Integración de Key Vault con las entidades de certificación integradas

Azure Key Vault permite aprovisionar, administrar e implementar fácilmente certificados digitales para una red y habilitar las comunicaciones seguras para las aplicaciones. Un certificado digital es una credencial electrónica que establece la prueba de identidad en una transacción electrónica.

Azure Key Vault tiene una asociación de confianza con las siguientes entidades de certificación:

• DigiCert
• GlobalSign

Los usuarios de Azure Key Vault pueden generar certificados DigiCert o GlobalSign directamente desde sus almacenes de claves. Esta asociación garantiza la administración del ciclo de vida de los certificados de un extremo a otro para los certificados emitidos por DigiCert.

Para más información general acerca de los certificados, consulte Certificados de Azure Key Vault.

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Requisitos previos

Para completar los procedimientos de este artículo, necesitará tener:

• Un almacén de claves. Puede usar un almacén de claves existente o crear uno completando los pasos de uno de estos artículos de inicio rápido:
  • Creación de un almacén de claves mediante la CLI de Azure
  • Creación de un almacén de claves mediante Azure PowerShell
  • Creación de un almacén de claves mediante Azure Portal
• Una cuenta CertCentral de DigiCert activada. Regístrese para la cuenta CertCentral.
• Permisos de nivel de administrador en sus cuentas.

Antes de empezar

DigiCert

Asegúrese de disponer de la siguiente información de la cuenta CertCentral de DigiCert:

• Id. de la cuenta CertCentral
• Identificador de la organización
• Clave de API
• Identificador de cuenta
• Contraseña de cuenta

GlobalSign

Asegúrese de que tiene la siguiente información de su cuenta de GlobalSign:

• Identificador de cuenta
• Contraseña de cuenta
• Nombre del administrador
• Apellido del administrador
• Correo electrónico del administrador
• Número de teléfono del administrador

Incorporación de una entidad de certificación en Key Vault

Después de recopilar la información anterior de la cuenta CertCentral de DigiCert, puede agregar DigiCert a la lista de entidades de certificación del almacén de claves.

Azure Portal (DigiCert)

1. Para agregar la entidad de certificación DigiCert, vaya al almacén de claves en el que quiere agregar DigiCert.

2. En la página de propiedades de Key Vault, seleccione Certificados.

3. Seleccione la pestaña Entidades de certificación:

4. Seleccione Agregar:

5. En Creación de una entidad de certificación, escriba estos valores:

   • Nombre: un nombre de emisor identificable. Por ejemplo, DigiCertCA.
   • Proveedor: DigiCert.
   • Id. de cuenta: id. de la cuenta CertCentral de DigiCert.
   • Contraseña de cuenta: escriba la clave de API que generó en la cuenta CertCentral de DigiCert.
   • Id. de organización: el id. de organización de la cuenta CertCentral de DigiCert.

6. Seleccione Crear.

DigicertCA ahora está en la lista de entidades de certificación.

Azure Portal (GlobalSign)

1. Para agregar la entidad de certificación GlobalSign, vaya al almacén de claves en el que quiere agregarla.

2. En la página de propiedades de Key Vault, seleccione Certificados.

3. Seleccione la pestaña Entidades de certificación:

4. Seleccione Agregar:

5. En Creación de una entidad de certificación, escriba estos valores:

   • Nombre: un nombre de emisor identificable. Por ejemplo, GlobalSignCA.
   • Proveedor: GlobalSign.
   • Identificador de la cuenta: el identificador de la cuenta de GlobalSign.
   • Contraseña de la cuenta: la contraseña de la cuenta de GlobalSign.
   • Nombre del administrador: el nombre del administrador de la cuenta de GlobalSign.
   • Apellido del administrador: el apellido del administrador de la cuenta de GlobalSign.
   • Correo electrónico del administrador: el correo electrónico del administrador de la cuenta de GlobalSign.
   • Número de teléfono del administrador: el número de teléfono del administrador de la cuenta de GlobalSign.

6. Seleccione Crear.

GlobalSignCA está ahora en la lista de entidades de certificación.

Azure PowerShell

Puede usar Azure PowerShell para crear y administrar recursos de Azure mediante comandos o scripts. En Azure se hospeda Azure Cloud Shell, un entorno de shell interactivo que puede usar mediante Azure Portal en un explorador.

Si decide instalar y usar PowerShell localmente, necesitará la versión 1.0.0 o posterior del módulo de Azure AZ PowerShell para completar los procedimientos. Escriba $PSVersionTable.PSVersion para determinar la versión. Si necesita actualizarla, consulte Instalación del módulo de Azure AZ PowerShell. Si PowerShell se ejecuta localmente, también debe ejecutar Connect-AzAccount para crear una conexión con Azure:

Connect-AzAccount

1. Cree un grupo de recursos de Azure mediante New-AzResourceGroup. Un grupo de recursos es un contenedor lógico en el que se implementan y se administran los recursos de Azure.

   New-AzResourceGroup -Name ContosoResourceGroup -Location EastUS
   

2. Cree un almacén de claves que tenga un nombre único. Aquí, Contoso-Vaultname es el nombre del almacén de claves.

   • Nombre del almacén: Contoso-Vaultname
   • Nombre del grupo de recursos: ContosoResourceGroup
   • Ubicación: EastUS.

   New-AzKeyVault -Name 'Contoso-Vaultname' -ResourceGroupName 'ContosoResourceGroup' -Location 'EastUS'
   

3. Defina variables para los siguientes valores de la cuenta CertCentral de DigiCert:

   • Id. de cuenta
   • Identificador de la organización
   • Clave de API

   $accountId = "myDigiCertCertCentralAccountID"
   $org = New-AzKeyVaultCertificateOrganizationDetail -Id OrganizationIDfromDigiCertAccount
   $secureApiKey = ConvertTo-SecureString DigiCertCertCentralAPIKey -AsPlainText –Force
   

4. Establezca el emisor. Al hacerlo agregará DigiCert como entidad de certificación en el almacén de claves. Más información sobre los parámetros.

   Set-AzKeyVaultCertificateIssuer -VaultName "Contoso-Vaultname" -Name "TestIssuer01" -IssuerProvider DigiCert -AccountId $accountId -ApiKey $secureApiKey -OrganizationDetails $org -PassThru
   

5. Establezca la directiva para el certificado y emisión del certificado desde DigiCert directamente a Key Vault:

   $Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "TestIssuer01" -ValidityInMonths 12 -RenewAtNumberOfDaysBeforeExpiry 60
   Add-AzKeyVaultCertificate -VaultName "Contoso-Vaultname" -Name "ExampleCertificate" -CertificatePolicy $Policy
   

La entidad de certificación DigiCert emite ahora el certificado al almacén de claves especificado.

Solución de problemas

Si el certificado emitido se encuentra en el estado deshabilitado en Azure Portal, vea la operación de certificados para revisar el mensaje de error de DigiCert para el certificado:

Mensaje de error "Realice una operación de combinación para completar esta solicitud de certificado".

Combine la CSR firmada por la entidad de certificación para completar la solicitud. Para información sobre la combinación de una CSR, consulte Creación y combinación de una CSR.

Para más información, consulte Operaciones de certificados en la referencia de la API de REST de Key Vault. Para obtener información sobre cómo establecer permisos, vea Almacenes: creación o actualización y Almacenes: actualización de la directiva de acceso.

Pasos siguientes

• Preguntas más frecuentes: Integración de Key Vault en entidades de certificación integradas
• Autenticación, solicitudes y respuestas
• Guía del desarrollador de Key Vault