Integrazione di Key Vault con autorità di certificazione integrate
Azure Key Vault consente di effettuare facilmente il provisioning, la gestione e la distribuzione di certificati digitali per la rete e di abilitare comunicazioni sicure per le applicazioni. Un certificato digitale è una credenziale elettronica che serve a fornire la prova dell'identità in una transazione elettronica.
Azure Key Vault ha una partnership di fiducia con alcune autorità di certificazione:
Gli utenti di Azure Key Vault possono generare certificati DigiCert/GlobalSign direttamente dalla loro istanza del servizio. La partnership di Key Vault garantisce la gestione end-to-end del ciclo di vita dei certificati rilasciati da DigiCert.
Per informazioni più generali sui certificati, vedere Certificati di Azure Key Vault.
Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.
Prerequisiti
Per completare le procedure descritte in questo articolo, sono necessari gli elementi seguenti:
- Un insieme di credenziali delle chiavi. È possibile usare un'istanza di Key Vault esistente o crearne una nuove seguendo le procedure illustrate in una di queste guide di avvio rapido:
- Un account CertCentral di DigiCert attivato. Iscriversi per ricevere un account CertCentral.
- Autorizzazioni a livello di amministratore negli account.
Operazioni preliminari
DigiCert
Assicurarsi di avere le informazioni seguenti dell'account CertCentral di DigiCert:
- ID account di CertCentral
- ID organizzazione
- Chiave API
- ID conto
- Password dell'account
GlobalSign
Assicurarsi di avere le informazioni seguenti dell'account GlobalSign:
- ID conto
- Password dell'account
- Nome dell'amministratore
- Cognome dell'amministratore
- Indirizzo di posta elettronica dell'amministratore
- Numero di telefono dell'amministratore
Aggiungere l'autorità di certificazione in Key Vault
Dopo aver raccolto le informazioni precedenti dall'account CertCentral di DigiCert, è possibile aggiungere DigiCert all'elenco di autorità di certificazione in Key Vault.
Portale di Azure (DigiCert)
Per aggiungere l'autorità di certificazione DigiCert, passare all'istanza di Key Vault in cui si vuole aggiungere.
Nella pagina delle proprietà di Key Vault selezionare Certificati.
Selezionare la scheda Autorità di certificazione:
Selezionare Aggiungi:
In Crea un'autorità di certificazione immettere questi valori:
- Nome: nome di un'autorità di certificazione identificabile. Ad esempio, DigiCertCA.
- Provider: DigiCert.
- ID account: ID dell'account CertCentral di DigiCert.
- Password account: la chiave API generata nell'account CertCentral di DigiCert.
- ID organizzazione: ID organizzazione usato nell'account CertCentral di DigiCert.
Seleziona Crea.
DigicertCA è ora presente nell'elenco delle autorità di certificazione.
Portale di Azure (GlobalSign)
Per aggiungere l'autorità di certificazione GlobalSign, passare all'istanza di Key Vault in cui inserirla.
Nella pagina delle proprietà di Key Vault selezionare Certificati.
Selezionare la scheda Autorità di certificazione:
Selezionare Aggiungi:
In Crea un'autorità di certificazione immettere questi valori:
- Nome: nome di un'autorità di certificazione identificabile. Ad esempio, GlobalSignCA.
- Provider: GlobalSign.
- ID account: ID account di GlobalSign.
- Password account: password dell'account GlobalSign.
- Nome dell'amministratore: nome dell'amministratore dell'account GlobalSign.
- Cognome dell'amministratore: cognome dell'amministratore dell'account GlobalSign.
- Indirizzo di posta elettronica dell'amministratore: indirizzo dell'amministratore dell'account GlobalSign.
- Numero di telefono dell'amministratore: numero di telefono dell'amministratore dell'account GlobalSign.
Seleziona Crea.
GlobalSignCA è ora presente nell'elenco delle autorità di certificazione.
Azure PowerShell
È possibile usare Azure PowerShell per creare e gestire le risorse di Azure mediante comandi o script. Azure ospita Azure Cloud Shell, un ambiente shell interattivo che è possibile usare tramite il portale di Azure in un browser.
Se si sceglie di installare e usare PowerShell in locale, per completare le procedure è necessario il modulo Azure Az PowerShell 1.0.0 o versione successiva. Digitare $PSVersionTable.PSVersion per determinare la versione. Se è necessario eseguire l'aggiornamento, vedere Installare e configurare Azure Az PowerShell. Se si esegue PowerShell in locale, è anche necessario eseguire Connect-AzAccount per creare una connessione con Azure:
Connect-AzAccount
Creare un gruppo di risorse di Azure usando New-AzResourceGroup. Un gruppo di risorse è un contenitore logico in cui vengono distribuite e gestite le risorse di Azure.
New-AzResourceGroup -Name ContosoResourceGroup -Location EastUSCreare un'istanza di Key Vault con un nome univoco. Qui,
Contoso-Vaultnameè il nome dell'istanza di Key Vault.- Nome dell'istanza di Key Vault:
Contoso-Vaultname - Nome del gruppo di risorse:
ContosoResourceGroup - Posizione:
EastUS
New-AzKeyVault -Name 'Contoso-Vaultname' -ResourceGroupName 'ContosoResourceGroup' -Location 'EastUS'- Nome dell'istanza di Key Vault:
Definire le variabili per i valori seguenti dall'account CertCentral di DigiCert:
- ID account
- ID organizzazione
- Chiave API
$accountId = "myDigiCertCertCentralAccountID" $org = New-AzKeyVaultCertificateOrganizationDetail -Id OrganizationIDfromDigiCertAccount $secureApiKey = ConvertTo-SecureString DigiCertCertCentralAPIKey -AsPlainText –ForceImpostare l'autorità di certificazione. In questo modo, nell'istanza di Key Vault verrà aggiunta DigiCert come autorità di certificazione. Altre informazioni sui parametri.
Set-AzKeyVaultCertificateIssuer -VaultName "Contoso-Vaultname" -Name "TestIssuer01" -IssuerProvider DigiCert -AccountId $accountId -ApiKey $secureApiKey -OrganizationDetails $org -PassThruImpostare il criterio per il certificato e l'emissione del certificato da DigiCert direttamente all'interno di Key Vault:
$Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "TestIssuer01" -ValidityInMonths 12 -RenewAtNumberOfDaysBeforeExpiry 60 Add-AzKeyVaultCertificate -VaultName "Contoso-Vaultname" -Name "ExampleCertificate" -CertificatePolicy $Policy
Il certificato viene ora emesso dall'autorità di certificazione DigiCert nell'istanza di Key Vault specificata.
Risoluzione dei problemi
Se il certificato emesso ha lo stato disabilitato nel portale di Azure, vedere l'operazione relativa al certificato per esaminare il messaggio di errore di DigiCert per il certificato:
Messaggio di errore "Per completare questa richiesta di certificato, eseguire un'operazione di unione".
Unire la richiesta di firma del certificato (CSR) firmata dall'autorità di certificazione per completare la richiesta. Per informazioni sull'unione di una richiesta CSR, vedere Creare e unire una richiesta di firma del certificato.
Per altre informazioni, vedere le operazioni relative ai certificati nell'articolo di riferimento sull'API REST di Key Vault. Per informazioni sulla definizione delle autorizzazioni, vedere Istanze di Key Vault: creazione o aggiornamento e Istanze di Key Vault: aggiornamento del criterio di accesso.
Passaggi successivi
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per