Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Essa diretriz ajuda você a começar a usar o gerenciamento de certificados no Key Vault.
Lista de cenários abordados aqui:
- Criando seu primeiro certificado do Key Vault
- Criando um certificado com uma autoridade de certificação que é parceira do Key Vault
- Criando um certificado com uma autoridade de certificação que não é parceira do Key Vault
- Importar um certificado
Certificados são objetos complexos
Os certificados são compostos por três recursos interrelacionados vinculados como um certificado do Key Vault; metadados de certificado, uma chave e um segredo.
Criando seu primeiro certificado do Key Vault
Antes que um certificado possa ser criado em um KV (Key Vault), as etapas de pré-requisito 1 e 2 devem ser realizadas com êxito e um cofre de chaves deve existir para esse usuário/organização.
Etapa 1: Provedores de Autoridade de Certificação (AC)
- O embarque como administrador de TI, administrador de PKI ou qualquer pessoa que gerencie contas com CAs, para uma determinada empresa (por exemplo, Contoso) é um pré-requisito para usar certificados do Key Vault.
Os CAs a seguir são os provedores parceiros atuais com o Key Vault. Para obter mais informações, consulte Provedores de AC parceiros.- DigiCert – Key Vault oferece certificados OV TLS/SSL com DigiCert.
- GlobalSign – Key Vault oferece certificados OV TLS/SSL com GlobalSign.
Etapa 2: Um administrador de conta de um provedor de AC cria credenciais a serem usadas pelo Key Vault para registrar, renovar e usar certificados TLS/SSL por meio do Key Vault.
Etapa 3a: Um administrador da Contoso, juntamente com um funcionário da Contoso (usuário do Key Vault) que possui certificados, dependendo da AC, pode obter um certificado do administrador ou diretamente da conta com a AC.
- Inicie uma operação de adição de credencial a um cofre de chaves definindo um recurso de emissor de certificado . Um emissor do certificado é uma entidade representada no Azure Key Vault (KV) como um recurso CertificateIssuer. Ele é usado para fornecer informações sobre a origem de um certificado KV; nome do emissor, provedor, credenciais e outros detalhes administrativos.
Por exemplo, MyDigiCertIssuer
- Fornecedor
- Credenciais - Credenciais da conta da autoridade de certificação. Cada AC tem seus próprios dados específicos.
Para obter mais informações sobre como criar contas com provedores de AC, consulte a postagem relacionada no blog do Key Vault.
Etapa 3b: configurar contatos do certificado para as notificações. Este é o contato para o usuário do Key Vault. O Key Vault não impõe essa etapa.
Observação – esse processo, por meio da Etapa 3b, é uma operação única.
Criar um certificado com uma autoridade de certificação parceira do Key Vault
Etapa 4: As descrições a seguir correspondem às etapas numeradas em verde no diagrama anterior.
(1) – No diagrama acima, seu aplicativo está criando um certificado que começa internamente criando uma chave no cofre de chaves.
(2) – O Key Vault envia uma solicitação de certificado TLS/SSL para a AC.
(3) - Seu aplicativo faz a apuração em um processo de loop e espera,para seu Key Vault concluir o certificado. A criação do certificado é concluída quando o Key Vault recebe a resposta da autoridade de certificação com o certificado x509.
(4) – A AC responde à solicitação de certificado TLS/SSL do Key Vault com um certificado TLS/SSL X509.
(5) - A criação do novo certificado é concluída com a fusão do Certificado X509 na autoridade de certificação.
Usuário do Key Vault – cria um certificado especificando uma política
Repetir conforme necessário
Restrições de política
- Propriedades X509
- Principais propriedades
- Referência do provedor -> por exemplo, MyDigiCertIssuer
- Informações de renovação -> por exemplo, 90 dias antes da expiração
Um processo de criação de certificado geralmente é um processo assíncrono e envolve consultar seu cofre de chaves para verificar o estado da operação de criação de certificado.
Operação de obtenção de certificado- Status: concluído, falhou com informações de erro ou cancelado
- Devido ao atraso para criar, uma operação de cancelamento pode ser iniciada. O cancelamento pode ou não ser eficaz.
Políticas de segurança e acesso de rede associadas à AC integrada
O serviço Key Vault envia solicitações à autoridade de certificação (tráfego de saída). Portanto, ele é totalmente compatível com os cofres de chaves habilitados para firewall. O Key Vault não compartilha políticas de acesso com a autoridade de certificação. A AC deve ser configurada para aceitar solicitações de assinatura de forma independente. Guia de integração da AC confiável
Importar um certificado
Como alternativa, um certificado pode ser importado para o Key Vault – PFX ou PEM.
Importar certificado – exige que um PEM ou PFX esteja em disco e tenha uma chave privada.
Você deve especificar: nome do cofre e nome do certificado (a política é opcional)
Os arquivos PEM/PFX contêm atributos que KV pode analisar e usar para preencher a política de certificado. Se uma política de certificação já tiver sido especificada, o Key Vault tentará fazer a correspondência dos dados do arquivo PFX/PEM.
Depois que a importação for final, as operações subsequentes usarão a nova política (novas versões).
Se não houver mais operações, a primeira coisa que o Key Vault faz é enviar um aviso de expiração.
Além disso, o usuário pode editar a política, que é funcional no momento da importação, mas contém padrões em que nenhuma informação foi especificada na importação. Por exemplo, nenhuma informação do emissor
Formatos de importação que oferecemos suporte
O Azure Key Vault dá suporte a arquivos de certificado .pem e .pfx para importar certificados para o cofre de chaves. Damos suporte ao seguinte tipo de importação para formato de arquivo PEM. Um único certificado codificado em PEM junto com uma chave codificada PKCS#8 codificada e não criptografada que tem o seguinte formato:
-----INICIAR CERTIFICADO-----
-----FIM DO CERTIFICADO-----
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
Ao importar o certificado, você precisa garantir que a chave esteja incluída no próprio arquivo. Se você tiver a chave privada separadamente em um formato diferente, precisará combinar a chave com o certificado. Algumas autoridades de certificação fornecem certificados em formatos diferentes, portanto, antes de importar o certificado, verifique se eles estão no formato .pem ou .pfx.
Observação
Verifique se nenhum outro metadados está presente no arquivo de certificado e se a chave privada não está sendo exibida como criptografada.
Formatos de Mesclar CSR com suporte
O Azure Key Vault dá suporte ao certificado codificado PKCS#8 com cabeçalhos abaixo:
-----INICIAR CERTIFICADO-----
-----FIM DO CERTIFICADO-----
Observação
A cadeia de certificados assinados P7B (PKCS#7), comumente usada por autoridades de certificação (CAs), tem suporte desde que seja codificada em base64. Você pode usar certutil -encode para converter em formato com suporte.
Criando um certificado com uma Autoridade Certificadora não associada ao Key Vault
Esse método permite trabalhar com outros CAs além dos provedores parceiros do Key Vault, o que significa que sua organização pode trabalhar com uma AC de sua escolha.
As descrições da etapa a seguir correspondem às etapas com letras verdes no diagrama anterior.
(1) – No diagrama acima, seu aplicativo está criando um certificado, que começa internamente criando uma chave no cofre de chaves.
(2) – O Key Vault retorna ao seu aplicativo uma CSR (Solicitação de Assinatura de Certificado).
(3) – Seu aplicativo passa a CSR para a AC escolhida.
(4) – A Autoridade Certificadora escolhida responde com o Certificado X509.
(5) – Seu aplicativo conclui a criação de um novo certificado com uma integração do Certificado X509 da sua Autoridade Certificadora.