Key Vault と統合された証明書機関の統合

Azure Key Vault を使用すると、ネットワークのデジタル証明書のプロビジョニング、管理、およびデプロイを簡単に行うことができ、アプリケーションのセキュリティで保護された通信を実現できます。 デジタル証明書は、電子的なトランザクションにおいて身元を証明するための電子資格情報です。

Azure Key Vault では、以下の証明機関と、信頼できるパートナーシップが結ばれています。

Azure Key Vault ユーザーは、自分のキー コンテナーから DigiCert または GlobalSign の証明書を直接生成できます。 Key Vault のパートナーシップにより、DigiCert によって発行された証明書のエンドツーエンドの証明書ライフサイクル管理が保証されます。

証明書に関する一般的な情報については、Azure Key Vault の証明書に関するページを参照してください。

Azure サブスクリプションをお持ちでない場合は、開始する前に無料アカウントを作成してください。

前提条件

この記事の手順を完了するには、以下が必要です。

開始する前に

DigiCert

DigiCert CertCentral アカウントから次の情報を取得していることを確認します。

  • CertCentral アカウント ID
  • 組織 ID
  • API キー
  • Account ID
  • アカウントのパスワード

GlobalSign

Global Sign アカウントから次の情報を取得していることを確認します。

  • Account ID
  • アカウントのパスワード
  • 管理者の名
  • 管理者の姓
  • 管理者のメール アドレス
  • 管理者の電話番号

キー コンテナーへの証明機関の追加

DigiCert CertCentral アカウントから上記の情報を収集した後、キー コンテナーの証明機関の一覧に DigiCert を追加できます。

Azure portal (DigiCert)

  1. DigiCert 証明機関を追加するには、追加先のキー コンテナーに移動します。

  2. Key Vault のプロパティ ページで、 [証明書] を選択します。

  3. [証明書機関] タブを選択します。Screenshot that shows selecting the Certificate Authorities tab.

  4. [追加] を選択します。Screenshot that shows the Add button on the Certificate Authorities tab.

  5. [証明機関の作成] で、次の値を入力します。

    • [名前] : 識別可能な発行者名。 例: DigiCertCA
    • [プロバイダー] : DigiCert
    • [アカウント ID] : DigiCert CertCentral のアカウント ID。
    • [アカウントのパスワード] : DigiCert CertCentral アカウントで生成した API キー。
    • [組織 ID] : DigiCert CertCentral アカウントの組織 ID。
  6. [作成] を選択します

DigicertCA が証明機関の一覧に表示されるようになりました。

Azure portal (GlobalSign)

  1. DigiCert 証明機関を追加するには、追加先のキー コンテナーに移動します。

  2. Key Vault のプロパティ ページで、 [証明書] を選択します。

  3. [証明書機関] タブを選択します。Screenshot that shows selecting the Certificate Authorities tab.

  4. [追加] を選択します。Screenshot that shows the Add button on the Global Sign Certificate Authorities tab.

  5. [証明機関の作成] で、次の値を入力します。

    • [名前] : 識別可能な発行者名。 たとえば GlobalSignCA です。
    • [プロバイダー]: GlobalSign
    • [アカウント ID]: お使いの GlobalSign アカウント ID。
    • [アカウント パスワード]: お使いの GlobalSign アカウント パスワード。
    • [管理者の名]: Global Sign アカウントの管理者の名。
    • [管理者の姓]: Global Sign アカウントの管理者の姓。
    • [管理者のメール アドレス]: Global Sign アカウントの管理者のメール アドレス。
    • [管理者の電話番号]: Global Sign アカウントの管理者の電話番号。
  6. [作成] を選択します

GlobalSignCA が証明機関の一覧に表示されるようになりました。

Azure PowerShell

Azure PowerShell を使用すると、コマンドまたはスクリプトを使って Azure リソースを作成および管理できます。 Azure によってホストされている Azure Cloud Shell は、ブラウザー内で Azure portal を介して使用できる対話型シェル環境です。

PowerShell をローカルにインストールして使用することを選択する場合、次の手順を完了するには、Azure AZ PowerShell モジュール 1.0.0 以降が必要です。 $PSVersionTable.PSVersion を入力して、バージョンを確認します。 アップグレードが必要な場合は、Azure AZ PowerShell モジュールをインストールする方法に関するページを参照してください。 PowerShell をローカルで実行する場合は、Login-AzAccount も実行して Azure との接続を作成する必要があります。

Login-AzAccount
  1. New-AzResourceGroup を使用して Azure リソース グループを作成します。 リソース グループとは、Azure リソースのデプロイと管理に使用する論理コンテナーです。

    New-AzResourceGroup -Name ContosoResourceGroup -Location EastUS
    
  2. 一意の名前を持つキー コンテナーを作成します。 ここで、Contoso-Vaultname はキー コンテナーの名前です。

    • コンテナー名: Contoso-Vaultname
    • リソース グループ名: ContosoResourceGroup
    • 場所: EastUS
    New-AzKeyVault -Name 'Contoso-Vaultname' -ResourceGroupName 'ContosoResourceGroup' -Location 'EastUS'
    
  3. DigiCert CertCentral アカウントから次の値の変数を定義します。

    • アカウント ID
    • 組織 ID
    • API キー
    $accountId = "myDigiCertCertCentralAccountID"
    $org = New-AzKeyVaultCertificateOrganizationDetail -Id OrganizationIDfromDigiCertAccount
    $secureApiKey = ConvertTo-SecureString DigiCertCertCentralAPIKey -AsPlainText –Force
    
  4. 発行者を設定します。 これにより、DigiCert が証明機関としてキー コンテナーに追加されます。 パラメーターの詳細を参照してください。

    Set-AzKeyVaultCertificateIssuer -VaultName "Contoso-Vaultname" -Name "TestIssuer01" -IssuerProvider DigiCert -AccountId $accountId -ApiKey $secureApiKey -OrganizationDetails $org -PassThru
    
  5. 証明書のポリシーを設定し、キー コンテナー内で直接 DigiCert から証明書を発行します。

    $Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "TestIssuer01" -ValidityInMonths 12 -RenewAtNumberOfDaysBeforeExpiry 60
    Add-AzKeyVaultCertificate -VaultName "Contoso-Vaultname" -Name "ExampleCertificate" -CertificatePolicy $Policy
    

これで、指定したキー コンテナーに DigiCert 証明機関によって証明書が発行されました。

トラブルシューティング

発行された証明書が Azure portal で無効状態になっている場合は、[証明書の操作] を表示して、その証明書の DigiCert エラー メッセージをご確認ください。

Screenshot that shows the Certificate Operation tab.

エラー メッセージ: "Please perform a merge to complete this certificate request (この証明書要求を完了するには、マージを実行してください)"。

証明機関によって署名された CSR をマージして、要求を完了します。 CSR のマージの詳細については、CSR を作成、マージする方法に関するページを参照してください。

詳細については、Key Vault REST API リファレンスの証明書の操作に関する記事をご覧ください。 アクセス許可の設定については、「コンテナー - 作成または更新」と「コンテナー - アクセス ポリシーの更新」をご覧ください。

次のステップ