Mengintegrasikan Key Vault dengan Otoritas Sertifikat Terintegrasi
Azure Key Vault memungkinkan Anda untuk dengan mudah menyediakan, mengelola, dan menyebarkan sertifikat digital untuk jaringan Anda dan untuk mengaktifkan komunikasi yang aman untuk aplikasi. Sertifikat digital adalah info masuk elektronik untuk menetapkan bukti identitas dalam transaksi elektronik.
Azure Key Vault memiliki kemitraan tepercaya dengan Otoritas Sertifikat berikut:
Pengguna Azure Key Vault dapat membuat sertifikat DigiCert/GlobalSign langsung dari brankas kunci mereka. Kemitraan Key Vault memastikan manajemen siklus hidup sertifikat secara menyeluruh untuk sertifikat yang dikeluarkan oleh DigiCert.
Untuk informasi umum selengkapnya tentang sertifikat, lihat Sertifikat Azure Key Vault.
Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda mulai.
Prasyarat
Untuk menyelesaikan prosedur dalam artikel ini, Anda perlu:
- Brankas kunci. Anda dapat menggunakan brankas kunci yang sudah ada, atau membuat yang baru dengan menyelesaikan langkah di salah satu mulai cepat ini:
- Akun DigiCert CertCentral yang diaktifkan. Daftar untuk akun CertCentral Anda.
- Izin tingkat admin di akun Anda.
Sebelum Anda mulai
DigiCert
Pastikan Anda memiliki informasi berikut dari akun DigiCert CertCentral Anda:
- ID akun CertCentral
- ID Organisasi
- Kunci API
- ID Akun
- Kata Sandi Akun
GlobalSign
Pastikan Anda memiliki informasi berikut ini dari akun Global Sign:
- ID Akun
- Kata Sandi Akun
- Nama Pertama Administrator
- Nama Belakang Administrator
- Email Administrator
- Nomor Telepon Administrator
Menambahkan otoritas sertifikat di Key Vault
Setelah mengumpulkan informasi sebelumnya dari akun DigiCert CertCentral Anda, Anda dapat menambahkan DigiCert ke daftar otoritas sertifikat di brankas kunci.
Portal Microsoft Azure (DigiCert)
Untuk menambahkan otoritas sertifikat DigiCert, buka brankas kunci tempat Anda ingin menambahkan.
Di halaman properti Key Vault, pilih Sertifikat.
Pilih tab Otoritas Sertifikat :
Pilih Tambahkan:
Di bawah Buat otoritas sertifikat, masukkan nilai-nilai ini:
- Nama: Tambahkan nama pengeluar sertifikat yang dapat diidentifikasi. Misalnya, DigiCertCA.
- Penyedia: DigiCert.
- ID Akun: ID akun DigiCert CertCentral Anda.
- Kata Sandi Akun: Masukkan kunci API yang Anda buat di Akun DigiCert CertCentral Anda.
- ID Organisasi: ID organisasi dari akun DigiCert CertCentral Anda.
Pilih Buat.
DigicertCA sekarang ada dalam daftar otoritas sertifikat.
Portal Microsoft Azure (GlobalSign)
Untuk menambahkan otoritas sertifikat GlobalSign, buka brankas kunci yang ingin Anda tambahkan.
Di halaman properti Key Vault, pilih Sertifikat.
Pilih tab Otoritas Sertifikat :
Pilih Tambahkan:
Di bawah Buat otoritas sertifikat, masukkan nilai-nilai ini:
- Nama: Tambahkan nama pengeluar sertifikat yang dapat diidentifikasi. Misalnya, GlobalSignCA.
- Penyedia: GlobalSign.
- ID Akun: ID Akun GlobalSign.
- Kata Sandi Akun: Kata sandi akun GlobalSign.
- Nama Depan Administrator: Nama depan administrator akun Global Sign.
- Nama Belakang Administrator: Nama belakang administrator akun Global Sign.
- Email Administrator: Email administrator akun Global Sign.
- Nomor Telepon Administrator: Nomor telepon administrator akun Global Sign.
Pilih Buat.
GlobalSignCA sekarang ada dalam daftar otoritas sertifikat.
Azure PowerShell
Azure PowerShell dapat digunakan untuk membuat dan mengelola sumber daya Azure menggunakan perintah atau skrip. Azure menghosting Azure Cloud Shell, lingkungan shell interaktif yang dapat Anda gunakan melalui portal Microsoft Azure di browser.
Jika memilih untuk menginstal dan menggunakan PowerShell secara lokal, Anda memerlukan modul Azure AZ PowerShell 1.0.0 atau yang lebih baru untuk menyelesaikan prosedur di sini. Ketik $PSVersionTable.PSVersion
untuk menentukan versi. Jika Anda perlu meningkatkan versinya, lihat Menginstal modul Azure AZ PowerShell. Jika menjalankan PowerShell secara lokal, Anda juga harus menjalankan Connect-AzAccount
untuk membuat sambungan dengan Azure:
Connect-AzAccount
Buat grup sumber daya Azure menggunakan New-AzResourceGroup. Grup sumber daya Azure adalah kontainer logis yang menyebarkan dan mengelola sumber daya Azure.
New-AzResourceGroup -Name ContosoResourceGroup -Location EastUS
Buat brankas kunci yang memiliki nama unik. Di sini,
Contoso-Vaultname
adalah nama untuk brankas kunci.- Nama vault:
Contoso-Vaultname
- Nama grup sumber daya:
ContosoResourceGroup
- Lokasi:
EastUS
New-AzKeyVault -Name 'Contoso-Vaultname' -ResourceGroupName 'ContosoResourceGroup' -Location 'EastUS'
- Nama vault:
Tentukan variabel untuk nilai berikut dari akun DigiCert CertCentral Anda:
- ID Akun
- ID Organisasi
- Kunci API
$accountId = "myDigiCertCertCentralAccountID" $org = New-AzKeyVaultCertificateOrganizationDetail -Id OrganizationIDfromDigiCertAccount $secureApiKey = ConvertTo-SecureString DigiCertCertCentralAPIKey -AsPlainText –Force
Atur pengeluar sertifikat. Ini akan menambahkan Digicert sebagai otoritas sertifikat di brankas kunci. Pelajari lebih lanjut tentang parameter.
Set-AzKeyVaultCertificateIssuer -VaultName "Contoso-Vaultname" -Name "TestIssuer01" -IssuerProvider DigiCert -AccountId $accountId -ApiKey $secureApiKey -OrganizationDetails $org -PassThru
Atur kebijakan untuk sertifikat dan pengeluaran sertifikat dari DigiCert langsung di Key Vault:
$Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "TestIssuer01" -ValidityInMonths 12 -RenewAtNumberOfDaysBeforeExpiry 60 Add-AzKeyVaultCertificate -VaultName "Contoso-Vaultname" -Name "ExampleCertificate" -CertificatePolicy $Policy
Sertifikat sekarang dikeluarkan oleh otoritas sertifikat DigiCert dalam brankas kunci yang ditentukan.
Pecahkan masalah
Jika sertifikat yang dikeluarkan dalam status dinonfungsikan di portal Microsoft Azure, lihat operasi sertifikat untuk meninjau pesan kesalahan DigiCert untuk sertifikat tersebut:
Pesan kesalahan: "Harap lakukan penggabungan untuk menyelesaikan permintaan sertifikat ini."
Gabungkan CSR yang ditandatangani oleh otoritas sertifikat untuk menyelesaikan permintaan. Untuk mengetahui informasi tentang penggabungan CSR, lihat Membuat dan menggabungkan CSR.
Untuk mengetahui informasi selengkapnya, lihat Operasi sertifikat di referensi Key Vault REST API. Untuk mengethaui informasi tentang menetapkan izin, lihat Vault - Membuat atau Memperbarui dan Vault - Memperbarui kebijakan akses.