Tanúsítvány-létrehozási módszerek

  • Cikk
  • 3 perc alatt elolvasható

A Key Vault (KV) tanúsítvány létrehozható vagy importálható egy kulcstartóba. KV-tanúsítvány létrehozásakor a titkos kulcs a kulcstartóban jön létre, és soha nem lesz kitéve a tanúsítvány tulajdonosának. A következő módszerekkel hozhat létre tanúsítványt Key Vault:

  • Önaláírt tanúsítvány létrehozása: Hozzon létre egy nyilvános-privát kulcspárt, és társítsa azt egy tanúsítvánnyal. A tanúsítványt a saját kulcsa írja alá.

  • Hozzon létre manuálisan egy új tanúsítványt: Hozzon létre egy nyilvános-privát kulcspárt, és hozzon létre egy X.509-tanúsítvány-aláírási kérést. Az aláírási kérelmet aláírhatja a regisztrációs hatóság vagy a hitelesítésszolgáltató. Az aláírt x509-tanúsítvány egyesíthető a függőben lévő kulcspárral a KV-tanúsítvány Key Vault való befejezéséhez. Bár ehhez a módszerhez több lépésre van szükség, nagyobb biztonságot nyújt, mivel a titkos kulcs Key Vault jön létre.

Tanúsítvány létrehozása saját hitelesítésszolgáltatóval

Az alábbi leírások az előző diagram zöld betűs lépéseinek felelnek meg.

  1. A diagramon az alkalmazás létrehoz egy tanúsítványt, amely belsőleg egy kulcsnak a kulcstartóban való létrehozásával kezdődik.
  2. Key Vault tanúsítvány-aláírási kérést (CSR) ad vissza az alkalmazásnak
  3. Az alkalmazás a választott CA-nak adja tovább a CSR-t.
  4. A kiválasztott hitelesítésszolgáltató X509-tanúsítvánnyal válaszol.
  5. Az alkalmazás befejezi az új tanúsítvány létrehozását az X509-tanúsítványnak a hitelesítésszolgáltatótól való egyesítésével.
  • Hozzon létre egy tanúsítványt egy ismert kiállítószolgáltatóval: Ehhez a metódushoz egyszeri feladatot kell elvégeznie egy kiállítóobjektum létrehozásához. Miután létrehozott egy kiállítóobjektumot a kulcstartóban, a neve a KV-tanúsítvány szabályzatában hivatkozhat rá. Egy ilyen KV-tanúsítvány létrehozására irányuló kérés létrehoz egy kulcspárt a tárolóban, és a hivatkozott kiállító objektum adataival kommunikál a kiállító szolgáltató szolgáltatásával egy x509-tanúsítvány lekéréséhez. A rendszer lekéri az x509-tanúsítványt a kiállító szolgáltatásból, és egyesül a kulcspárral a KV-tanúsítvány létrehozásának befejezéséhez.

Tanúsítvány létrehozása Key Vault partneri hitelesítésszolgáltatóval

Az alábbi leírások az előző diagram zöld betűs lépéseinek felelnek meg.

  1. A diagramon az alkalmazás létrehoz egy tanúsítványt, amely belsőleg egy kulcsnak a kulcstartóban való létrehozásával kezdődik.
  2. Key Vault TLS-/SSL-tanúsítványkérelmet küld a hitelesítésszolgáltatónak.
  3. Az alkalmazás ciklikus lekérdezéseket végezve várja meg, hogy a kulcstartó elkészítse a tanúsítványt. A tanúsítvány létrehozása akkor ér véget, amikor a kulcstartó megkapja a CA válaszát az X.509-tanúsítvánnyal.
  4. A hitelesítésszolgáltató TLS/SSL X.509-tanúsítvánnyal válaszol Key Vault TLS/SSL-tanúsítványkérésére.
  5. Az új tanúsítvány létrehozása a hitelesítésszolgáltató TLS/SSL X.509 tanúsítványának összevonásával fejeződik be.

Aszinkron folyamat

A KV-tanúsítvány létrehozása aszinkron folyamat. Ez a művelet létrehoz egy KV-tanúsítványkérelemet, és egy 202-ből (elfogadott) http-állapotkódot ad vissza. A kérés állapota nyomon követhető a művelet által létrehozott függőben lévő objektum lekérdezésével. A függőben lévő objektum teljes URI-ja a LOCATION fejlécben lesz visszaadva.

Amikor a KV-tanúsítvány létrehozására vonatkozó kérés befejeződik, a függőben lévő objektum állapota "befejezve" állapotra változik a "folyamatban" állapotról, és létrejön a KV-tanúsítvány új verziója. Ez lesz az aktuális verzió.

Első létrehozás

Amikor első alkalommal hoz létre KV-tanúsítványt, a rendszer egy címezhető kulcsot és titkos kulcsot is létrehoz a tanúsítvány nevével megegyező néven. Ha a név már használatban van, a művelet egy 409-os HTTP-állapotkóddal meghiúsul (ütközés). A címezhető kulcs és a titkos kód a KV-tanúsítvány attribútumaiból szerzi be az attribútumaikat. Az így létrehozott címezhető kulcs és titkos kulcs felügyelt kulcsként és titkos kulcsként van megjelölve, amelynek élettartamát a Key Vault kezeli. A felügyelt kulcsok és titkos kódok írásvédettek. Megjegyzés: Ha egy KV-tanúsítvány lejár vagy le van tiltva, a megfelelő kulcs és titkos kód működésképtelenné válik.

Ha ez az első olyan művelet, amely KV-tanúsítványt hoz létre, szabályzatra van szükség. A szabályzatok egymást követő létrehozási műveletekkel is elláthatók a szabályzaterőforrás helyére. Ha nincs megadva szabályzat, akkor a szolgáltatás szabályzaterőforrásával jön létre a KV-tanúsítvány következő verziója. Amíg a következő verzió létrehozására vonatkozó kérés folyamatban van, az aktuális KV-tanúsítvány, valamint a hozzá tartozó címezhető kulcs és titkos kulcs változatlan marad.

Önkibocsátó tanúsítvány

Saját tanúsítvány létrehozásához állítsa be a kiállító nevét "Self" értékre a tanúsítványházirendben, ahogyan az a tanúsítványszabályzat következő kódrészletében látható.

"issuer": {  
       "name": "Self"  
    }

Ha a kiállító neve nincs megadva, akkor a kiállító neve "Ismeretlen" értékre van állítva. Ha a kiállító "Ismeretlen", a tanúsítvány tulajdonosának manuálisan le kell szereznie egy x509-tanúsítványt a választott kiállítótól, majd egyesítenie kell a nyilvános x509-tanúsítványt a key vault függőben lévő objektumával a tanúsítvány létrehozásának befejezéséhez.

"issuer": {  
       "name": "Unknown"  
    }

Partneralapú hitelesítésszolgáltató

A tanúsítvány létrehozása manuálisan vagy egy "önkibocsátó" használatával végezhető el. Key Vault bizonyos kiállító szolgáltatókkal is együttműködve egyszerűsíti a tanúsítványok létrehozását. A kulcstartóhoz a következő típusú tanúsítványok rendelhetők meg ezekkel a partnerkibocsátó szolgáltatókkal.

Szolgáltató Tanúsítvány típusa Konfiguráció beállítása
DigiCert Key Vault OV- vagy EV SSL-tanúsítványokat kínál a DigiCerttel Integrációs útmutató
Globalsign Key Vault OV- vagy EV SSL-tanúsítványokat kínál a GlobalSign használatával Integrációs útmutató

A tanúsítványkibocsátó az Azure Key Vault (KV) Tanúsítvány-kiállítói erőforrásként képviselt entitás. A KV-tanúsítvány forrásával kapcsolatos információk megadására szolgál; kiállító neve, szolgáltató, hitelesítő adatok és egyéb rendszergazdai adatok.

Amikor egy rendelést a kiállító szolgáltatónál ad le, a tanúsítvány típusa alapján tiszteletben tarthatja vagy felülbírálhatja az x509-tanúsítványbővítményeket és a tanúsítvány érvényességi időtartamát.

Engedélyezés: A tanúsítványokhoz/létrehozási engedélyhez van szükség.

Lásd még: