Creación y combinación de una solicitud de firma de certificado en Key Vault

Azure Key Vault admite el almacenamiento de los certificados digitales emitidos por cualquier entidad de certificación (CA). Admite la creación de una solicitud de firma de certificado (CSR) con un par de claves privada y pública. La solicitud de firma de certificado puede firmarla cualquier entidad de certificación (una entidad de una empresa interna o una entidad pública externa). Una solicitud de firma de certificado (CSR) es un mensaje que se envía a una entidad de certificación para solicitar un certificado digital.

Para más información general acerca de los certificados, consulte Certificados de Azure Key Vault.

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Incorporación a Key Vault de certificados emitidos por entidades de certificación asociadas

Key Vault se asocia con las dos siguientes entidades de certificación para simplificar la creación de certificados.

Proveedor	Tipo de certificado	Configuración
DigiCert	Key Vault ofrece certificados SSL OV o EV con DigiCert	Guía de integración
GlobalSign	Key Vault ofrece certificados SSL OV o EV con GlobalSign	Guía de integración

Incorporación a Key Vault de certificados emitidos por entidades de certificación no asociadas

Siga estos pasos para agregar un certificado de entidades de certificación no asociadas con Key Vault (por ejemplo, GoDaddy no es una entidad de certificación de Key Vault de confianza).

Portal

1. Vaya al almacén de claves al que desea agregar el certificado.

2. En la página de propiedades, seleccione Certificados.

3. Seleccione la pestaña Generar o importar.

4. En la pantalla Crear un certificado, elija los siguientes valores:

   • Método de creación de certificados: Generar.
   • Nombre del certificado: ContosoManualCSRCertificate.
   • Tipo de entidad de certificación (CA) : certificado emitido por una entidad de certificación no integrada.
   • Asunto: "CN=www.contosoHRApp.com".

   Nota:

   Si utiliza un nombre distintivo relativo (RDN) que tiene una coma (,) en el valor, encapsule el valor que contiene el carácter especial entre comillas dobles.

   Entrada de ejemplo en Asunto: DC=Contoso,OU="Docs,Contoso",CN=www.contosoHRApp.com

   En este ejemplo, el RDN OU contiene un valor con una coma en el nombre. La salida resultante para OU es Docs, Contoso.

5. Seleccione los restantes valores que desee y, después, seleccione Crear para agregar el certificado a la lista Certificados.

   

6. En la lista Certificados, seleccione el nuevo certificado. El estado actual del certificado es disabled (deshabilitado), ya que la entidad de certificación aún no lo ha emitido.

7. En la pestaña Operación de certificados, seleccione Descargar CSR.

   

8. Pida a la entidad de certificación que firme la solicitud de firma de certificado (.csr).

9. Una vez firmada la solicitud, seleccione Combinar la solicitud firmada en la pestaña Operación de certificados para agregar el certificado firmado a Key Vault.

La solicitud de certificado ahora se ha combinado correctamente.

PowerShell

1. Cree una directiva de certificados. Como la CA de este escenario no está asociada, en IssuerName se selecciona Desconocido y Key Vault no inscribe ni renueva el certificado.

   $policy = New-AzKeyVaultCertificatePolicy -SubjectName "CN=www.contosoHRApp.com" -ValidityInMonths 1  -IssuerName Unknown
   

   Nota:

   Si utiliza un nombre distintivo relativo (RDN) que tiene una coma (,) en el valor, use comillas simples para todo el valor o el conjunto de valores y encapsule el valor que contiene el carácter especial entre comillas dobles.

   Entrada de ejemplo de SubjectName: $policy = New-AzKeyVaultCertificatePolicy -SubjectName 'OU="Docs,Contoso",DC=Contoso,CN=www.contosoHRApp.com' -ValidityInMonths 1 -IssuerName Unknown. En este ejemplo, el valor OU se lee como Docs, Contoso. Este formato funciona con todos los valores que contienen una coma.

   En este ejemplo, el RDN OU contiene un valor con una coma en el nombre. La salida resultante para OU es Docs, Contoso.

2. Cree la solicitud de firma de certificado.

   $csr = Add-AzKeyVaultCertificate -VaultName ContosoKV -Name ContosoManualCSRCertificate -CertificatePolicy $policy
   $csr.CertificateSigningRequest
   

3. Pida a la entidad de certificación que firme la solicitud de firma de certificado. $csr.CertificateSigningRequest es la solicitud de firma de certificado codificada base para el certificado. Este blob se puede volcar en el sitio web de solicitud de certificados del emisor. Este paso varía de una entidad a otra. Consulte las instrucciones de la entidad de certificación sobre cómo ejecutar este paso. También puede usar herramientas como certreq u openssl para obtener la solicitud de certificado firmada y completar el proceso de generación de un certificado.

4. Combine la solicitud firmada en Key Vault. Una vez firmada la solicitud de certificado, puede combinarla con el par de claves pública y privada inicial creado en Azure Key Vault.

   Import-AzKeyVaultCertificate -VaultName ContosoKV -Name ContosoManualCSRCertificate -FilePath C:\test\OutputCertificateFile.cer
   

La solicitud de certificado ahora se ha combinado correctamente.

Incorporación de más información a la solicitud de certificado firmada

Si desea agregar más información al crear la solicitud de certificado firmada, defínala en SubjectName. Puede agregar información como:

• País o región
• Ciudad o situación
• Estado o provincia
• Organización
• Unidad organizativa

Ejemplo

SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US"

Nota

Si solicita un certificado de validación del dominio (DV) con información adicional, es posible que la entidad de certificación rechace la solicitud si no puede validar toda la información de la solicitud. Es posible que sea más adecuado agregar información si se solicita un certificado de validación de la organización (OV).

Preguntas más frecuentes

• ¿Cómo se supervisa o administra una CSR?

  Consulte Supervisión y administración de la creación de certificados.

• ¿Qué ocurre si veo un error del tipo "La clave pública del certificado de entidad final en el contenido del certificado X.509 especificado no coincide con la parte pública de la clave privada especificada. Compruebe si el certificado es válido" ?

  Este error se produce si no combina la CSR firmada con la solicitud de CSR que ha iniciado. Todas las CSR nuevas que cree tienen una clave privada, que debe coincidir al combinar la solicitud firmada.

• Cuando se combina una CSR, ¿se combinará toda la cadena?

  Sí, se combinará toda la cadena, siempre que el usuario haya recuperado el archivo .p7b que va a combinar.

• ¿Qué ocurre si el certificado emitido está en estado deshabilitado en Azure Portal?

  En la pestaña Operación de certificados puede ver el mensaje de error de ese certificado.

• ¿Qué ocurre si veo un error del tipo "El nombre de sujeto proporcionado no es un nombre de X500 válido?

  Este error puede producirse si SubjectName incluye algún carácter especial. Consulte las notas de Azure Portal y las instrucciones de PowerShell.

• Tipo de error El CSR utilizado para obtener su certificado ya se ha utilizado. Intente generar un certificado nuevo con una nueva CSR. Vaya a la sección "Directiva avanzada" del certificado y compruebe si la opción "volver a usar clave en la renovación" está desactivada.

---

Pasos siguientes

• Autenticación, solicitudes y respuestas
• Guía del desarrollador de Key Vault
• Referencia de la API REST de Azure Key Vault
• Almacenes: crear o actualizar
• Almacenes: actualizar directiva de acceso