Mengintegrasikan Key Vault dengan Otoritas Sertifikat Terintegrasi

  • Artikel

Azure Key Vault memungkinkan Anda untuk dengan mudah menyediakan, mengelola, dan menyebarkan sertifikat digital untuk jaringan Anda dan untuk mengaktifkan komunikasi yang aman untuk aplikasi. Sertifikat digital adalah info masuk elektronik untuk menetapkan bukti identitas dalam transaksi elektronik.

Azure Key Vault memiliki kemitraan tepercaya dengan Otoritas Sertifikat berikut:

Pengguna Azure Key Vault dapat membuat sertifikat DigiCert/GlobalSign langsung dari brankas kunci mereka. Kemitraan Key Vault memastikan manajemen siklus hidup sertifikat secara menyeluruh untuk sertifikat yang dikeluarkan oleh DigiCert.

Untuk informasi umum selengkapnya tentang sertifikat, lihat Sertifikat Azure Key Vault.

Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda mulai.

Prasyarat

Untuk menyelesaikan prosedur dalam artikel ini, Anda perlu:

Sebelum Anda mulai

DigiCert

Pastikan Anda memiliki informasi berikut dari akun DigiCert CertCentral Anda:

  • ID akun CertCentral
  • ID Organisasi
  • Kunci API
  • ID Akun
  • Kata Sandi Akun

GlobalSign

Pastikan Anda memiliki informasi berikut ini dari akun Global Sign:

  • ID Akun
  • Kata Sandi Akun
  • Nama Pertama Administrator
  • Nama Belakang Administrator
  • Email Administrator
  • Nomor Telepon Administrator

Menambahkan otoritas sertifikat di Key Vault

Setelah mengumpulkan informasi sebelumnya dari akun DigiCert CertCentral Anda, Anda dapat menambahkan DigiCert ke daftar otoritas sertifikat di brankas kunci.

Portal Microsoft Azure (DigiCert)

  1. Untuk menambahkan otoritas sertifikat DigiCert, buka brankas kunci tempat Anda ingin menambahkan.

  2. Di halaman properti Key Vault, pilih Sertifikat.

  3. Pilih tab Otoritas Sertifikat : Cuplikan layar yang memperlihatkan pemilihan tab Otoritas Sertifikat.

  4. Pilih Tambahkan: Cuplikan layar yang memperlihatkan tombol Tambahkan pada tab Otoritas Sertifikat.

  5. Di bawah Buat otoritas sertifikat, masukkan nilai-nilai ini:

    • Nama: Tambahkan nama pengeluar sertifikat yang dapat diidentifikasi. Misalnya, DigiCertCA.
    • Penyedia: DigiCert.
    • ID Akun: ID akun DigiCert CertCentral Anda.
    • Kata Sandi Akun: Masukkan kunci API yang Anda buat di Akun DigiCert CertCentral Anda.
    • ID Organisasi: ID organisasi dari akun DigiCert CertCentral Anda.

  6. Pilih Buat.

DigicertCA sekarang ada dalam daftar otoritas sertifikat.

Portal Microsoft Azure (GlobalSign)

  1. Untuk menambahkan otoritas sertifikat GlobalSign, buka brankas kunci yang ingin Anda tambahkan.

  2. Di halaman properti Key Vault, pilih Sertifikat.

  3. Pilih tab Otoritas Sertifikat : Cuplikan layar yang memperlihatkan pemilihan tab Otoritas Sertifikat.

  4. Pilih Tambahkan: Cuplikan layar yang memperlihatkan tombol Tambahkan pada tab Otoritas Sertifikat Tanda Tangan Global.

  5. Di bawah Buat otoritas sertifikat, masukkan nilai-nilai ini:

    • Nama: Tambahkan nama pengeluar sertifikat yang dapat diidentifikasi. Misalnya, GlobalSignCA.
    • Penyedia: GlobalSign.
    • ID Akun: ID Akun GlobalSign.
    • Kata Sandi Akun: Kata sandi akun GlobalSign.
    • Nama Depan Administrator: Nama depan administrator akun Global Sign.
    • Nama Belakang Administrator: Nama belakang administrator akun Global Sign.
    • Email Administrator: Email administrator akun Global Sign.
    • Nomor Telepon Administrator: Nomor telepon administrator akun Global Sign.

  6. Pilih Buat.

GlobalSignCA sekarang ada dalam daftar otoritas sertifikat.

Azure PowerShell

Azure PowerShell dapat digunakan untuk membuat dan mengelola sumber daya Azure menggunakan perintah atau skrip. Azure menghosting Azure Cloud Shell, lingkungan shell interaktif yang dapat Anda gunakan melalui portal Microsoft Azure di browser.

Jika memilih untuk menginstal dan menggunakan PowerShell secara lokal, Anda memerlukan modul Azure AZ PowerShell 1.0.0 atau yang lebih baru untuk menyelesaikan prosedur di sini. Ketik $PSVersionTable.PSVersion untuk menentukan versi. Jika Anda perlu meningkatkan versinya, lihat Menginstal modul Azure AZ PowerShell. Jika menjalankan PowerShell secara lokal, Anda juga harus menjalankan Connect-AzAccount untuk membuat sambungan dengan Azure:

Connect-AzAccount

  1. Buat grup sumber daya Azure menggunakan New-AzResourceGroup. Grup sumber daya Azure adalah kontainer logis yang menyebarkan dan mengelola sumber daya Azure.

    New-AzResourceGroup -Name ContosoResourceGroup -Location EastUS

  2. Buat brankas kunci yang memiliki nama unik. Di sini, Contoso-Vaultname adalah nama untuk brankas kunci.

    • Nama vault: Contoso-Vaultname
    • Nama grup sumber daya: ContosoResourceGroup
    • Lokasi: EastUS
    New-AzKeyVault -Name 'Contoso-Vaultname' -ResourceGroupName 'ContosoResourceGroup' -Location 'EastUS'

  3. Tentukan variabel untuk nilai berikut dari akun DigiCert CertCentral Anda:

    • ID Akun
    • ID Organisasi
    • Kunci API
    $accountId = "myDigiCertCertCentralAccountID"
$org = New-AzKeyVaultCertificateOrganizationDetail -Id OrganizationIDfromDigiCertAccount
$secureApiKey = ConvertTo-SecureString DigiCertCertCentralAPIKey -AsPlainText –Force

  4. Atur pengeluar sertifikat. Ini akan menambahkan Digicert sebagai otoritas sertifikat di brankas kunci. Pelajari lebih lanjut tentang parameter.

    Set-AzKeyVaultCertificateIssuer -VaultName "Contoso-Vaultname" -Name "TestIssuer01" -IssuerProvider DigiCert -AccountId $accountId -ApiKey $secureApiKey -OrganizationDetails $org -PassThru

  5. Atur kebijakan untuk sertifikat dan pengeluaran sertifikat dari DigiCert langsung di Key Vault:

    $Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "TestIssuer01" -ValidityInMonths 12 -RenewAtNumberOfDaysBeforeExpiry 60
Add-AzKeyVaultCertificate -VaultName "Contoso-Vaultname" -Name "ExampleCertificate" -CertificatePolicy $Policy

Sertifikat sekarang dikeluarkan oleh otoritas sertifikat DigiCert dalam brankas kunci yang ditentukan.

Pecahkan masalah

Jika sertifikat yang dikeluarkan dalam status dinonfungsikan di portal Microsoft Azure, lihat operasi sertifikat untuk meninjau pesan kesalahan DigiCert untuk sertifikat tersebut:

Cuplikan layar yang menampilkan tab Operasi Sertifikat.

Pesan kesalahan: "Harap lakukan penggabungan untuk menyelesaikan permintaan sertifikat ini."

Gabungkan CSR yang ditandatangani oleh otoritas sertifikat untuk menyelesaikan permintaan. Untuk mengetahui informasi tentang penggabungan CSR, lihat Membuat dan menggabungkan CSR.

Untuk mengetahui informasi selengkapnya, lihat Operasi sertifikat di referensi Key Vault REST API. Untuk mengethaui informasi tentang menetapkan izin, lihat Vault - Membuat atau Memperbarui dan Vault - Memperbarui kebijakan akses.

Langkah berikutnya