak v dvojitých uvozovkách.

   Příklad položky předmětu:DC=Contoso,OU="Docs,Contoso",CN=www.contosoHRApp.com

   V tomto příkladu sada RDN OU obsahuje hodnotu s čárkou v názvu. Výsledný výstup je OUDocs, Contoso.

5. Podle potřeby vyberte další hodnoty a pak vyberte Vytvořit a přidejte certifikát do seznamu Certifikáty .

   

6. V seznamu Certifikáty vyberte nový certifikát. Aktuální stav certifikátu je zakázaný , protože ještě ho certifikační autorita nevystavila.

7. Na kartě Operace certifikátu vyberte Stáhnout CSR.

   

8. Požádejte certifikační autoritu podepisovat CSR (.csr).

9. Po podepsání požadavku vyberte možnost Sloučit podepsaný požadavek na kartě Operace certifikátu a přidejte podepsaný certifikát do služby Key Vault.

Žádost o certifikát se teď úspěšně sloučila.

PowerShell

1. Vytvořte zásadu certifikátu. Vzhledem k tomu, že certifikační autorita zvolená v tomto scénáři není partnerovaná, je název IssuerName nastavený na Neznámý a Služba Key Vault certifikát nezaregistruje ani neobnoví.

   $policy = New-AzKeyVaultCertificatePolicy -SubjectName "CN=www.contosoHRApp.com" -ValidityInMonths 1  -IssuerName Unknown
   

   Poznámka:

   Pokud používáte relativní rozlišující název (RDN), který má v hodnotě čárku (,), použijte jednoduché uvozovky pro úplnou hodnotu nebo sadu hodnot a zabalte hodnotu, která obsahuje speciální znak v dvojitých uvozovkách.

   Příklad položky subjectName: $policy = New-AzKeyVaultCertificatePolicy -SubjectName 'OU="Docs,Contoso",DC=Contoso,CN=www.contosoHRApp.com' -ValidityInMonths 1 -IssuerName Unknown. V tomto příkladu se OU hodnota čte jako Docs, Contoso. Tento formát funguje pro všechny hodnoty, které obsahují čárku.

   V tomto příkladu sada RDN OU obsahuje hodnotu s čárkou v názvu. Výsledný výstup je OUDocs, Contoso.

2. Vytvořte CSR.

   $csr = Add-AzKeyVaultCertificate -VaultName ContosoKV -Name ContosoManualCSRCertificate -CertificatePolicy $policy
   $csr.CertificateSigningRequest
   

3. Požádejte certifikační autoritu podepsat CSR. Jedná se $csr.CertificateSigningRequest o základní kódovaný CSR pro certifikát. Tento objekt blob můžete vložit na web žádosti o certifikát vystavitele. Tento krok se liší od certifikační autority po certifikační autoritu. Vyhledejte pokyny certifikační autority, jak tento krok provést. Můžete také použít nástroje, jako je certreq nebo openssl, k podepsání csr a dokončení procesu generování certifikátu.

4. Sloučí podepsaný požadavek ve službě Key Vault. Po podepsání žádosti o certifikát ji můžete sloučit s počáteční dvojicí privátního a veřejného klíče vytvořenou ve službě Azure Key Vault.

   Import-AzKeyVaultCertificate -VaultName ContosoKV -Name ContosoManualCSRCertificate -FilePath C:\test\OutputCertificateFile.cer
   

Žádost o certifikát se teď úspěšně sloučila.

Přidání dalších informací do CSR

Pokud chcete přidat další informace při vytváření CSR, definujte je v SubjectName. Můžete chtít přidat například tyto informace:

• Země/oblast
• Město
• Stát či provincie:
• Organizace
• Organizační jednotka

Příklad

SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US"

Poznámka:

Pokud požadujete certifikát ověření domény (DV) s dalšími informacemi, může certifikační autorita žádost odmítnout, pokud nemůže ověřit všechny informace v žádosti. Další informace můžou být vhodnější, pokud požadujete certifikát OV (Organization Validation).

Nejčastější dotazy

• Návody monitorování nebo správa csr?

  Viz Monitorování a správa vytváření certifikátů.

• Co když se zobrazí chyba typu Veřejný klíč certifikátu koncové entity v zadaném obsahu certifikátu X.509 neodpovídá veřejné části zadaného privátního klíče. Zkontrolujte, jestli je certifikát platný?

  K této chybě dochází v případě, že nesloučíte podepsanou csr se stejnou žádostí o csr, kterou jste zahájili. Každý nový CSR, který vytvoříte, má privátní klíč, který se musí shodovat při sloučení podepsané žádosti.

• Když se csr sloučí, sloučí celý řetězec?

  Ano, sloučí celý řetězec, pokud uživatel vrátil soubor .p7b ke sloučení.

• Co když je vystavený certifikát v zakázaném stavu na webu Azure Portal?

  Zobrazte kartu Operace certifikátu a zkontrolujte chybovou zprávu pro tento certifikát.

• Co když se zobrazí chyba typu Zadaný název subjektu není platný název X500?

  K této chybě může dojít, pokud SubjectName obsahuje jakékoli speciální znaky. Viz poznámky na webu Azure Portal a v pokynech k PowerShellu.

• Typ chyby typu CSR použitý k získání certifikátu už byl použit. Zkuste vygenerovat nový certifikát s novou csr. Přejděte do části Rozšířené zásady certifikátu a zkontrolujte, jestli je možnost opětovného použití klíče při prodlužování platnosti vypnutá.

---

Další kroky

• Ověřování, požadavky a odpovědi
• Průvodce vývojáře pro službu Key Vault
• Referenční informace k rozhraní REST API služby Azure Key Vault
• Trezory – Vytvoření nebo aktualizace
• Trezory – Aktualizace zásad přístupu