Erstellen und Zusammenführen einer Zertifikatsignieranforderung in Key Vault

Azure Key Vault unterstützt die Speicherung digitaler Zertifikate, die von einer beliebigen Zertifizierungsstelle (ZS) ausgestellt wurden. Key Vault unterstützt die Erstellung einer Zertifikatsignieranforderung (Certificate Signing Request, CSR) mit einem Schlüsselpaar mit einem privaten und einem öffentlichen Schlüssel. Die CSR kann von jeder Zertifizierungsstelle (interne Unternehmenszertifizierungsstelle oder externe öffentliche Zertifizierungsstelle) signiert werden. Bei einer Zertifikatsignieranforderung handelt es sich um eine Nachricht, die Sie zum Anfordern eines digitalen Zertifikats an eine Zertifizierungsstelle senden.

Weitere allgemeine Informationen zu Zertifikaten finden Sie unter Informationen zu Azure Key Vault-Zertifikaten.

Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

Hinzufügen der von Partnerzertifizierungsstellen ausgestellten Zertifikate in Key Vault

Key Vault ist eine Partnerschaft mit den folgenden Zertifizierungsstellen eingegangen, um die Zertifikaterstellung zu vereinfachen:

Anbieter	Zertifikattyp	Konfigurationssetup
DigiCert	Key Vault bietet OV- oder EV-SSL-Zertifikate mit DigiCert	Integrationsleitfaden
GlobalSign	Key Vault bietet OV- oder EV-SSL-Zertifikate mit GlobalSign	Integrationsleitfaden

Hinzufügen von Zertifikaten in Key Vault, die von Zertifizierungsstellen ausgestellt wurden, die keine Partner sind

Führen Sie die folgenden Schritte aus, um ein Zertifikat von Zertifizierungsstellen hinzuzufügen, die keine Partnerschaft mit Key Vault eingegangen sind. (GoDaddy ist beispielsweise keine vertrauenswürdige Key Vault-Zertifizierungsstelle.)

Portal

1. Navigieren Sie zu dem Schlüsseltresor, dem Sie das Zertifikat hinzufügen möchten.

2. Wählen Sie auf der Eigenschaftenseite die Option Zertifikate aus.

3. Wählen Sie die Registerkarte Generieren/importieren aus.

4. Wählen Sie auf dem Bildschirm Zertifikat erstellen die folgenden Werte aus:

   • Methode der Zertifikaterstellung: Generieren.
   • Zertifikatname: ContosoManualCSRCertificate.
   • Typ der Zertifizierungsstelle (ZS): Zertifikat wurde durch eine nicht integrierte Zertifizierungsstelle ausgestellt.
   • Antragsteller:"CN=www.contosoHRApp.com"

   Hinweis

   Wenn Sie einen RDN (Relative Distinguished Name) nutzen, dessen Wert ein Komma (,) enthält, setzen Sie den Wert, der das Sonderzeichen enthält, in doppelte Anführungszeichen.

   Beispieleintrag für Antragsteller: DC=Contoso,OU="Docs,Contoso",CN=www.contosoHRApp.com

   In diesem Beispiel enthält der OU-Wert des RDN einen Wert mit einem Komma im Namen. Die resultierende Ausgabe für OU lautet Docs, Contoso.

5. Wählen Sie die anderen Werte wie gewünscht und dann Erstellen aus, um das Zertifikat der Liste Zertifikate hinzuzufügen.

   

6. Wählen Sie in der Liste Zertifikate das neue Zertifikat aus. Der aktuelle Status des Zertifikats lautet Deaktiviert, da es noch nicht von der Zertifizierungsstelle ausgestellt wurde.

7. Wählen Sie auf der Registerkarte Zertifikatvorgang die Option CSR herunterladen aus.

   

8. Lassen Sie die CSR (.csr) von der Zertifizierungsstelle signieren.

9. Wählen Sie nach dem Signieren der Anforderung auf der Registerkarte Zertifikatvorgang die Option Signierte Anforderung zusammenführen aus, um das signierte Zertifikat zu Key Vault hinzuzufügen.

Die Zertifikatanforderung wurde nun erfolgreich zusammengeführt.

PowerShell

1. Erstellen Sie eine Zertifikatrichtlinie. Da die in diesem Szenario ausgewählte Zertifizierungsstelle über keine Partnerschaft verfügt, wird IssuerName auf Unknown festgelegt, und das Zertifikat wird von Key Vault nicht registriert oder erneuert.

   $policy = New-AzKeyVaultCertificatePolicy -SubjectName "CN=www.contosoHRApp.com" -ValidityInMonths 1  -IssuerName Unknown
   

   Hinweis

   Wenn Sie einen RDN (Relative Distinguished Name) nutzen, dessen Wert ein Komma (,) enthält, verwenden Sie einfache Anführungszeichen für den vollständigen Wert oder Wertsatz, und setzen Sie den Wert, der das Sonderzeichen enthält, in doppelte Anführungszeichen.

   Beispieleintrag für SubjectName: $policy = New-AzKeyVaultCertificatePolicy -SubjectName 'OU="Docs,Contoso",DC=Contoso,CN=www.contosoHRApp.com' -ValidityInMonths 1 -IssuerName Unknown. In diesem Beispiel ist Docs, Contoso der Wert für OU. Dieses Format funktioniert für alle Werte, die ein Komma enthalten.

   In diesem Beispiel enthält der OU-Wert des RDN einen Wert mit einem Komma im Namen. Die resultierende Ausgabe für OU lautet Docs, Contoso.

2. Erstellen Sie die CSR.

   $csr = Add-AzKeyVaultCertificate -VaultName ContosoKV -Name ContosoManualCSRCertificate -CertificatePolicy $policy
   $csr.CertificateSigningRequest
   

3. Lassen Sie die CSR von der Zertifizierungsstelle signieren. $csr.CertificateSigningRequest ist die Base-codierte CSR für das Zertifikat. Sie können dieses Blob in die Website für Zertifikatanforderungen des Ausstellers übernehmen. Dieser Schritt ist je nach Zertifizierungsstelle unterschiedlich. Sehen Sie in den Richtlinien der Zertifizierungsstelle nach, wie dieser Schritt auszuführen ist. Sie können auch Tools wie Certreq oder OpenSSL verwenden, um die CSR signieren zu lassen und den Vorgang zum Generieren eines Zertifikats abzuschließen.

4. Führen Sie die signierte Anforderung in Key Vault zusammen. Nachdem die Zertifikatanforderung signiert wurde, können Sie sie mit dem anfänglichen Schlüsselpaar mit einem privaten und einem öffentlichen Schlüssel zusammenführen, das Sie in Azure Key Vault erstellt haben.

   Import-AzKeyVaultCertificate -VaultName ContosoKV -Name ContosoManualCSRCertificate -FilePath C:\test\OutputCertificateFile.cer
   

Die Zertifikatanforderung wurde nun erfolgreich zusammengeführt.

Hinzufügen von weiteren Informationen zur CSR

Wenn Sie beim Erstellen der CSR weitere Informationen hinzufügen möchten, definieren Sie diese in SubjectName. Sie können beispielsweise folgende Informationen hinzufügen:

• Land/Region
• Ort/Standort
• Bundesland/Kanton
• Organization
• Organisationseinheit

Beispiel

SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US"

Hinweis

Wenn Sie ein domänenvalidiertes Zertifikat (DV-Zertifikat) mit zusätzlichen Informationen anfordern, lehnt die Zertifizierungsstelle die Anforderung unter Umständen ab, wenn nicht alle Informationen in der Anforderung validiert werden können. Die zusätzlichen Informationen eignen sich unter Umständen besser für die Anforderung eines organisationsvalidierten Zertifikats (OV-Zertifikat).

Häufig gestellte Fragen

• Wie überwache oder verwalte ich meine CSR?

  Entsprechende Informationen finden Sie unter Überwachen und Verwalten der Zertifikaterstellung.

• Was ist zu tun, wenn mir Folgendes angezeigt wird: Fehlertyp „Der öffentliche Schlüssel des Endentitätszertifikats im angegebenen X.509-Zertifikatinhalt stimmt nicht mit dem öffentlichen Teil des angegebenen privaten Schlüssels überein. Überprüfen Sie die Gültigkeit des Zertifikats.“ ?

  Dieser Fehler tritt auf, wenn Sie die signierte CSR nicht mit der gleichen initialisierten CSR-Anforderung zusammenführen. Jede von Ihnen erstellte neue CSR verfügt über einen privaten Schlüssel, der beim Zusammenführen der signierten Anforderung abgeglichen werden muss.

• Wird beim Zusammenführen einer CSR die gesamte Kette zusammengeführt?

  Ja, die gesamte Kette wird zusammengeführt, vorausgesetzt, der Benutzer hat eine P7B-Datei zum Zusammenführen zurückgegeben.

• Was geschieht, wenn das ausgestellte Zertifikat im Azure-Portal den Status „deaktiviert“ hat?

  Überprüfen Sie auf der Registerkarte Zertifikatvorgang die Fehlermeldung für dieses Zertifikat.

• Was ist zu tun, wenn mir Folgendes angezeigt wird: Fehlertyp „Beim angegebenen Antragstellernamen handelt es sich nicht um einen gültigen X.500-Namen.“ ?

  Dieser Fehler kann auftreten, wenn SubjectName Sonderzeichen enthält. Weitere Informationen finden Sie in den Hinweisen in den Anweisungen zum Azure-Portal und zu PowerShell.

• Fehlertyp The CSR used to get your certificate has already been used. Please try to generate a new certificate with a new CSR. (Die zum Abrufen Ihres Zertifikats verwendete CSR wurde bereits verwendet. Versuchen Sie, ein neues Zertifikat mit einer neuen CSR zu generieren) Navigieren Sie zum Abschnitt „Erweiterte Richtlinie“ des Zertifikats, und vergewissern Sie sich, dass die Option „Schlüssel beim Erneuern wiederverwenden?“ deaktiviert ist.

---

Nächste Schritte

• Authentifizierung, Anforderungen und Antworten
• Entwicklerhandbuch für Key Vault
• Referenz für die Azure Key Vault-REST-API
• Tresore: Erstellen oder Aktualisieren
• Tresore: Aktualisieren der Zugriffsrichtlinie