Introduzione ai certificati di Key Vault

  • Articolo

Gli scenari seguenti illustrano diversi utilizzi primari del servizio di gestione dei certificati di Key Vault, includendo i passaggi aggiuntivi necessari per creare il primo certificato in un insieme di credenziali delle chiavi.

Vengono illustrate le procedure seguenti:

  • Creazione del primo certificato di Key Vault
  • Creazione di un certificato con un'autorità di certificazione partner di Key Vault
  • Creazione di un certificato con un'autorità di certificazione non partner di Key Vault
  • Importare un certificato

Certificati come oggetti complessi

I certificati sono costituiti da tre risorse correlate che collegate tra loro formano un certificato di Key Vault: i metadati del certificato, una chiave e un segreto.

Certificates are complex

Creazione del primo certificato di Key Vault

Prima di poter creare un certificato in un'istanza di Key Vault, è necessario completare i passaggi preliminari 1 e 2 e deve essere presente un insieme di credenziali delle chiavi per l'utente/organizzazione.

Passaggio 1: provider autorità di certificazione (CA)

  • L'onboarding come amministratore IT o PKI o altro utente responsabile della gestione degli account con le CA per una determinata azienda (ad esempio, Contoso) è un prerequisito per usare i certificati di Key Vault.
    Le CA seguenti sono gli attuali provider partner di Key Vault. Scopri di più qui
    • DigiCert: Key Vault offre certificati TLS/SSL OV con DigiCert.
    • GlobalSign: Key Vault offre certificati TLS/SSL OV con GlobalSign.

Passaggio 2: in amministratore account per un provider CA crea le credenziali che verranno usate da Key Vault per la registrazione, il rinnovo e l'uso di certificati TLS/SSL tramite Key Vault.

Passaggio 3a: a seconda dell'autorità di certificazione, un amministratore di Contoso e un dipendente di Contoso (utente di Key Vault) proprietario di certificati possono ottenere un certificato dall'amministratore o direttamente dall'account con la CA.

  • Avviare un'operazione di aggiunta di credenziali in un insieme di credenziali delle chiavi impostando una risorsa autorità di certificazione. Un'autorità di certificazione è un'entità rappresentata in Azure Key Vault come risorsa CertificateIssuer. Viene usata per rendere disponibili informazioni sull'origine di un certificato di un insieme di credenziali delle chiavi: nome dell'autorità di certificazione, provider, credenziali e altri dettagli amministrativi.

    • Ex. MyDigiCertIssuer

      • Provider
      • Credenziali: credenziali dell'account CA. Ogni autorità di certificazione ha dati specifici.

      Per altre informazioni sulla creazione di account con i provider CA, vedere il relativo post nel blog su Key Vault.

Passaggio 3b: configurare i contatti relativi al certificato per le notifiche. Questi costituiscono il contatto per l'utente di Key Vault. Questo passaggio non viene applicato da Key Vault.

Nota: questo processo, fino al Passaggio 3b, è un'operazione una tantum.

Creazione di un certificato con una CA partner di Key Vault

Create a certificate with a Key Vault partnered certificate authority

Passaggio 4: le descrizioni seguenti corrispondono ai passaggi contrassegnati con un numero in verde nel diagramma precedente.
(1) Nel diagramma precedente, l'applicazione crea un certificato, operazione che internamente inizia con la creazione di una chiave nell'insieme di credenziali delle chiavi.
(2) - Key Vault invia una richiesta di certificato TLS/SSL alla CA.
(3) L'applicazione esegue il polling di Key Vault, in un processo di ciclo e attesa, per il completamento del certificato. La creazione del certificato è completata quando Key Vault riceve la risposta della CA con il certificato X509.
(4) - La CA risponde alla richiesta di certificato TLS/SSL di Key Vault con un certificato TLS/SSL X509.
(5) La creazione del nuovo certificato viene completata con l'unione del certificato X509 per la CA.

L'utente di Key Vault crea un certificato specificando i criteri.

  • Ripetere in base alle esigenze.

  • Vincoli dei criteri

    • Proprietà X509
    • Proprietà chiave
    • Informazioni di riferimento per il provider - > ad esempio MyDigiCertIssure
    • Informazioni relative al rinnovo - > ad esempio 90 giorni prima della scadenza

  • Il processo di creazione di un certificato è in genere asincrono e prevede il polling dell'insieme di credenziali delle chiavi per lo stato dell'operazione di creazione del certificato.
    Operazione di recupero del certificato

    • Stato: operazione completata, non riuscita con informazioni sull'errore o annullata
    • A causa del ritardo nella creazione può essere avviata un'operazione di annullamento. L'annullamento può essere applicato o meno.

Criteri di sicurezza e accesso di rete associati alla CA integrata

Il servizio Key Vault invia richieste alla CA (traffico in uscita). Pertanto, è completamente compatibile con le istanze di Key Vault con firewall abilitato. Key Vault non condivide i criteri di accesso con la CA. La CA deve essere configurata in modo da accettare le richieste di firma in modo indipendente. Guida all'integrazione di CA attendibili

Importare un certificato

In alternativa, è possibile importare un certificato, PFX o PEM, in Key Vault.

Per importare un certificato, è necessario un file PEM o PFX su disco con una chiave privata.

  • È necessario specificare il nome dell'insieme di credenziali e il nome del certificato. I criteri sono facoltativi.

  • I file PEM/PFX contengono attributi che possono essere analizzati da Key Vault per popolare i criteri dei certificati. Se i criteri dei certificati sono già specificati, Key Vault proverà a trovare una corrispondenza con i dati del file PFX/PEM.

  • Al termine dell'importazione, le operazioni successive useranno i nuovi criteri, ossia le nuove versioni.

  • Se non vengono eseguite altre operazioni, Key Vault per prima cosa invierà un avviso di scadenza.

  • L'utente, inoltre, può modificare i criteri, che sono funzionali al momento dell'importazione ma contengono impostazioni predefinite nel caso in cui non vengano specificate informazioni durante l'importazione, ad esempio se non sono presenti informazioni sull'autorità di certificazione

Formati di importazione supportati

Azure Key Vault supporta l'importazione di file di certificato con estensione .pem e .pfx. È supportato il tipo di importazione seguente per il formato di file PEM. Un singolo certificato con codifica PEM insieme a una chiave non crittografata con codifica PKCS#8 nel formato seguente:

-----INIZIO CERTIFICATO-----

-----FINE CERTIFICATO-----

-----BEGIN PRIVATE KEY-----

-----END PRIVATE KEY-----

Quando si importa il certificato, è necessario assicurarsi che la chiave sia inclusa nel file. Se la chiave privata è archiviata separatamente in un formato diverso, è necessario combinare la chiave con il certificato. Alcune autorità di certificazione forniscono certificati in formati diversi, quindi prima di importare il certificato, assicurarsi che sia in formato PEM o PFX.

Nota

Assicurarsi che nel file del certificato non siano presenti altri metadati e che la chiave privata non venga visualizzata come crittografata.

Formati di unione delle richieste CSR supportati

Azure Key Vault supporta 2 formati basati su PEM. È possibile unire un singolo certificato con codifica PKCS#8 o un certificato P7B con codifica Base64 (catena di certificati firmati dalla CA). Se è necessario convertire il formato P7B nel formato supportato, è possibile usare certutil -encode

-----INIZIO CERTIFICATO-----

-----FINE CERTIFICATO-----

Creazione di un certificato con una CA non partner di Key Vault

Questo metodo consente di usare CA diverse dai provider partner di Key Vault, in modo che l'organizzazione possa avvalersi di una CA di propria scelta.

Create a certificate with your own certificate authority

Le descrizioni dei passaggi seguenti corrispondono ai passaggi contrassegnati con un numero in verde nel diagramma precedente.

(1) Nel diagramma precedente, l'applicazione crea un certificato, operazione che internamente inizia con la creazione di una chiave nell'insieme di credenziali delle chiavi.

(2) Key Vault restituisce all'applicazione una richiesta di firma del certificato.

(3) L'applicazione passa la richiesta di firma del certificato alla CA scelta.

(4) La CA scelta risponde con un certificato X509.

(5) L'applicazione completa la creazione del nuovo certificato con l'unione del certificato X509 proveniente dalla CA.