Metode pembuatan sertifikat
Sertifikat Key Vault (KV) dapat dibuat atau diimpor ke key vault. Saat sertifikat KV dibuat, kunci privat dibuat di dalam brankas kunci dan tidak pernah diekspos ke pemilik sertifikat. Berikut ini adalah cara untuk membuat sertifikat di Key Vault:
Membuat sertifikat yang ditandatangani sendiri: Buat pasangan kunci publik-privat dan kaitkan dengan sertifikat. Sertifikat akan ditandatangani oleh kuncinya sendiri.
Buat sertifikat baru secara manual: Buat pasangan kunci publik-privat dan buat permintaan penandatanganan sertifikat X.509. Permintaan penandatanganan dapat ditandatangani oleh otoritas pendaftaran atau otoritas sertifikasi Anda. Sertifikat x509 yang ditandatangani dapat digabungkan dengan pasangan kunci yang tertunda untuk menyelesaikan sertifikat KV di Key Vault. Meskipun metode ini memerlukan tahapan yang lebih banyak, keamanan yang diberikan juga lebih besar karena kunci privat dibuat dan dibatasi untuk Key Vault.
Deskripsi berikut ini sesuai dengan langkah-langkah berhuruf hijau dalam diagram sebelumnya.
- Dalam diagram, aplikasi Anda membuat sertifikat, yang dimulai secara internal dengan membuat kunci di brankas kunci Anda.
- Key Vault kembali ke aplikasi Permintaan Penandatanganan Sertifikat (CSR) Anda
- Aplikasi Anda meneruskan CSR ke CA pilihan Anda.
- CA pilihan Anda merespons dengan Sertifikat X509.
- Aplikasi Anda menyelesaikan pembuatan sertifikat baru dengan penggabungan Sertifikat X509 dari CA Anda.
- Membuat sertifikat dengan penyedia layanan pengeluar sertifikat yang dikenal: Metode ini mengharuskan Anda untuk melakukan tugas satu kali untuk membuat objek penerbit. Setelah objek pengeluar sertifikat dibuat di brankas kunci Anda, namanya dapat direferensikan dalam kebijakan sertifikat KV. Permintaan untuk membuat sertifikat KV seperti itu akan membuat pasangan kunci di vault dan berkomunikasi dengan layanan penyedia pengeluar sertifikat menggunakan informasi dalam objek penerbit yang direferensikan untuk mendapatkan sertifikat x509. Sertifikat x509 diambil dari layanan pengeluar settifikat dan digabungkan dengan pasangan kunci untuk menyelesaikan pembuatan sertifikat KV.
Deskripsi berikut ini sesuai dengan langkah-langkah berhuruf hijau dalam diagram sebelumnya.
- Dalam diagram, aplikasi Anda membuat sertifikat, yang dimulai secara internal dengan membuat kunci di brankas kunci Anda.
- Key Vault mengirimkan Permintaan Sertifikat TLS/SSL ke CA.
- Aplikasi Anda mengumpulkan, dalam proses perulangan dan tunggu, untuk Key Vault Anda untuk penyelesaian sertifikat. Pembuatan sertifikat selesai ketika Key Vault menerima respons CA dengan sertifikat x509.
- CA menanggapi Permintaan Sertifikat TLS/SSL Key Vault dengan sertifikat TLS/SSL X.509.
- Pembuatan sertifikat baru Anda selesai dengan penggabungan sertifikat TLS/SSL X.509 untuk CA.
Proses asinkron
Pembuatan sertifikat KV adalah proses asinkron. Operasi ini akan membuat permintaan sertifikat KV dan mengembalikan kode status http 202 (Diterima). Status permintaan dapat dilacak dengan melakukan jajal pendapat objek tertunda yang dibuat oleh operasi ini. URI yang penuh dari objek yang tertunda dikembalikan di header LOCATION.
Ketika permintaan untuk membuat sertifikat KV selesai, status objek yang tertunda akan berubah dari "sedang berlangsung" menjadi "selesai,” dan versi baru sertifikat KV akan dibuat. Ini akan menjadi versi saat ini.
Pembuatan pertama
Saat sertifikat KV dibuat untuk pertama kalinya, kunci dan rahasia yang dapat diatasi juga dibuat dengan nama yang sama dengan sertifikat. Jika nama sudah digunakan, maka operasi akan gagal dengan kode status http 409 (konflik). Kunci dan rahasia yang dapat diatasi mendapatkan atribut mereka dari atribut sertifikat KV. Kunci dan rahasia yang dapat diatasi dengan cara ini ditandai sebagai kunci dan rahasia terkelola, yang masa pakainya dikelola oleh Key Vault. Kunci dan rahasia terkelola bersifat baca-saja. Catatan: Jika sertifikat KV kedaluwarsa atau dinonaktifkan, kunci dan rahasia yang sesuai tidak akan bisa dioperasikan.
Jika ini adalah operasi pertama untuk membuat sertifikat KV, kebijakan diperlukan. Kebijakan juga dapat dipasok dengan operasi buat berturut-turut untuk menggantikan sumber daya kebijakan. Jika kebijakan tidak disediakan, sumber daya kebijakan pada layanan digunakan untuk membuat versi sertifikat KV berikutnya. Saat permintaan untuk membuat versi berikutnya sedang berlangsung, sertifikat KV saat ini, dan kunci dan rahasia yang dapat diatasi yang sesuai, tetap tidak berubah.
Sertifikat yang diterbitkan sendiri
Untuk membuat sertifikat yang diterbitkan sendiri, tetapkan nama pengeluar sertifikat sebagai "Diri sendiri" dalam kebijakan sertifikat seperti yang ditunjukkan dalam cuplikan dari kebijakan sertifikat.
"issuer": {
"name": "Self"
}
Jika nama pengeluar sertifikat tidak ditentukan, maka nama pengeluar sertifikat diatur ke "Tidak Diketahui". Ketika penerbit "Tidak Diketahui", pemilik sertifikat harus mendapatkan sertifikat x509 secara manual dari penerbit pilihan mereka, lalu menggabungkan sertifikat x509 publik dengan sertifikat brankas kunci yang tertunda untuk menyelesaikan pembuatan sertifikat.
"issuer": {
"name": "Unknown"
}
Penyedia layanan OS Bermitra
Pembuatan sertifikat dapat diselesaikan secara manual atau menggunakan pengeluar sertifikat "Mandiri". Key Vault juga bermitra dengan penyedia layanan pengeluar sertifikat tertentu untuk menyederhanakan pembuatan sertifikat. Jenis sertifikat berikut dapat dipesan untuk key vault dengan penyedia layanan pengeluar sertifikat mitra ini.
| Penyedia | Jenis sertifikat | Pengaturan konfigurasi |
|---|---|---|
| DigiCert | Key Vault menawarkan sertifikat OV atau EV SSL dengan DigiCert | Panduan integrasi |
| GlobalSign | Key Vault menawarkan sertifikat OV atau EV SSL dengan GlobalSign | Panduan integrasi |
Pengeluar sertifikat adalah entitas yang diwakili dalam Azure Key Vault (KV) sebagai sumber daya PengeluarSertifikat. Ini digunakan untuk memberikan informasi tentang sumber sertifikat KV; nama pengeluar sertifikat, penyedia layanan, kredensial, dan detail administratif lainnya.
Ketika pesanan dilakukan dengan penyedia penerbit, pesanan dapat menghormati atau mengambil alih ekstensi sertifikat x509 dan periode validitas sertifikat berdasarkan jenis sertifikat.
Otorisasi: Memerlukan izin sertifikat/pembuatan.
Lihat Juga
- Panduan cara membuat sertifikat di Key Vault menggunakan Portal, Azure CLI, Azure PowerShell
- Memantau dan mengelola pembuatan sertifikat
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk