Vytvoření a sloučení žádosti o podepsání certifikátu v Key Vault

Azure Key Vault podporuje ukládání digitálních certifikátů vydaných libovolnou certifikační autoritou (CA). Podporuje vytvoření žádosti o podepsání certifikátu (CSR) s párem privátního a veřejného klíče. Žádost o podepsání certifikátu může být podepsána jakoukoli certifikační autoritou (interní podnikovou certifikační autoritou nebo externí veřejnou certifikační autoritou). Žádost o podepsání certifikátu (CSR) je zpráva, kterou odešlete certifikační autoritě, abyste mohli požádat o digitální certifikát.

Další obecné informace o certifikátech najdete v tématu Certifikáty Azure Key Vault.

Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

Přidání certifikátů do Key Vault vydaných partnerskými certifikačními autoritami

Key Vault pro zjednodušení vytváření certifikátů partnery s následujícími certifikačními autoritami.

Poskytovatel	Typ certifikátu	Nastavení konfigurace
DigiCert	Key Vault nabízí certifikáty OV nebo EV SSL pro DigiCert	Průvodce integrací
GlobalSign	Key Vault nabízí certifikáty OV nebo EV SSL s GlobalSign	Průvodce integrací

Přidání certifikátů do Key Vault vydaných certifikačními autoritami bez partnera

Pokud chcete přidat certifikát z certifikačních autorit, které nejsou partnerem Key Vault, postupujte podle těchto kroků. (Například GoDaddy není důvěryhodnou certifikační autoritou Key Vault.)

Azure Portal

1. Přejděte do trezoru klíčů, do kterého chcete certifikát přidat.

2. Na stránce vlastností vyberte Certifikáty.

3. Vyberte kartu Generate/Import (Vygenerovat/importovat ).

4. Na obrazovce Vytvořit certifikát zvolte následující hodnoty:

   • Metoda vytvoření certifikátu: Vygenerovat.
   • Název certifikátu: ContosoManualCSRCertificate.
   • Typ certifikační autority (CA): Certifikát vydaný neintegrovanou certifikační autoritou.
   • Předmět: "CN=www.contosoHRApp.com".

   Poznámka

   Pokud používáte relativní rozlišující název (RDN), který má v hodnotě čárku (,), zabalte hodnotu, která obsahuje speciální znak, do dvojitých uvozovek.

   Příklad položky předmětu: DC=Contoso,OU="Docs,Contoso",CN=www.contosoHRApp.com

   V tomto příkladu obsahuje RDN OU hodnotu s čárkou v názvu. Výsledný výstup pro OU je Docs, Contoso.

5. Podle potřeby vyberte další hodnoty a pak výběrem možnosti Vytvořit přidejte certifikát do seznamu Certifikáty .

   

6. V seznamu Certifikáty vyberte nový certifikát. Aktuální stav certifikátu je zakázaný , protože ho certifikační autorita ještě nevystavila.

7. Na kartě Operace s certifikátem vyberte Stáhnout CSR.

   

8. Nechte certifikační autoritu podepsat csr (.csr).

9. Po podepsání žádosti vyberte na kartě Operace s certifikátemmožnost Sloučit podepsanou žádost a přidejte podepsaný certifikát do Key Vault.

Žádost o certifikát se teď úspěšně sloučila.

PowerShell

1. Vytvořte zásady certifikátů. Vzhledem k tomu, že certifikační autorita zvolená v tomto scénáři není v partnerském vztahu, je IssuerName nastavená na Neznámý a Key Vault certifikát nezaregistruje ani neprodlouží.

   $policy = New-AzKeyVaultCertificatePolicy -SubjectName "CN=www.contosoHRApp.com" -ValidityInMonths 1  -IssuerName Unknown
   

   Poznámka

   Pokud používáte relativní rozlišující název (RDN), který má v hodnotě čárku (,), použijte jednoduché uvozovky pro celou hodnotu nebo sadu hodnot a zabalte hodnotu, která obsahuje speciální znak, do dvojitých uvozovek.

   Příklad položky SubjectName: $policy = New-AzKeyVaultCertificatePolicy -SubjectName 'OU="Docs,Contoso",DC=Contoso,CN=www.contosoHRApp.com' -ValidityInMonths 1 -IssuerName Unknown. V tomto příkladu se OU hodnota čte jako Docs, Contoso. Tento formát funguje pro všechny hodnoty, které obsahují čárku.

   V tomto příkladu obsahuje RDN OU hodnotu s čárkou v názvu. Výsledný výstup pro OU je Docs, Contoso.

2. Vytvořte CSR.

   $csr = Add-AzKeyVaultCertificate -VaultName ContosoKV -Name ContosoManualCSRCertificate -CertificatePolicy $policy
   $csr.CertificateSigningRequest
   

3. Požádejte certifikační autoritu, aby podepsala CSR. Je $csr.CertificateSigningRequest základní kód csr certifikátu. Tento objekt blob můžete vysunou na web žádosti o certifikát vystavitele. Tento krok se u jednotlivých certifikačních autorit liší. Vyhledejte pokyny certifikační autority k provedení tohoto kroku. K podepsání csr a dokončení procesu vygenerování certifikátu můžete použít také nástroje, jako je certreq nebo openssl.

4. Sloučit podepsanou žádost v Key Vault. Po podepsání žádosti o certifikát ji můžete sloučit s počátečním párem privátního a veřejného klíče vytvořeného v Azure Key Vault.

   Import-AzKeyVaultCertificate -VaultName ContosoKV -Name ContosoManualCSRCertificate -FilePath C:\test\OutputCertificateFile.cer
   

Žádost o certifikát se teď úspěšně sloučila.

Přidání dalších informací k CSR

Pokud chcete při vytváření CSR přidat další informace, definujte je v části SubjectName. Můžete přidat například následující informace:

• Země
• Město
• Kraj
• Organizace
• Organizační jednotka

Příklad

SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US"

Poznámka

Pokud požadujete certifikát ověření domény (DV) s dalšími informacemi, může certifikační autorita žádost odmítnout, pokud nemůže ověřit všechny informace v žádosti. Další informace můžou být vhodnější, pokud požadujete certifikát OV (Organization Validation).

Nejčastější dotazy

• Návody monitorovat nebo spravovat csr?

  Viz Monitorování a správa vytváření certifikátů.

• Co když se zobrazí chyba typu Veřejný klíč certifikátu koncové entity v zadaném obsahu certifikátu X.509 neodpovídá veřejné části zadaného privátního klíče. Zkontrolujte prosím, jestli je certifikát platný.

  K této chybě dochází v případě, že nesloučíte podepsanou žádost CSR se stejným požadavkem CSR, který jste iniciovali. Každá nová žádost o podepsání certifikátu, kterou vytvoříte, má privátní klíč, který se musí při sloučení podepsané žádosti shodovat.

• Když se žádost o podepsání certifikátu sloučí, sloučí se celý řetězec?

  Ano, sloučí celý řetězec za předpokladu, že uživatel vrátil soubor .p7b ke sloučení.

• Co když je vystavený certifikát v Azure Portal v zakázaném stavu?

  Podívejte se na kartu Operace certifikátu a zkontrolujte chybovou zprávu pro daný certifikát.

• Co když se zobrazí typ chyby Zadaný název subjektu není platný název X500?

  K této chybě může dojít, pokud SubjectName obsahuje nějaké speciální znaky. Projděte si poznámky v Azure Portal a pokynech k PowerShellu.

• Typ chyby : Žádost o podepsání certifikátu použitá k získání vašeho certifikátu už byla použita. Zkuste vygenerovat nový certifikát s novou csr. Přejděte do části Rozšířené zásady certifikátu a zkontrolujte, jestli je vypnutá možnost Znovu použít klíč při obnovení.

---

Další kroky

• Ověřování, požadavky a odpovědi
• Průvodce vývojáře pro službu Key Vault
• Referenční informace k rozhraní REST API služby Azure Key Vault
• Trezory – Vytvoření nebo aktualizace
• Trezory – Aktualizace zásad přístupu