Membuat dan menggabungkan permintaan penandatanganan sertifikat di Key Vault

Azure Key Vault mendukung penyimpanan sertifikat digital yang dikeluarkan oleh otoritas sertifikat (CA) apa pun. Ini mendukung pembuatan permintaan penandatanganan sertifikat (CSR) dengan pasangan kunci pribadi/publik. CSR dapat ditandatangani oleh CA apa pun (CA perusahaan internal atau CA publik eksternal). Permintaan penandatanganan sertifikat (CSR) adalah pesan yang Anda kirimkan ke CA untuk meminta sertifikat digital.

Untuk informasi umum selengkapnya tentang sertifikat, lihat Sertifikat Azure Key Vault.

Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.

Menambahkan sertifikat di Key Vault yang dikeluarkan oleh CA yang bermitra

Key Vault bermitra dengan otoritas sertifikat berikut untuk menyederhanakan pembuatan sertifikat.

Penyedia	Jenis sertifikat	Pengaturan konfigurasi
DigiCert	Key Vault menawarkan sertifikat OV atau EV SSL dengan DigiCert	Panduan integrasi
GlobalSign	Key Vault menawarkan sertifikat OV atau EV SSL dengan GlobalSign	Panduan integrasi

Menambahkan sertifikat di Key Vault yang dikeluarkan oleh CA yang tidak bermitra

Ikuti langkah-langkah ini untuk menambahkan sertifikat dari CAs yang tidak bermitra dengan Key Vault. (Misalnya, GoDaddy bukan CA Key Vault tepercaya.)

Portal

1. Masuk ke brankas kunci yang ingin Anda tambahkan sertifikatnya.

2. Pada halaman properti, pilih Sertifikat.

3. Pilih tab Buat/Impor.

4. Pada layar Buat sertifikat pilih nilai berikut ini:

   • Metode Pembuatan Sertifikat: Buat.
   • Nama Sertifikat: ContosoManualCSRCertificate.
   • Jenis Otoritas Sertifikat (CA): Sertifikat yang dikeluarkan oleh CA yang tidak terintegrasi.
   • Subjek: "CN=www.contosoHRApp.com".

   Catatan

   Jika Anda menggunakan Relative Distinguished Name (RDN) yang memiliki koma (,) dalam nilai, bungkus nilai yang berisi karakter khusus dalam tanda kutip ganda.

   Contoh entri ke Subjek: DC=Contoso,OU="Docs,Contoso",CN=www.contosoHRApp.com

   Dalam contoh ini, OU RDN berisi nilai dengan koma dalam nama. Output yang dihasilkan OU adalah Docs, Contoso.

5. Pilih nilai lain seperti yang diinginkan, lalu pilih Buat untuk menambahkan sertifikat ke daftar Sertifikat.

   

6. Dalam Sertifikatdaftar, pilih sertifikat baru. Status sertifikat saat ini dinonaktifkan karena belum diterbitkan oleh CA.

7. Pada tab Operasi Sertifikat, pilih Unduh CSR.

   

8. Minta CA menandatangani CSR (.csr).

9. Setelah permintaan ditandatangani, pilih Gabungkan Permintaan yang Ditandatangani pada tab Operasi Sertifikat untuk menambahkan sertifikat yang ditandatangani ke Key Vault.

Permintaan sertifikat sekarang telah berhasil digabungkan.

PowerShell

1. Membuat kebijakan sertifikat. Karena CA yang dipilih dalam skenario ini tidak bermitra, IssuerName diatur ke Tidak Diketahui dan Key Vault tidak mendaftar atau memperpanjang sertifikat.

   $policy = New-AzKeyVaultCertificatePolicy -SubjectName "CN=www.contosoHRApp.com" -ValidityInMonths 1  -IssuerName Unknown
   

   Catatan

   Jika Anda menggunakan Relative Distinguished Name (RDN) yang memiliki koma (,) dalam nilai, gunakan tanda kutip tunggal untuk nilai penuh atau kumpulan nilai, dan bungkus nilai yang berisi karakter khusus dalam tanda kutip ganda.

   Contoh entri ke SubjectName: $policy = New-AzKeyVaultCertificatePolicy -SubjectName 'OU="Docs,Contoso",DC=Contoso,CN=www.contosoHRApp.com' -ValidityInMonths 1 -IssuerName Unknown. Dalam contoh ini, OU nilainya dibaca sebagai Docs, Contoso. Format ini berfungsi untuk semua nilai yang berisi koma.

   Dalam contoh ini, OU RDN berisi nilai dengan koma dalam nama. Output yang dihasilkan OU adalah Docs, Contoso.

2. Buat CSR.

   $csr = Add-AzKeyVaultCertificate -VaultName ContosoKV -Name ContosoManualCSRCertificate -CertificatePolicy $policy
   $csr.CertificateSigningRequest
   

3. Minta CA menandatangani CSR. Ini $csr.CertificateSigningRequest adalah CSR yang dikodekan dasar untuk sertifikat. Anda dapat membuang blob ini ke situs web permintaan sertifikat penerbit. Langkah ini bervariasi dari CA ke CA. Cari panduan CA Anda tentang cara menjalankan langkah ini. Anda juga dapat menggunakan alat seperti certreq atau openssl untuk mendapatkan CSR ditandatangani dan menyelesaikan proses pembuatan sertifikat.

4. Gabungkan permintaan yang ditandatangani di Key Vault. Setelah permintaan sertifikat ditandatangani, Anda dapat menggabungkannya dengan pasangan kunci privat/publik awal yang dibuat di Azure Key Vault.

   Import-AzKeyVaultCertificate -VaultName ContosoKV -Name ContosoManualCSRCertificate -FilePath C:\test\OutputCertificateFile.cer
   

Permintaan sertifikat sekarang telah berhasil digabungkan.

Menambahkan informasi lebih lanjut ke CSR

Jika Anda ingin menambahkan informasi lainnya saat membuat CSR, tentukan di SubjectName. Anda mungkin ingin menambahkan informasi seperti:

• Negara/wilayah
• Kota/daerah
• Negara Bagian/Provinsi
• Organization
• Unit Organisasi

Contoh

SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US"

Catatan

Jika Anda meminta sertifikat Validasi Domain (DV) dengan informasi tambahan, CA mungkin menolak permintaan jika tidak dapat memvalidasi semua informasi dalam permintaan. Informasi tambahan mungkin lebih tepat jika Anda meminta sertifikat Validasi Organisasi (OV).

Tanya Jawab Umum

• Bagaimana cara memantau atau mengelola CSR saya?

  Memantau dan mengelola pembuatan sertifikat

• Jenis kesalahan 'Kunci publik sertifikat entitas akhir dalam konten sertifikat X.509 yang ditentukan tidak cocok dengan bagian publik dari kunci privat yang ditentukan. Periksa apakah sertifikat valid'?

  Kesalahan ini terjadi jika Anda tidak menggabungkan CSR yang ditandatangani dengan permintaan CSR yang sama dengan yang Anda mulai. Setiap CSR baru yang Anda buat memiliki kunci pribadi, yang harus dicocokkan saat Anda menggabungkan permintaan yang ditandatangani.

• Ketika CSR digabungkan, apakah akan menggabungkan seluruh rantai?

  Ya, itu akan menggabungkan seluruh rantai, asalkan pengguna telah membawa kembali file .p7b untuk digabungkan.

• Bagaimana jika sertifikat yang dikeluarkan dalam status dinonaktifkan di portal Microsoft Azure?

  Tampilkan tab Operasi Sertifikat untuk meninjau pesan kesalahan untuk sertifikat tersebut.

• Bagaimana jika saya melihat Jenis kesalahan 'Nama subjek yang disediakan bukan nama X500 yang valid'?

  Kesalahan ini mungkin terjadi jika SubjectName menyertakan karakter khusus apa pun. Lihat catatan di portal Microsoft Azure dan instruksi PowerShell.

• Jenis kesalahan CSR yang digunakan untuk mendapatkan sertifikat Anda telah digunakan. Cobalah untuk membuat sertifikat baru dengan CSR baru. Masuk ke bagian 'Kebijakan Tingkat Lanjut' dari sertifikat tersebut dan periksa apakah opsi 'gunakan kembali kunci saat perpanjangan' dinonaktifkan.

---

Langkah berikutnya

• Autentikasi, permintaan, dan respons
• Panduan Pengembang Key Vault
• Referensi API REST Azure Key Vault
• Vaults - Buat atau Perbarui
• Vaults - Perbarui Kebijakan Akses