Een certificaatondertekeningsaanvraag maken en samenvoegen in Key Vault

Azure Key Vault ondersteunt het opslaan van digitale certificaten die zijn uitgegeven door een certificeringsinstantie. Het biedt ondersteuning voor het maken van een aanvraag voor certificaat ondertekening (CSR) met een privé/openbaar sleutelpaar. De CSR kan worden ondertekend door elke CA (een interne ondernemings-CA of een externe openbare CA). Een aanvraag voor certificaatondertekening (CSR) is een bericht dat u naar een CA verzendt om een digitaal certificaat aan te vragen.

Zie Azure Key Vault-certificaten voor meer algemene informatie over certificaten.

Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.

Certificaten toevoegen aan Key Vault die zijn uitgegeven door partnercertificeringsinstanties

Key Vault is een partnerschap aangegaan met de volgende certificeringsinstanties om het maken van certificaten te vereenvoudigen.

Provider	Type certificaat	Configuratie-installatie
DigiCert	Key Vault biedt OV- of EV SSL-certificaten met DigiCert	Integratiehandleiding
GlobalSign	Key Vault biedt OV- of EV SSL-certificaten met GlobalSign	Integratiehandleiding

Certificaten toevoegen aan Key Vault die zijn uitgegeven door niet-partnercertificeringsinstanties

Volg deze stappen om een certificaat toe te voegen van CA's die geen partner zijn van Key Vault. (GoDaddy is bijvoorbeeld geen vertrouwde Key Vault CA.)

Portal

1. Ga naar de sleutelkluis waaraan u het certificaat wilt toevoegen.

2. Selecteer op de eigenschappenpagina Certificaten.

3. Selecteer het tabblad Genereren/importeren.

4. Kies op het scherm Een certificaat maken de volgende waarden:

   • Methode voor het maken van certificaten: genereren.
   • Certificaatnaam: ContosoManualCSRCertificate.
   • Type certificeringsinstantie (CA): certificaat uitgegeven door een niet-geïntegreerde CA.
   • Onderwerp: "CN=www.contosoHRApp.com".

   Notitie

   Als u een Relatieve DN-naam (RDN) gebruikt met een komma (,) in de waarde, plaats dan de waarde met het speciale teken tussen dubbele aanhalingstekens.

   Voorbeeldvermelding van Onderwerp: DC=Contoso,OU="Docs,Contoso",CN=www.contosoHRApp.com

   In dit voorbeeld bevat de RDN OU een waarde met een komma in de naam. De resulterende uitvoer voor OU is Docs, Contoso.

5. Selecteer de andere waarden naar wens. Selecteer vervolgens Maken om het certificaat toe te voegen aan de lijst Certificaten.

   

6. Selecteer, in de lijst Certificaten, het nieuwe certificaat. De huidige status van het certificaat is uitgeschakeld omdat het certificaat nog niet is uitgegeven door de CA.

7. Ga naar tabblad Certificaatbewerking en selecteer vervolgens CSR downloaden.

   

8. Laat de CA de CSR (.csr) ondertekenen.

9. Nadat de aanvraag is ondertekend, selecteert u Ondertekende aanvraag samenvoegen op het tabblad Certificaatbewerking om het ondertekende certificaat aan Key Vault toe te voegen.

De certificaataanvraag is nu samengevoegd.

Powershell

1. Maak een certificaatbeleid. Omdat de CA in dit scenario gekozen geen partner is, is IssuerName ingesteld op Onbekend en wordt het certificaat niet door Key Vault ingeschreven of verlengd.

   $policy = New-AzKeyVaultCertificatePolicy -SubjectName "CN=www.contosoHRApp.com" -ValidityInMonths 1  -IssuerName Unknown
   

   Notitie

   Als u een Relatieve DN-naam (RDN) gebruikt met een komma (,) in de waarde, gebruik dan enkele aanhalingstekens voor de volledige waarde of waardeset en plaats de waarde met het speciale teken tussen dubbele aanhalingstekens.

   Voorbeeldvermelding van Onderwerpnaam: $policy = New-AzKeyVaultCertificatePolicy -SubjectName 'OU="Docs,Contoso",DC=Contoso,CN=www.contosoHRApp.com' -ValidityInMonths 1 -IssuerName Unknown. In dit voorbeeld ziet de waarde voor OU er als volgt uit Docs, Contoso. Deze indeling werkt voor alle waarden die een komma bevatten.

   In dit voorbeeld bevat de RDN OU een waarde met een komma in de naam. De resulterende uitvoer voor OU is Docs, Contoso.

2. Maak de CSR.

   $csr = Add-AzKeyVaultCertificate -VaultName ContosoKV -Name ContosoManualCSRCertificate -CertificatePolicy $policy
   $csr.CertificateSigningRequest
   

3. Laat de CA de CSR ondertekenen. De $csr.CertificateSigningRequest is de CSR die de basis gecodeerd heeft voor het certificaat. U kunt deze blob maken en dumpen in de website van de certificaatverlener van de aanvraag. Deze stap verschilt per certificeringsinstantie. Zoek naar de richtlijnen van uw CA voor het uitvoeren van deze stap. U kunt ook hulpprogramma's zoals certreq of openssl gebruiken om de CSR te ondertekenen en het proces voor het genereren van een certificaat te voltooien.

4. Voeg de ondertekende aanvraag samen in Key Vault. Wanneer de certificaat aanvraag is ondertekend, kunt u deze samenvoegen met het eerste persoonlijke/openbare sleutelpaar dat is gemaakt in Azure Key Vault.

   Import-AzKeyVaultCertificate -VaultName ContosoKV -Name ContosoManualCSRCertificate -FilePath C:\test\OutputCertificateFile.cer
   

De certificaataanvraag is nu samengevoegd.

Meer informatie toevoegen aan CSR

Als u meer informatie wilt toevoegen tijdens het maken van de CSR, definieert u dit in SubjectName. Mogelijk wilt u informatie toevoegen zoals:

• Land/regio
• Plaats
• Provincie
• Organisatie
• Organisatie-eenheid

Opmerking

SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US"

Notitie

Als u een certificaat voor domeinvalidatie (DV) aanvraagt met aanvullende informatie, kan de CA de aanvraag afwijzen als het niet mogelijk is om alle gegevens in de aanvraag te valideren. De aanvullende informatie is mogelijk beter geschikt als u een certificaat voor organisatievalidatie (OV) aanvraagt.

Veelgestelde vragen

• Hoe kan ik mijn CSR controleren of beheren?

  Zie Het maken van certificaten controleren en beheren.

• Wat gebeurt er als ik het foutbericht 'De openbare sleutel van het end-entity-certificaat in de opgegeven X.509-certificaatinhoud niet overeenkomt met het openbare deel van de opgegeven persoonlijke sleutel. Controleer of het certificaat geldig is?

  Deze fout treedt op als u de CSR niet samenvoegt met dezelfde CSR-aanvraag die u heeft geïnitieerd. Elke nieuwe CSR die u maakt, heeft een persoonlijke sleutel die moet overeenkomen wanneer u de ondertekende aanvraag samenvoegt.

• Wanneer een CSR wordt samengevoegd, wordt dan de gehele keten samengevoegd?

  Ja, de hele keten wordt samengevoegd, op voorwaarde dat de gebruiker het samen te voegen p7b-bestand heeft teruggezet.

• Wat gebeurt er als het uitgegeven certificaat de status 'uitgeschakeld' heeft in de Azure Portal?

  Ga naar het tabblad Certificaatbewerking om het foutbericht voor dat certificaat weer te geven.

• Wat gebeurt er als Fouttype 'De opgegeven objectnaam is geen geldige x500-naam'?

  Deze fout kan optreden als SubjectName speciale tekens bevat. Bekijk de opmerkingen in de instructies van de Azure Portal en PowerShell.

• Fouttype De CSR die wordt gebruikt om uw certificaat op te halen, is al gebruikt. Probeer een nieuw certificaat te genereren met een nieuwe CSR. Ga naar de sectie Geavanceerd beleid van het certificaat en controleer of de optie Opnieuw gebruiken bij verlenging is uitgeschakeld.

---

Volgende stappen

• Verificatie, aanvragen en antwoorden
• Gids voor Key Vault-ontwikkelaars
• Verwijzing van de REST-API van Azure Key Vault
• Kluizen: maken of bijwerken
• Kluizen: toegangsbeleid bijwerken