Tworzenie i scalanie żądania podpisania certyfikatu w usłudze Key Vault

Usługa Azure Key Vault obsługuje przechowywanie certyfikatów cyfrowych wystawionych przez dowolny urząd certyfikacji. Obsługuje tworzenie żądania podpisania certyfikatu (CSR) z parą kluczy prywatnych/publicznych. Csr może być podpisany przez dowolny urząd certyfikacji (wewnętrzny urząd certyfikacji przedsiębiorstwa lub zewnętrzny publiczny urząd certyfikacji). Żądanie podpisania certyfikatu (CSR) to komunikat wysyłany do urzędu certyfikacji w celu żądania certyfikatu cyfrowego.

Aby uzyskać więcej ogólnych informacji na temat certyfikatów, zobacz Certyfikaty usługi Azure Key Vault.

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Dodawanie certyfikatów w usłudze Key Vault wystawionych przez partnerów urzędów certyfikacji

Usługa Key Vault współpracuje z następującymi urzędami certyfikacji, aby uprościć tworzenie certyfikatów.

Dostawca	Typ certyfikatu	Konfiguracja
DigiCert	Usługa Key Vault oferuje certyfikaty OV lub EV SSL z firmą DigiCert	Przewodnik integracji
GlobalSign	Usługa Key Vault oferuje certyfikaty OV lub EV SSL z globalsign	Przewodnik integracji

Dodawanie certyfikatów w usłudze Key Vault wystawionych przez urzędy certyfikacji bez partnerów

Wykonaj następujące kroki, aby dodać certyfikat z urzędów certyfikacji, które nie są partnerskie z usługą Key Vault. (Na przykład usługa GoDaddy nie jest zaufanym urzędem certyfikacji usługi Key Vault).

Portal

1. Przejdź do magazynu kluczy, do którego chcesz dodać certyfikat.

2. Na stronie właściwości wybierz pozycję Certyfikaty.

3. Wybierz kartę Generuj /Importuj .

4. Na ekranie Tworzenie certyfikatu wybierz następujące wartości:

   • Metoda tworzenia certyfikatu: Generuj.
   • Nazwa certyfikatu: ContosoManualCSRCertificate.
   • Typ urzędu certyfikacji: certyfikat wystawiony przez niezintegrowany urząd certyfikacji.
   • Temat: "CN=www.contosoHRApp.com".

   Uwaga

   Jeśli używasz względnej nazwy wyróżniającej (RDN), która ma przecinek (,) w wartości, zawijaj wartość zawierającą znak specjalny w podwójnych cudzysłowach.

   Przykładowy wpis tematu:DC=Contoso,OU="Docs,Contoso",CN=www.contosoHRApp.com

   W tym przykładzie nazwa RDN OU zawiera wartość z przecinkiem w nazwie. Wynikowe dane wyjściowe dla usługi OU to Docs, Contoso.

5. Wybierz inne wartości zgodnie z potrzebami, a następnie wybierz pozycję Utwórz , aby dodać certyfikat do listy Certyfikaty .

   

6. Na liście Certyfikaty wybierz nowy certyfikat. Bieżący stan certyfikatu jest wyłączony , ponieważ nie został jeszcze wystawiony przez urząd certyfikacji.

7. Na karcie Operacja certyfikatu wybierz pozycję Pobierz CSR.

   

8. Mieć urząd certyfikacji podpisać CSR (.csr).

9. Po podpisaniu żądania wybierz pozycję Scal podpisane żądanie na karcie Operacja certyfikatu, aby dodać podpisany certyfikat do usługi Key Vault.

Żądanie certyfikatu zostało pomyślnie scalone.

Program PowerShell

1. Utwórz zasady certyfikatu. Ponieważ urząd certyfikacji wybrany w tym scenariuszu nie jest partnerem, wartość IssuerName jest ustawiona na Nieznany , a usługa Key Vault nie rejestruje ani nie odnawia certyfikatu.

   $policy = New-AzKeyVaultCertificatePolicy -SubjectName "CN=www.contosoHRApp.com" -ValidityInMonths 1  -IssuerName Unknown
   

   Uwaga

   Jeśli używasz względnej nazwy wyróżniającej (RDN), która ma przecinek (,) w wartości, użyj cudzysłowów dla pełnej wartości lub zestawu wartości i zawijaj wartość zawierającą znak specjalny w cudzysłowach podwójnych.

   Przykładowy wpis subjectName: $policy = New-AzKeyVaultCertificatePolicy -SubjectName 'OU="Docs,Contoso",DC=Contoso,CN=www.contosoHRApp.com' -ValidityInMonths 1 -IssuerName Unknown. W tym przykładzie OU wartość jest odczytywana jako Docs, Contoso. Ten format działa dla wszystkich wartości zawierających przecinek.

   W tym przykładzie nazwa RDN OU zawiera wartość z przecinkiem w nazwie. Wynikowe dane wyjściowe dla usługi OU to Docs, Contoso.

2. Utwórz csr.

   $csr = Add-AzKeyVaultCertificate -VaultName ContosoKV -Name ContosoManualCSRCertificate -CertificatePolicy $policy
   $csr.CertificateSigningRequest
   

3. Mieć urząd certyfikacji podpisać CSR. Jest $csr.CertificateSigningRequest to kodowany podstawowy kodowany csr dla certyfikatu. Ten obiekt blob można zrzucić do witryny internetowej żądania certyfikatu wystawcy. Ten krok różni się od urzędu certyfikacji do urzędu certyfikacji. Zapoznaj się z wytycznymi urzędu certyfikacji dotyczącymi wykonywania tego kroku. Możesz również użyć narzędzi, takich jak certreq lub openssl, aby uzyskać podpis CSR i ukończyć proces generowania certyfikatu.

4. Scal podpisane żądanie w usłudze Key Vault. Po podpisaniu żądania certyfikatu można scalić je z początkową parą kluczy prywatnych/publicznych utworzonych w usłudze Azure Key Vault.

   Import-AzKeyVaultCertificate -VaultName ContosoKV -Name ContosoManualCSRCertificate -FilePath C:\test\OutputCertificateFile.cer
   

Żądanie certyfikatu zostało pomyślnie scalone.

Dodaj więcej informacji do csr

Jeśli chcesz dodać więcej informacji podczas tworzenia żądania CSR, zdefiniuj je w polu SubjectName. Możesz dodać informacje, takie jak:

• Kraj/region
• Miasto/miejscowość
• Województwo
• Organizacja
• Jednostka organizacyjna

Przykład

SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US"

Uwaga

Jeśli żądasz certyfikatu weryfikacji domeny (DV) z dodatkowymi informacjami, urząd certyfikacji może odrzucić żądanie, jeśli nie może zweryfikować wszystkich informacji w żądaniu. Dodatkowe informacje mogą być bardziej odpowiednie, jeśli żądasz certyfikatu weryfikacji organizacji (OV).

Często zadawane pytania

• Jak mogę monitorować moją csr lub zarządzać nią?

  Zobacz Monitorowanie tworzenia certyfikatów i zarządzanie nim.

• Co zrobić, jeśli widzę typ błędu "Klucz publiczny certyfikatu jednostki końcowej w określonej zawartości certyfikatu X.509 nie jest zgodny z publiczną częścią określonego klucza prywatnego. Sprawdź, czy certyfikat jest prawidłowy?

  Ten błąd występuje, jeśli nie scalasz podpisanego żądania CSR z tym samym zainicjowanym żądaniem CSR. Każdy nowy utworzony żądanie CSR ma klucz prywatny, który musi być zgodny podczas scalania podpisanego żądania.

• Czy po scaleniu csr scali cały łańcuch?

  Tak, scali cały łańcuch, pod warunkiem, że użytkownik przywróci plik p7b do scalenia.

• Co zrobić, jeśli wystawiony certyfikat jest w stanie wyłączonym w witrynie Azure Portal?

  Wyświetl kartę Operacja certyfikatu, aby przejrzeć komunikat o błędzie dla tego certyfikatu.

• Co zrobić, jeśli jest wyświetlany typ błędu "Podana nazwa podmiotu nie jest prawidłową nazwą X500"?

  Ten błąd może wystąpić, jeśli element SubjectName zawiera jakiekolwiek znaki specjalne. Zapoznaj się z uwagami w witrynie Azure Portal i instrukcjach programu PowerShell.

• Typ błędu CSR użyty do pobrania certyfikatu został już użyty. Spróbuj wygenerować nowy certyfikat przy użyciu nowego csr. Przejdź do sekcji "Zasady zaawansowane" certyfikatu i sprawdź, czy opcja "ponowne użycie klucza przy odnawianiu" jest wyłączona.

---

Następne kroki

• Uwierzytelnianie, żądania i odpowiedzi
• Przewodnik dewelopera usługi Key Vault
• Dokumentacja interfejsu API REST usługi Azure Key Vault
• Magazyny — tworzenie lub aktualizowanie
• Magazyny — aktualizowanie zasad dostępu