Vytvoření a sloučení žádosti o podepsání certifikátu v Key Vault
Azure Key Vault podporuje ukládání digitálních certifikátů vydaných libovolnou certifikační autoritou (CA). Podporuje vytvoření žádosti o podepsání certifikátu (CSR) s párem privátního a veřejného klíče. Žádost o podepsání certifikátu může být podepsána jakoukoli certifikační autoritou (interní podnikovou certifikační autoritou nebo externí veřejnou certifikační autoritou). Žádost o podepsání certifikátu (CSR) je zpráva, kterou odešlete certifikační autoritě, abyste mohli požádat o digitální certifikát.
Další obecné informace o certifikátech najdete v tématu Certifikáty Azure Key Vault.
Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.
Přidání certifikátů do Key Vault vydaných partnerskými certifikačními autoritami
Key Vault pro zjednodušení vytváření certifikátů partnery s následujícími certifikačními autoritami.
Poskytovatel | Typ certifikátu | Nastavení konfigurace |
---|---|---|
DigiCert | Key Vault nabízí certifikáty OV nebo EV SSL pro DigiCert | Průvodce integrací |
GlobalSign | Key Vault nabízí certifikáty OV nebo EV SSL s GlobalSign | Průvodce integrací |
Přidání certifikátů do Key Vault vydaných certifikačními autoritami bez partnera
Pokud chcete přidat certifikát z certifikačních autorit, které nejsou partnerem Key Vault, postupujte podle těchto kroků. (Například GoDaddy není důvěryhodnou certifikační autoritou Key Vault.)
Přejděte do trezoru klíčů, do kterého chcete certifikát přidat.
Na stránce vlastností vyberte Certifikáty.
Vyberte kartu Generate/Import (Vygenerovat/importovat ).
Na obrazovce Vytvořit certifikát zvolte následující hodnoty:
- Metoda vytvoření certifikátu: Vygenerovat.
- Název certifikátu: ContosoManualCSRCertificate.
- Typ certifikační autority (CA): Certifikát vydaný neintegrovanou certifikační autoritou.
- Předmět:
"CN=www.contosoHRApp.com"
.
Poznámka
Pokud používáte relativní rozlišující název (RDN), který má v hodnotě čárku (,), zabalte hodnotu, která obsahuje speciální znak, do dvojitých uvozovek.
Příklad položky předmětu:
DC=Contoso,OU="Docs,Contoso",CN=www.contosoHRApp.com
V tomto příkladu obsahuje RDN
OU
hodnotu s čárkou v názvu. Výsledný výstup proOU
je Docs, Contoso.Podle potřeby vyberte další hodnoty a pak výběrem možnosti Vytvořit přidejte certifikát do seznamu Certifikáty .
V seznamu Certifikáty vyberte nový certifikát. Aktuální stav certifikátu je zakázaný , protože ho certifikační autorita ještě nevystavila.
Na kartě Operace s certifikátem vyberte Stáhnout CSR.
Nechte certifikační autoritu podepsat csr (.csr).
Po podepsání žádosti vyberte na kartě Operace s certifikátemmožnost Sloučit podepsanou žádost a přidejte podepsaný certifikát do Key Vault.
Žádost o certifikát se teď úspěšně sloučila.
Přidání dalších informací k CSR
Pokud chcete při vytváření CSR přidat další informace, definujte je v části SubjectName. Můžete přidat například následující informace:
- Země
- Město
- Kraj
- Organizace
- Organizační jednotka
Příklad
SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US"
Poznámka
Pokud požadujete certifikát ověření domény (DV) s dalšími informacemi, může certifikační autorita žádost odmítnout, pokud nemůže ověřit všechny informace v žádosti. Další informace můžou být vhodnější, pokud požadujete certifikát OV (Organization Validation).
Nejčastější dotazy
Návody monitorovat nebo spravovat csr?
Co když se zobrazí chyba typu Veřejný klíč certifikátu koncové entity v zadaném obsahu certifikátu X.509 neodpovídá veřejné části zadaného privátního klíče. Zkontrolujte prosím, jestli je certifikát platný.
K této chybě dochází v případě, že nesloučíte podepsanou žádost CSR se stejným požadavkem CSR, který jste iniciovali. Každá nová žádost o podepsání certifikátu, kterou vytvoříte, má privátní klíč, který se musí při sloučení podepsané žádosti shodovat.
Když se žádost o podepsání certifikátu sloučí, sloučí se celý řetězec?
Ano, sloučí celý řetězec za předpokladu, že uživatel vrátil soubor .p7b ke sloučení.
Co když je vystavený certifikát v Azure Portal v zakázaném stavu?
Podívejte se na kartu Operace certifikátu a zkontrolujte chybovou zprávu pro daný certifikát.
Co když se zobrazí typ chyby Zadaný název subjektu není platný název X500?
K této chybě může dojít, pokud SubjectName obsahuje nějaké speciální znaky. Projděte si poznámky v Azure Portal a pokynech k PowerShellu.
Typ chyby : Žádost o podepsání certifikátu použitá k získání vašeho certifikátu už byla použita. Zkuste vygenerovat nový certifikát s novou csr. Přejděte do části Rozšířené zásady certifikátu a zkontrolujte, jestli je vypnutá možnost Znovu použít klíč při obnovení.