Introdução aos certificados com Key Vault

Estas diretrizes ajudarão você a começar a usar o gerenciamento de certificados no Key Vault.

Lista de cenários abordados aqui:

  • Criar seu primeiro certificado do Key Vault
  • Criar um certificado com uma autoridade de certificação parceira do Key Vault
  • Criar um certificado com uma autoridade de certificação que não é parceira do Key Vault
  • Importar um certificado

Os certificados são objetos complexos

Certificados são compostos de três recursos inter-relacionados vinculados como um certificado do Key Vault; metadados do certificado, uma chave e um segredo.

Certificados são complexos

Criar seu primeiro certificado do Key Vault

Antes que um certificado possa ser criado em Key Vault (KV), as etapas 1 e 2 de pré-requisitos devem ser concluídas com êxito e um Key Vault deve existir para esse usuário / organização.

Etapa 1: provedores de Autoridade de Certificação (CA)

  • A integração como administrador de TI, administrador de PKI ou qualquer pessoa que gerencie contas com ACs para determinada empresa (por exemplo, a Contoso) é um pré-requisito para usar certificados do Key Vault.
    As autoridades de certificação a seguir são os provedores parceiros atuais do Key Vault. Saiba mais aqui
    • DigiCert – o Key Vault oferece certificados TLS/SSL OV com a DigiCert.
    • GlobalSign – o Key Vault oferece certificados TLS/SSL OV com a GlobalSign.

Etapa 2: um administrador de conta para um provedor de CA cria as credenciais a serem usadas pelo Key Vault para registrar, renovar e usar certificados TLS/SSL por meio do Key Vault.

Etapa 3: um administrador da Contoso, junto com um funcionário da Contoso (usuário do Key Vault) que possui certificados, dependendo da autoridade de certificação, pode obter um certificado com o administrador ou diretamente a partir da conta com a autoridade de certificação.

  • Inicie uma operação de inclusão de credenciais em um cofre de chaves, definindo um recurso de emissor de certificado. Um emissor do certificado é uma entidade representada no Azure Key Vault (KV) como um recurso CertificateIssuer. Ele é usado para fornecer informações sobre a origem de um certificado KV; nome do emissor, provedor, credenciais e outros detalhes administrativos.
    • Ex.: MyDigiCertIssuer

      • Provedor
      • Credenciais – Credenciais da conta da autoridade de certificação. Cada autoridade de certificação tem seus próprios dados específicos.

      Para obter mais informações sobre como criar contas com provedores de autoridade de certificação, consulte a postagem relacionada no blog do Key Vault.

Etapa 3b: configurar contatos do certificado para notificações. Este é o contato para o usuário do Key Vault. O Key Vault não impõe essa etapa.

Observação - Esse processo, por meio da Etapa 3b, é uma operação única.

Criar um certificado com uma autoridade de certificação parceira do Key Vault

Criar um certificado com uma autoridade de certificação de uma parceria do Key Vault

Etapa 4: as descrições a seguir correspondem às etapas numeradas em verde no diagrama anterior.
(1) - No diagrama acima, o aplicativo está criando um certificado que internamente começa com a criação de uma chave em seu cofre de chaves.
(2) – O Key Vault envia uma Solicitação de Certificado TLS/SSL para a autoridade de certificação.
(3) - Seu aplicativo faz a apuração, em um processo de loop e espera, para seu Key Vault para a conclusão do certificado. A criação do certificado é concluída quando o Key Vault recebe a resposta da autoridade de certificação com o certificado x509.
(4) – A autoridade de certificação responde à Solicitação de Certificado TLS/SSL do Key Vault com um Certificado TLS/SSL X509.
(5) - A criação do novo certificado é concluído com a fusão do Certificado X509 para a autoridade de certificação.

Usuário do Key Vault – cria um certificado com a especificação de uma política

  • Repita conforme necessário

  • Restrições de política

    • Propriedades X509
    • Propriedades da chave
    • Referência do provedor - > por exemplo, MyDigiCertIssure
    • Informações de renovação - > por exemplo, 90 dias antes do vencimento
  • Um processo de criação de certificado é geralmente um processo assíncrono e envolve a sondagem do seu Key Vault para saber o estado da operação de criação de certificado.
    Operação de obtenção de certificado

    • Status: concluída, falha com informações de erro ou, cancelada
    • Devido ao atraso da criação, uma operação de cancelamento pode começar. O cancelamento pode ou não ser eficaz.

Segurança de rede e políticas de acesso associadas à autoridade de certificação integrada

O serviço Key Vault envia solicitações à autoridade de certificação (tráfego de saída). Portanto, ele é totalmente compatível com os cofres de chaves habilitados para firewall. O Key Vault não compartilha políticas de acesso com a autoridade de certificação. A autoridade de certificação deve ser configurada para aceitar solicitações de assinatura de maneira independente. Guia de integração da autoridade de certificação confiável

Importar um certificado

Como alternativa – um certificado pode ser importado para o Key Vault – PFX ou PEM.

Importar o certificado – requer um PEM ou PFX no disco e possui uma chave privada.

  • Você deve especificar: o nome do Key Vault e o nome do certificado (política é opcional)

  • Os arquivos PEM / PFX contém atributos que o Key Vault pode analisar e usar para popular a política de certificação. Se uma política de certificação já tiver sido especificada, o Key Vault tentará fazer a correspondência de dados do arquivo PFX / PEM.

  • Depois que a importação for concluída, as operações posteriores usarão a nova política (novas versões).

  • Se não houver nenhuma outra operação, a primeira coisa que o Key Vault é enviar uma notificação de expiração.

  • Além disso, o usuário pode editar a política, que está funcionando no momento da importação, mas contém padrões onde nenhuma informação foi especificada durante a importação. Por exemplo, nenhuma informação do emissor

Formatos de importação para os quais damos suporte

O Azure Key Vault dá suporte a arquivos de certificado .pem e .pfx para importar certificados para o Key Vault. Damos suporte ao tipo de importação para o formato de arquivo PEM a seguir. Um único certificado PEM codificado com uma chave PKCS#8 codificada e não criptografada com o seguinte formato:

-----INICIAR CERTIFICADO-----

-----CONCLUIR CERTIFICADO-----

-----BEGIN PRIVATE KEY-----

-----END PRIVATE KEY-----

Ao importar um certificado, você precisa se certificar de que a chave esteja incluída no próprio arquivo. Se você tiver a chave privada armazenada separadamente em um formato diferente, será necessário combinar a chave com o certificado. Algumas autoridades de certificação fornecem certificados em formatos diferentes, portanto, antes de importar o certificado, verifique se eles estão no formato .pem ou .pfx.

Observação

Verifique se nenhum outro metadado está presente no arquivo de certificado e se a chave privada não está sendo exibida como criptografada.

Formatos de Mesclar CSR com suporte

O Azure Key Vault dá suporte ao certificado codificado PKCS nº 8 com os cabeçalhos abaixo:

-----INICIAR CERTIFICADO-----

-----CONCLUIR CERTIFICADO-----

Observação

Há suporte para a cadeia de certificados assinados P7B (PKCS nº 7), comumente usada pelas ACs (Autoridades de Certificação), desde que ela seja codificada em Base64. Você pode usar certutil -encode para convertê-la em um formato com suporte.

Criar um certificado com uma autoridade de certificação não parceira do Key Vault

Esse método permite trabalhar com outras autoridades de certificação diferentes dos provedores parceiros do Key Vault, o que significa que sua organização pode trabalhar com uma autoridade de certificação de sua escolha.

Criar um certificado com sua própria autoridade de certificação

As descrições da etapa a seguir correspondem às etapas indicadas em verde no diagrama anterior.

(1) - No diagrama acima, o aplicativo está criando um certificado que internamente começa com a criação de uma chave em seu cofre de chaves.

(2) - O Key Vault devolve ao seu aplicativo uma Solicitação de Assinatura de Certificado (CSR).

(3) - O aplicativo passa a CSR à sua autoridade de certificação escolhida.

(4) - A autoridade de certificação escolhida responde com um certificado X509.

(5) - Seu aplicativo conclui a criação do novo certificado com uma fusão do Certificado X509 da autoridade de certificação.