Rozpoczynanie pracy z certyfikatami usługi Key Vault

W poniższych scenariuszach przedstawiono kilka podstawowych użycia usługi zarządzania certyfikatami Key Vault, w tym dodatkowe kroki wymagane do utworzenia pierwszego certyfikatu w magazynie kluczy.

Opisano następujące kwestie:

  • Tworzenie pierwszego certyfikatu Key Vault
  • Tworzenie certyfikatu z urzędem certyfikacji, który jest partnerem Key Vault
  • Tworzenie certyfikatu z urzędem certyfikacji, który nie jest partnerem Key Vault
  • Importowanie certyfikatu

Certyfikaty są obiektami złożonymi

Certyfikaty składają się z trzech powiązanych zasobów połączonych razem jako certyfikatu Key Vault, metadanych certyfikatu, klucza i wpisu tajnego.

Certyfikaty są złożone

Tworzenie pierwszego certyfikatu Key Vault

Przed utworzeniem certyfikatu w Key Vault (KV) należy pomyślnie wykonać kroki wymagań wstępnych 1 i 2, a magazyn kluczy musi istnieć dla tego użytkownika/organizacji.

Krok 1: Dostawcy urzędu certyfikacji

  • Dołączanie jako Administracja IT, Administracja PKI lub każda osoba zarządzająca kontami w urzędach certyfikacji, dla danej firmy (np. Contoso) jest wymaganiem wstępnym do korzystania z certyfikatów Key Vault.
    Następujące urzędy certyfikacji to obecni dostawcy partnerów z Key Vault. Więcej informacji można znaleźć tutaj
    • DigiCert — Key Vault oferuje certyfikaty TLS/SSL OV z firmą DigiCert.
    • GlobalSign — Key Vault oferuje certyfikaty TLS/SSL OV z globalsign.

Krok 2: Administrator konta dostawcy urzędu certyfikacji tworzy poświadczenia używane przez Key Vault do rejestrowania, odnawiania i używania certyfikatów TLS/SSL za pośrednictwem Key Vault.

Krok 3a: Administrator firmy Contoso wraz z pracownikiem firmy Contoso (Key Vault użytkownikiem), który jest właścicielem certyfikatów, w zależności od urzędu certyfikacji, może uzyskać certyfikat od administratora lub bezpośrednio z konta z urzędem certyfikacji.

  • Rozpocznij operację dodawania poświadczeń do magazynu kluczy, ustawiając zasób wystawcy certyfikatu . Wystawca certyfikatu to jednostka reprezentowana w usłudze Azure Key Vault (KV) jako zasób CertificateIssuer. Służy do przekazywania informacji o źródle certyfikatu KV; nazwa wystawcy, dostawca, poświadczenia i inne szczegóły administracyjne.
    • Np. MyDigiCertIssuer

      • Dostawca
      • Poświadczenia — poświadczenia konta urzędu certyfikacji. Każdy urząd certyfikacji ma własne określone dane.

      Aby uzyskać więcej informacji na temat tworzenia kont z dostawcami urzędu certyfikacji, zobacz powiązany wpis na blogu Key Vault.

Krok 3b: Skonfiguruj kontakty certyfikatów dla powiadomień. Jest to kontakt dla użytkownika Key Vault. Key Vault nie wymusza tego kroku.

Uwaga — ten proces, w kroku 3b, jest jednorazową operacją.

Tworzenie certyfikatu z urzędem certyfikacji partnerem Key Vault

Tworzenie certyfikatu z Key Vault partnerskim urzędem certyfikacji

Krok 4: Poniższe opisy odpowiadają zielonym numerom kroków na powyższym diagramie.
(1) — Na powyższym diagramie aplikacja tworzy certyfikat, który wewnętrznie rozpoczyna się od utworzenia klucza w magazynie kluczy.
(2) — Key Vault wysyła żądanie certyfikatu TLS/SSL do urzędu certyfikacji.
(3) — Aplikacja sonduje w pętli i procesie oczekiwania, aby Key Vault ukończenia certyfikatu. Tworzenie certyfikatu kończy się, gdy usługa Key Vault otrzyma odpowiedź od urzędu certyfikacji z certyfikatem X.509.
(4) — urząd certyfikacji odpowiada na żądanie certyfikatu TLS/SSL Key Vault za pomocą certyfikatu TLS/SSL X509.
(5) — Tworzenie nowego certyfikatu kończy się połączeniem certyfikatu X509 urzędu certyfikacji.

Key Vault użytkownik — tworzy certyfikat, określając zasady

  • Powtórz zgodnie z potrzebami

  • Ograniczenia zasad

    • Właściwości X509
    • Kluczowe właściwości
    • Dokumentacja dostawcy — > np. MyDigiCertIssure
    • Informacje o odnowieniu — > np. 90 dni przed wygaśnięciem
  • Proces tworzenia certyfikatu jest zwykle procesem asynchronicznym i obejmuje sondowanie magazynu kluczy pod kątem stanu operacji tworzenia certyfikatu.
    Pobieranie operacji certyfikatu

    • Stan: ukończono, nie powiodło się z informacjami o błędzie lub anulowano
    • Ze względu na opóźnienie tworzenia można zainicjować operację anulowania. Anulowanie może lub nie może być skuteczne.

Zasady zabezpieczeń sieci i dostępu skojarzone ze zintegrowanym urzędem certyfikacji

usługa Key Vault wysyła żądania do urzędu certyfikacji (ruch wychodzący). W związku z tym jest ona w pełni zgodna z magazynami kluczy z włączoną zaporą. Key Vault nie udostępnia zasad dostępu do urzędu certyfikacji. Urząd certyfikacji musi być skonfigurowany do samodzielnego akceptowania żądań podpisywania. Przewodnik dotyczący integrowania zaufanego urzędu certyfikacji

Importowanie certyfikatu

Alternatywnie — certyfikat można zaimportować do Key Vault — PFX lub PEM.

Importowanie certyfikatu — wymaga, aby PEM lub PFX był na dysku i ma klucz prywatny.

  • Należy określić: nazwa magazynu i nazwa certyfikatu (zasady są opcjonalne)

  • Pliki PEM / PFX zawierają atrybuty, które KV mogą analizować i używać do wypełniania zasad certyfikatu. Jeśli określono już zasady certyfikatu, klucz KV spróbuje dopasować dane z pliku PFX /PEM.

  • Po zakończeniu importowania kolejne operacje będą używać nowych zasad (nowych wersji).

  • Jeśli nie ma żadnych dalszych operacji, pierwszą rzeczą Key Vault jest wysłanie powiadomienia o wygaśnięciu.

  • Ponadto użytkownik może edytować zasady, które działają w momencie importowania, ale zawiera wartości domyślne, w których nie określono żadnych informacji podczas importowania. Np. brak informacji o wystawcy

Obsługiwane formaty importu

Usługa Azure Key Vault obsługuje pliki certyfikatów pem i pfx do importowania certyfikatów do magazynu kluczy. Obsługujemy następujący typ importu dla formatu pliku PEM. Pojedynczy certyfikat zakodowany za pomocą protokołu PEM wraz z zakodowanym kluczem PKCS#8 o następującym formacie:

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

-----BEGIN PRIVATE KEY-----

-----END PRIVATE KEY-----

Podczas importowania certyfikatu należy upewnić się, że klucz jest uwzględniony w samym pliku. Jeśli klucz prywatny jest oddzielnie w innym formacie, należy połączyć klucz z certyfikatem. Niektóre urzędy certyfikacji udostępniają certyfikaty w różnych formatach, dlatego przed zaimportowaniem certyfikatu upewnij się, że są one w formacie pem lub pfx.

Uwaga

Upewnij się, że żadne inne metadane nie są obecne w pliku certyfikatu i że klucz prywatny nie jest wyświetlany jako zaszyfrowany.

Obsługiwane formaty scalania CSR

Aplikacja AKV obsługuje 2 formaty oparte na PEM. Można scalić pojedynczy certyfikat zakodowany za pomocą protokołu PKCS#8 lub zakodowany w formacie base64 P7B (łańcuch certyfikatów podpisanych przez urząd certyfikacji). Jeśli musisz ukryć format P7B do obsługiwanego, możesz użyć narzędzia certutil -encode

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

Tworzenie certyfikatu z urzędem certyfikacji, który nie jest partnerem Key Vault

Ta metoda umożliwia pracę z innymi urzędami certyfikacji niż dostawcy partnerów Key Vault, co oznacza, że organizacja może pracować z wybranym urzędem certyfikacji.

Tworzenie certyfikatu z własnym urzędem certyfikacji

Poniższe opisy kroków odpowiadają zielonym literom kroków na powyższym diagramie.

(1) — Na powyższym diagramie aplikacja tworzy certyfikat, który wewnętrznie rozpoczyna się od utworzenia klucza w magazynie kluczy.

(2) — Key Vault powraca do aplikacji żądanie podpisania certyfikatu (CSR).

(3) — Aplikacja przekazuje csr do wybranego urzędu certyfikacji.

(4) — Wybrany urząd certyfikacji odpowiada za pomocą certyfikatu X509.

(5) — Aplikacja kończy tworzenie nowego certyfikatu z połączeniem certyfikatu X509 z urzędu certyfikacji.