Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Sertifikat Key Vault dapat dibuat atau diimpor ke dalam key vault. Saat sertifikat Key Vault dibuat, kunci privat dibuat di dalam key vault dan tidak pernah diekspos ke pemilik sertifikat. Berikut ini adalah cara untuk membuat sertifikat di Key Vault:
Buat sertifikat yang ditandatangani sendiri: Buat pasangan kunci publik-privat dan kaitkan dengan sertifikat. Sertifikat akan ditandatangani oleh kunci kripto miliknya sendiri.
Buat sertifikat baru secara manual: Buat pasangan kunci publik-privat dan buat permintaan penandatanganan sertifikat X.509. Permintaan penandatanganan dapat ditandatangani oleh otoritas pendaftaran atau otoritas sertifikasi Anda. Sertifikat X.509 yang ditandatangani dapat digabungkan dengan pasangan kunci yang tertunda untuk menyelesaikan sertifikat Key Vault di Key Vault. Meskipun metode ini memerlukan lebih banyak langkah, metode ini memberi Anda keamanan yang lebih besar karena kunci privat dibuat dan dibatasi untuk Key Vault.
Deskripsi berikut sesuai dengan langkah-langkah ber huruf hijau dalam diagram sebelumnya.
- Dalam diagram, aplikasi Anda membuat sertifikat, yang dimulai secara internal dengan membuat kunci di brankas kunci Anda.
- Key Vault mengembalikan Permintaan Penandatanganan Sertifikat (CSR) kepada aplikasi Anda
- Aplikasi Anda meneruskan CSR ke CA pilihan Anda.
- CA yang Anda pilih merespons dengan Sertifikat X509.
- Aplikasi Anda menyelesaikan pembuatan sertifikat baru dengan penggabungan Sertifikat X509 dari CA Anda.
- Buat sertifikat dengan penyedia pengeluar sertifikat yang diketahui: Metode ini mengharuskan Anda untuk melakukan tugas satu kali untuk membuat objek pengeluar sertifikat. Setelah objek pengeluar sertifikat dibuat di key vault Anda, namanya dapat direferensikan dalam kebijakan sertifikat Key Vault. Permintaan untuk membuat sertifikat Key Vault akan membuat pasangan kunci di dalam brankas dan berkomunikasi dengan layanan penyedia sertifikasi penerbit menggunakan informasi dalam objek penerbit yang dirujuk untuk mendapatkan sertifikat X.509. Sertifikat X.509 diambil dari layanan penerbit dan digabungkan dengan pasangan kunci untuk menyelesaikan pembuatan sertifikat Key Vault.
Deskripsi berikut sesuai dengan langkah-langkah ber huruf hijau dalam diagram sebelumnya.
- Dalam diagram, aplikasi Anda membuat sertifikat, yang dimulai secara internal dengan membuat kunci di brankas kunci Anda.
- Key Vault mengirimkan Permintaan Sertifikat TLS/SSL ke CA.
- Aplikasi Anda melakukan polling pada Key Vault secara berulang dan menunggu hingga sertifikat selesai. Pembuatan sertifikat selesai ketika Key Vault menerima respons CA dengan sertifikat X.509.
- CA menanggapi Permintaan Sertifikat TLS/SSL Key Vault dengan sertifikat TLS/SSL X.509.
- Pembuatan sertifikat baru Anda selesai dengan penggabungan sertifikat TLS/SSL X.509 untuk CA.
Proses asinkron
Key Vault pembuatan sertifikat adalah proses asinkron. Operasi ini membuat permintaan sertifikat Key Vault dan mengembalikan kode status HTTP 202 (Diterima). Status permintaan dapat dilacak dengan memeriksa secara berkala objek yang sedang menunggu yang dibuat oleh operasi ini. URI lengkap dari objek yang tertunda dikembalikan pada header LOCATION.
Ketika permintaan untuk membuat sertifikat Key Vault selesai, status objek yang tertunda berubah menjadi "selesai" dari "sedang berlangsung", dan versi baru sertifikat Key Vault dibuat. Ini menjadi versi terkini.
Penciptaan pertama
Saat sertifikat Key Vault dibuat untuk pertama kalinya, kunci dan rahasia yang dapat diatasi juga dibuat dengan nama yang sama dengan sertifikat. Jika nama sudah digunakan, maka operasi gagal dengan kode status HTTP 409 (konflik). Kunci dan rahasia yang dapat diatasi mendapatkan atributnya dari atribut sertifikat Key Vault. Kunci dan rahasia yang dapat diatasi yang dibuat dengan cara ini ditandai sebagai kunci dan rahasia terkelola, yang masa pakainya dikelola oleh Key Vault. Kunci dan rahasia terkelola bersifat hanya-baca. Catatan: Jika sertifikat Key Vault kedaluwarsa atau dinonaktifkan, kunci dan rahasia yang sesuai menjadi tidak dapat dioperasikan.
Jika ini adalah operasi pertama untuk membuat sertifikat Key Vault, kebijakan diperlukan. Kebijakan juga dapat disediakan dengan operasi pembuatan berturut-turut untuk menggantikan sumber daya kebijakan. Jika kebijakan tidak disediakan, sumber daya kebijakan pada layanan digunakan untuk membuat versi sertifikat Key Vault berikutnya. Saat permintaan untuk membuat versi berikutnya sedang berlangsung, sertifikat Key Vault saat ini, serta kunci dan rahasia yang dapat diakses yang sesuai, tetap tidak berubah.
Sertifikat yang diterbitkan sendiri
Untuk membuat sertifikat yang diterbitkan sendiri, atur nama penerbit sebagai "Mandiri" dalam kebijakan sertifikat seperti yang ditunjukkan dalam cuplikan berikut dari kebijakan sertifikat.
"issuer": {
"name": "Self"
}
Jika nama pengeluar sertifikat tidak ditentukan, maka nama pengeluar sertifikat diatur ke "Tidak Diketahui". Ketika penerbit adalah "Tidak Diketahui", pemilik sertifikat perlu mendapatkan sertifikat X.509 secara manual dari penerbit pilihan mereka. Kemudian, mereka harus menggabungkan sertifikat X.509 publik dengan objek sertifikat di brankas kunci yang masih tertunda untuk menyelesaikan proses pembuatan sertifikat.
"issuer": {
"name": "Unknown"
}
Penyedia CA bermitra
Pembuatan sertifikat dapat diselesaikan secara manual atau menggunakan penerbit "Mandiri". Key Vault juga bermitra dengan penyedia penerbit tertentu untuk menyederhanakan pembuatan sertifikat. Jenis sertifikat berikut dapat dipesan untuk Key Vault dengan penyedia penerbit mitra ini.
| Provider | Jenis sertifikat | Pengaturan konfigurasi |
|---|---|---|
| DigiCert | Key Vault menawarkan sertifikat OV atau EV SSL dengan DigiCert | Panduan Integrasi |
| GlobalSign | Key Vault menawarkan sertifikat OV atau EV SSL dengan GlobalSign | Panduan Integrasi |
Penerbit sertifikat adalah entitas yang diwakili dalam Azure Key Vault sebagai sumber daya CertificateIssuer. Ini menyediakan informasi tentang sumber sertifikat Key Vault: nama penerbit, penyedia, kredensial, dan detail administratif lainnya.
Ketika instruksi diberikan kepada penyedia penerbit, instruksi tersebut dapat menghormati atau mengabaikan ekstensi sertifikat X.509 dan validitas periode sertifikat berdasarkan jenis sertifikat.
Otorisasi: Memerlukan izin sertifikat/buat.
Langkah berikutnya
- Panduan cara membuat sertifikat di Key Vault menggunakan Portal, Azure CLI, Azure PowerShell
- Memantau dan mengelola pembuatan sertifikat