Integrowanie Key Vault ze zintegrowanymi urzędami certyfikacji

Usługa Azure Key Vault pozwala łatwo aprowizować i wdrażać certyfikaty cyfrowe dla sieci oraz zarządzać nimi oraz umożliwiać bezpieczną komunikację dla aplikacji. Certyfikat cyfrowy to poświadczenia elektroniczne, które ustanawiają dowód tożsamości w transakcji elektronicznej.

Usługa Azure Key Vault ma zaufane partnerstwo z następującymi urzędami certyfikacji:

• DigiCert
• GlobalSign

Użytkownicy usługi Azure Key Vault mogą generować certyfikaty DigiCert/GlobalSign bezpośrednio z magazynów kluczy. partnerstwo Key Vault zapewnia kompleksowe zarządzanie cyklem życia certyfikatów dla certyfikatów wystawionych przez firmę DigiCert.

Aby uzyskać więcej ogólnych informacji na temat certyfikatów, zobacz Certyfikaty usługi Azure Key Vault.

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto .

Wymagania wstępne

Aby wykonać procedury opisane w tym artykule, musisz mieć następujące elementy:

• Magazyn kluczy. Możesz użyć istniejącego magazynu kluczy lub utworzyć go, wykonując kroki opisane w jednym z następujących przewodników Szybki start:
  • Tworzenie magazynu kluczy przy użyciu interfejsu wiersza polecenia platformy Azure
  • Tworzenie magazynu kluczy przy użyciu Azure PowerShell
  • Tworzenie magazynu kluczy przy użyciu Azure Portal
• Aktywowane konto digiCert CertCentral. Utwórz konto CertCentral.
• Uprawnienia na poziomie administratora na kontach.

Zanim rozpoczniesz

DigiCert

Upewnij się, że masz następujące informacje z konta firmy DigiCert CertCentral:

• Identyfikator konta CertCentral
• Identyfikator organizacji
• Klucz interfejsu API
• Identyfikator konta
• Hasło konta

GlobalSign

Upewnij się, że masz następujące informacje z konta logowania globalnego:

• Identyfikator konta
• Hasło konta
• Imię administratora
• Nazwisko administratora
• Adres e-mail administratora
• Numer telefonu administratora

Dodawanie urzędu certyfikacji w usłudze Key Vault

Po zebraniu powyższych informacji z konta firmy DigiCert CertCentral możesz dodać aplikację DigiCert do listy urzędów certyfikacji w magazynie kluczy.

Azure Portal (DigiCert)

1. Aby dodać urząd certyfikacji DigiCert, przejdź do magazynu kluczy, do którego chcesz go dodać.

2. Na stronie właściwości Key Vault wybierz pozycję Certyfikaty.

3. Wybierz kartę Urzędy certyfikacji :

4. Wybierz pozycję Dodaj:

5. W obszarze Tworzenie urzędu certyfikacji wprowadź następujące wartości:

   • Nazwa: rozpoznawalna nazwa wystawcy. Na przykład DigiCertCA.
   • Dostawca: DigiCert.
   • Identyfikator konta: Identyfikator konta firmy DigiCertCentral.
   • Hasło konta: klucz interfejsu API wygenerowany na koncie firmy DigiCertCentral.
   • Identyfikator organizacji: identyfikator organizacji z konta firmy DigiCert CertCentral.

6. Wybierz przycisk Utwórz.

Firma DigicertCA znajduje się teraz na liście urzędów certyfikacji.

Azure Portal (GlobalSign)

1. Aby dodać urząd certyfikacji GlobalSign, przejdź do magazynu kluczy, do którego chcesz go dodać.

2. Na stronie właściwości Key Vault wybierz pozycję Certyfikaty.

3. Wybierz kartę Urzędy certyfikacji :

4. Wybierz pozycję Dodaj:

5. W obszarze Tworzenie urzędu certyfikacji wprowadź następujące wartości:

   • Nazwa: rozpoznawalna nazwa wystawcy. Na przykład GlobalSignCA.
   • Dostawca: GlobalSign.
   • Identyfikator konta: Identyfikator konta GlobalSign.
   • Hasło do konta: Hasło konta GlobalSign.
   • Imię administratora: imię administratora konta logowania globalnego.
   • Nazwisko administratora: nazwisko administratora konta logowania globalnego.
   • Adres e-mail administratora: adres e-mail administratora konta logowania globalnego.
   • Numer telefonu administratora: numer telefonu administratora konta logowania globalnego.

6. Wybierz przycisk Utwórz.

Aplikacja GlobalSignCA znajduje się teraz na liście urzędów certyfikacji.

Azure PowerShell

Za pomocą Azure PowerShell można tworzyć zasoby platformy Azure i zarządzać nimi przy użyciu poleceń lub skryptów. Platforma Azure hostuje usługę Azure Cloud Shell — interaktywne środowisko powłoki, którego można użyć za pośrednictwem Azure Portal w przeglądarce.

Jeśli zdecydujesz się zainstalować program PowerShell i używać go lokalnie, potrzebujesz modułu Azure AZ programu PowerShell 1.0.0 lub nowszego, aby wykonać procedury opisane tutaj. Wpisz , $PSVersionTable.PSVersion aby określić wersję. Jeśli musisz przeprowadzić uaktualnienie, zobacz Instalowanie modułu Azure AZ programu PowerShell. Jeśli używasz programu PowerShell lokalnie, musisz również uruchomić polecenie Connect-AzAccount , aby utworzyć połączenie z platformą Azure:

Connect-AzAccount

1. Utwórz grupę zasobów platformy Azure przy użyciu polecenia New-AzResourceGroup. Grupa zasobów to logiczny kontener przeznaczony do wdrażania zasobów platformy Azure i zarządzania nimi.

   New-AzResourceGroup -Name ContosoResourceGroup -Location EastUS
   

2. Utwórz magazyn kluczy o unikatowej nazwie. Contoso-Vaultname Oto nazwa magazynu kluczy.

   • Nazwa magazynu: Contoso-Vaultname
   • Nazwa grupy zasobów: ContosoResourceGroup
   • Lokalizacja: EastUS

   New-AzKeyVault -Name 'Contoso-Vaultname' -ResourceGroupName 'ContosoResourceGroup' -Location 'EastUS'
   

3. Zdefiniuj zmienne dla następujących wartości z konta firmy DigiCert CertCentral:

   • Identyfikator konta
   • Identyfikator organizacji
   • Klucz interfejsu API

   $accountId = "myDigiCertCertCentralAccountID"
   $org = New-AzKeyVaultCertificateOrganizationDetail -Id OrganizationIDfromDigiCertAccount
   $secureApiKey = ConvertTo-SecureString DigiCertCertCentralAPIKey -AsPlainText –Force
   

4. Ustaw wystawcę. Spowoduje to dodanie firmy Digicert jako urzędu certyfikacji w magazynie kluczy. Dowiedz się więcej o parametrach.

   Set-AzKeyVaultCertificateIssuer -VaultName "Contoso-Vaultname" -Name "TestIssuer01" -IssuerProvider DigiCert -AccountId $accountId -ApiKey $secureApiKey -OrganizationDetails $org -PassThru
   

5. Ustaw zasady dla certyfikatu i certyfikatu wystawiającego z firmy DigiCert bezpośrednio w Key Vault:

   $Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "TestIssuer01" -ValidityInMonths 12 -RenewAtNumberOfDaysBeforeExpiry 60
   Add-AzKeyVaultCertificate -VaultName "Contoso-Vaultname" -Name "ExampleCertificate" -CertificatePolicy $Policy
   

Certyfikat jest teraz wystawiony przez urząd certyfikacji DigiCert w określonym magazynie kluczy.

Rozwiązywanie problemów

Jeśli wystawiony certyfikat jest w stanie wyłączonym w Azure Portal, wyświetl operację certyfikatu, aby przejrzeć komunikat o błędzie firmy DigiCert dla certyfikatu:

Komunikat o błędzie: "Wykonaj scalanie, aby ukończyć to żądanie certyfikatu".

Scal żądanie CSR podpisane przez urząd certyfikacji, aby ukończyć żądanie. Aby uzyskać informacje na temat scalania csr, zobacz Tworzenie i scalanie csr.

Aby uzyskać więcej informacji, zobacz Operacje certyfikatów w dokumentacji interfejsu API REST Key Vault. Aby uzyskać informacje na temat ustanawiania uprawnień, zobacz Magazyny — tworzenie lub aktualizowanie i magazyny — aktualizowanie zasad dostępu.

Następne kroki

• Często zadawane pytania: Integrowanie Key Vault ze zintegrowanymi urzędami certyfikacji
• Uwierzytelnianie, żądania i odpowiedzi
• Przewodnik dewelopera usługi Key Vault