Creación y combinación de una solicitud de firma de certificado en Key Vault
Azure Key Vault admite el almacenamiento de los certificados digitales emitidos por cualquier entidad de certificación (CA). Admite la creación de una solicitud de firma de certificado (CSR) con un par de claves privada y pública. La solicitud de firma de certificado puede firmarla cualquier entidad de certificación (una entidad de una empresa interna o una entidad pública externa). Una solicitud de firma de certificado (CSR) es un mensaje que se envía a una entidad de certificación para solicitar un certificado digital.
Para más información general acerca de los certificados, consulte Certificados de Azure Key Vault.
Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.
Incorporación a Key Vault de certificados emitidos por entidades de certificación asociadas
Key Vault se asocia con las dos siguientes entidades de certificación para simplificar la creación de certificados.
Proveedor | Tipo de certificado | Configuración |
---|---|---|
DigiCert | Key Vault ofrece certificados SSL OV o EV con DigiCert | Guía de integración |
GlobalSign | Key Vault ofrece certificados SSL OV o EV con GlobalSign | Guía de integración |
Incorporación a Key Vault de certificados emitidos por entidades de certificación no asociadas
Siga estos pasos para agregar un certificado de entidades de certificación no asociadas con Key Vault (por ejemplo, GoDaddy no es una entidad de certificación de Key Vault de confianza).
Vaya al almacén de claves al que desea agregar el certificado.
En la página de propiedades, seleccione Certificados.
Seleccione la pestaña Generar o importar.
En la pantalla Crear un certificado, elija los siguientes valores:
- Método de creación de certificados: Generar.
- Nombre del certificado: ContosoManualCSRCertificate.
- Tipo de entidad de certificación (CA) : certificado emitido por una entidad de certificación no integrada.
- Asunto:
"CN=www.contosoHRApp.com"
.
Nota:
Si utiliza un nombre distintivo relativo (RDN) que tiene una coma (,) en el valor, encapsule el valor que contiene el carácter especial entre comillas dobles.
Entrada de ejemplo en Asunto:
DC=Contoso,OU="Docs,Contoso",CN=www.contosoHRApp.com
En este ejemplo, el RDN
OU
contiene un valor con una coma en el nombre. La salida resultante paraOU
es Docs, Contoso.Seleccione los restantes valores que desee y, después, seleccione Crear para agregar el certificado a la lista Certificados.
En la lista Certificados, seleccione el nuevo certificado. El estado actual del certificado es disabled (deshabilitado), ya que la entidad de certificación aún no lo ha emitido.
En la pestaña Operación de certificados, seleccione Descargar CSR.
Pida a la entidad de certificación que firme la solicitud de firma de certificado (.csr).
Una vez firmada la solicitud, seleccione Combinar la solicitud firmada en la pestaña Operación de certificados para agregar el certificado firmado a Key Vault.
La solicitud de certificado ahora se ha combinado correctamente.
Incorporación de más información a la solicitud de certificado firmada
Si desea agregar más información al crear la solicitud de certificado firmada, defínala en SubjectName. Puede agregar información como:
- País o región
- Ciudad o situación
- Estado o provincia
- Organización
- Unidad organizativa
Ejemplo
SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US"
Nota
Si solicita un certificado de validación del dominio (DV) con información adicional, es posible que la entidad de certificación rechace la solicitud si no puede validar toda la información de la solicitud. Es posible que sea más adecuado agregar información si se solicita un certificado de validación de la organización (OV).
Preguntas más frecuentes
¿Cómo se supervisa o administra una CSR?
Consulte Supervisión y administración de la creación de certificados.
¿Qué ocurre si veo un error del tipo "La clave pública del certificado de entidad final en el contenido del certificado X.509 especificado no coincide con la parte pública de la clave privada especificada. Compruebe si el certificado es válido" ?
Este error se produce si no combina la CSR firmada con la solicitud de CSR que ha iniciado. Todas las CSR nuevas que cree tienen una clave privada, que debe coincidir al combinar la solicitud firmada.
Cuando se combina una CSR, ¿se combinará toda la cadena?
Sí, se combinará toda la cadena, siempre que el usuario haya recuperado el archivo .p7b que va a combinar.
¿Qué ocurre si el certificado emitido está en estado deshabilitado en Azure Portal?
En la pestaña Operación de certificados puede ver el mensaje de error de ese certificado.
¿Qué ocurre si veo un error del tipo "El nombre de sujeto proporcionado no es un nombre de X500 válido?
Este error puede producirse si SubjectName incluye algún carácter especial. Consulte las notas de Azure Portal y las instrucciones de PowerShell.
Tipo de error El CSR utilizado para obtener su certificado ya se ha utilizado. Intente generar un certificado nuevo con una nueva CSR. Vaya a la sección "Directiva avanzada" del certificado y compruebe si la opción "volver a usar clave en la renovación" está desactivada.