Share via

Key Vault integreren met geïntegreerde certificeringsinstanties

  • Artikel

Met Azure Key Vault kunt u eenvoudig digitale certificaten voor uw netwerk inrichten, beheren en implementeren en beveiligde communicatie mogelijk maken voor toepassingen. Een digitaal certificaat is een elektronische referentie waarmee een bewijs van identiteit in een elektronische transactie wordt vastgesteld.

Azure Key Vault heeft een vertrouwde samenwerking met de volgende certificeringsinstanties:

Azure Key Vault-gebruikers kunnen DigiCert-/GlobalSign-certificaten rechtstreeks vanuit hun sleutelkluizen genereren. De samenwerking van Key Vault zorgt voor end-to-end certificaatlevenscyclusbeheer voor certificaten die zijn uitgegeven door DigiCert.

Zie Azure Key Vault-certificaten voor meer algemene informatie over certificaten.

Als u geen abonnement op Azure hebt, maakt u een gratis account voordat u begint.

Vereisten

Als u de procedures in dit artikel wilt voltooien, hebt u het volgende nodig:

Voordat u begint

DigiCert

Zorg ervoor dat u de volgende informatie hebt uit uw DigiCert CertCentral-account:

  • CertCentral-account-id
  • Organisatie-id
  • API key
  • Rekening-ID
  • Accountwachtwoord

GlobalSign

Zorg ervoor dat u over de volgende gegevens beschikt van uw Global Sign-account:

  • Rekening-ID
  • Accountwachtwoord
  • Voornaam van beheerder
  • Achternaam van beheerder
  • E-mail van beheerder
  • Telefoonnummer van beheerder

De certificeringsinstantie toevoegen in Key Vault

Nadat u de voorgaande informatie van uw DigiCert CertCentral-account hebt verzameld, kunt u DigiCert toevoegen aan de lijst met certificeringsinstanties in de sleutelkluis.

Azure Portal (DigiCert)

  1. Als u digiCert-certificeringsinstantie wilt toevoegen, gaat u naar de sleutelkluis waaraan u deze wilt toevoegen.

  2. Selecteer Certificaten op de eigenschappenpagina van Key Vault.

  3. Selecteer het tabblad Certificeringsinstanties : Schermopname van het selecteren van het tabblad Certificeringsinstanties.

  4. Selecteer Toevoegen: Schermopname van de knop Toevoegen op het tabblad Certificeringsinstanties.

  5. Voer onder Een certificeringsinstantie maken de volgende waarden in:

    • Naam: Een identificeerbare naam van de verlener. Bijvoorbeeld DigiCertCA.
    • Provider: DigiCert.
    • Account-id: uw DigiCert CertCentral-account-id.
    • Accountwachtwoord: de API-sleutel die u hebt gegenereerd in uw DigiCert CertCentral-account.
    • Organisatie-id: de organisatie-id van uw DigiCert CertCentral-account.

  6. Selecteer Maken.

DigicertCA bevindt zich nu in de lijst met certificeringsinstanties.

Azure Portal (GlobalSign)

  1. Als u een GlobalSign-certificeringsinstantie wilt toevoegen, gaat u naar de sleutelkluis waaraan u deze wilt toevoegen.

  2. Selecteer Certificaten op de eigenschappenpagina van Key Vault.

  3. Selecteer het tabblad Certificeringsinstanties : Schermopname van het selecteren van het tabblad Certificeringsinstanties.

  4. Selecteer Toevoegen: Schermopname van de knop Toevoegen op het tabblad Certificeringsinstanties voor globale aanmelding.

  5. Voer onder Een certificeringsinstantie maken de volgende waarden in:

    • Naam: Een identificeerbare naam van de verlener. Bijvoorbeeld GlobalSignCA.
    • Provider: GlobalSign.
    • Account-id: uw GlobalSign-account-id.
    • Accountwachtwoord: het wachtwoord van uw GlobalSign-account.
    • Voornaam van de beheerder: de voornaam van de beheerder van het account Global Sign.
    • Achternaam van de beheerder: de achternaam van de beheerder van het globale aanmeldingsaccount.
    • E-mail van de beheerder: het e-mailadres van de beheerder van het globale aanmeldingsaccount.
    • Telefoonnummer van beheerder: het telefoonnummer van de beheerder van het globale aanmeldingsaccount.

  6. Selecteer Maken.

GlobalSignCA bevindt zich nu in de lijst met certificeringsinstanties.

Azure PowerShell

U kunt Azure PowerShell gebruiken om Azure-resources te maken en te beheren met behulp van opdrachten of scripts. Azure host Azure Cloud Shell, een interactieve shell-omgeving die u kunt gebruiken via Azure Portal in een browser.

Als u PowerShell lokaal wilt installeren en gebruiken, hebt u Azure AZ PowerShell-module 1.0.0 of hoger nodig om de procedures hier te voltooien. Typ $PSVersionTable.PSVersion om de versie te bepalen. Zie De Azure AZ PowerShell-module installeren als u een upgrade moet uitvoeren. Als u PowerShell lokaal uitvoert, moet u ook uitvoeren Connect-AzAccount om een verbinding met Azure te maken:

Connect-AzAccount

  1. Maak een Azure-resourcegroep met behulp van New-AzResourceGroup. Een resourcegroep is een logische container waarin Azure-resources worden geïmplementeerd en beheerd.

    New-AzResourceGroup -Name ContosoResourceGroup -Location EastUS

  2. Maak een sleutelkluis met een unieke naam. Contoso-Vaultname Hier is de naam voor de sleutelkluis.

    • Kluisnaam: Contoso-Vaultname
    • Naam van resourcegroep: ContosoResourceGroup
    • Locatie: EastUS
    New-AzKeyVault -Name 'Contoso-Vaultname' -ResourceGroupName 'ContosoResourceGroup' -Location 'EastUS'

  3. Definieer variabelen voor de volgende waarden uit uw DigiCert CertCentral-account:

    • Account-id
    • Organisatie-id
    • API-sleutel
    $accountId = "myDigiCertCertCentralAccountID"
$org = New-AzKeyVaultCertificateOrganizationDetail -Id OrganizationIDfromDigiCertAccount
$secureApiKey = ConvertTo-SecureString DigiCertCertCentralAPIKey -AsPlainText –Force

  4. Stel de verlener in. Als u dit doet, wordt Digicert toegevoegd als certificeringsinstantie in de sleutelkluis. Meer informatie over de parameters.

    Set-AzKeyVaultCertificateIssuer -VaultName "Contoso-Vaultname" -Name "TestIssuer01" -IssuerProvider DigiCert -AccountId $accountId -ApiKey $secureApiKey -OrganizationDetails $org -PassThru

  5. Stel het beleid voor het certificaat en het verlenen van certificaten rechtstreeks vanuit DigiCert in Key Vault in:

    $Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "TestIssuer01" -ValidityInMonths 12 -RenewAtNumberOfDaysBeforeExpiry 60
Add-AzKeyVaultCertificate -VaultName "Contoso-Vaultname" -Name "ExampleCertificate" -CertificatePolicy $Policy

Het certificaat wordt nu uitgegeven door de DigiCert-certificeringsinstantie in de opgegeven sleutelkluis.

Problemen oplossen

Als het certificaat dat is uitgegeven de status Uitgeschakeld heeft in Azure Portal, bekijkt u de certificaatbewerking om het DigiCert-foutbericht voor het certificaat te bekijken:

Schermopname van het tabblad Certificaatbewerking.

Foutbericht: 'Voer een samenvoegbewerking uit om deze certificaataanvraag te voltooien'.

Voeg de CSR die is ondertekend door de certificeringsinstantie samen om de aanvraag te voltooien. Zie Een CSR maken en samenvoegen voor informatie over het samenvoegen van een CSR.

Zie Voor meer informatie certificaatbewerkingen in de Key Vault REST API-naslaginformatie. Zie kluizen - Maken of bijwerken en kluizen - Toegangsbeleid bijwerken voor meer informatie over het tot stand brengen van machtigingen.

Volgende stappen