Integrar o Key Vault com Autoridades de Certificação incorporadas

O Azure Key Vault permite que você provisione, gerencie e implante facilmente certificados digitais para sua rede e habilite comunicações seguras para aplicativos. Um certificado digital é uma credencial eletrônica que estabelece uma prova de identidade em uma transação eletrônica.

O Azure Key Vault tem uma parceria confiável com as seguintes Autoridades de Certificação:

• DigiCert
• GlobalSign

Os usuários do Azure Key Vault podem gerar certificados DigiCert/GlobalSign diretamente dos cofres de chaves. Essa parceria do Key Vault garante o gerenciamento de ciclo de vida de certificados de ponta a ponta para certificados emitidos pelo DigiCert.

Para obter mais informações gerais sobre certificados, confira Certificados do Azure Key Vault.

Caso você não tenha uma assinatura do Azure, crie uma conta gratuita antes de começar.

Pré-requisitos

Para concluir os procedimentos deste artigo, você precisa ter:

• Um cofre de chaves. Você pode usar um cofre de chaves existente ou criar um seguindo as etapas em um destes inícios rápidos:
  • Criar um cofre de chaves usando a CLI do Azure
  • Criar um cofre de chaves usando o Azure PowerShell
  • Criar um cofre de chaves usando o portal do Azure
• Uma conta DigiCert CertCentral ativada. Inscreva-se para sua conta do CertCentral.
• Permissões em nível de administrador em suas contas.

Antes de começar

DigiCert

Verifique se você tem as seguintes informações sobre sua conta DigiCert CertCentral:

• ID da conta CertCentral
• ID da organização
• Chave de API
• ID da Conta
• Senha da Conta

GlobalSign

Certifique-se de ter as seguintes informações de sua conta de Sinal Global:

• ID da Conta
• Senha da Conta
• Nome do Administrador
• Sobrenome do Administrador
• Email do Administrador
• Número de Telefone do Administrador

Adicionar a autoridade de certificação no Key Vault

Depois de reunir as informações anteriores de sua conta do DigiCert CertCentral, você pode adicionar o DigiCert à lista de autoridade de certificação no cofre de chaves.

Portal do Azure (DigiCert)

1. Para adicionar a autoridade de certificação DigiCert, navegue até o cofre de chaves ao qual você deseja adicioná-la.

2. Na página de propriedades do Key Vault, selecione Certificados.

3. Selecione a guia Autoridades de Certificação:

4. Selecione Adicionar:

5. Em Criar uma autoridade de certificação, insira estes valores:

   • Nome: um nome de emissor identificável. Por exemplo, DigiCertCA.
   • Provedor: DigiCert.
   • ID da Conta: sua ID da conta do DigiCert CertCentral.
   • Senha da Conta: insira a chave de API que você gerou em sua conta do DigiCert CertCentral.
   • ID da Organização: a ID da organização da sua conta do DigiCert CertCentral.

6. Selecione Criar.

DigicertCA agora está na lista de autoridades de certificação.

Portal do Azure (GlobalSign)

1. Para adicionar a autoridade de certificação GlobalSign, acesse o cofre de chaves no qual você deseja adicioná-la.

2. Na página de propriedades do Key Vault, selecione Certificados.

3. Selecione a guia Autoridades de Certificação:

4. Selecione Adicionar:

5. Em Criar uma autoridade de certificação, insira estes valores:

   • Nome: um nome de emissor identificável. Por exemplo, GlobalSignCA.
   • Provedor: GlobalSign.
   • ID da conta: sua ID da conta GlobalSign.
   • Senha da conta: sua senha da conta GlobalSign.
   • Nome do Administrador: o primeiro nome do administrador da conta de Sinal Global.
   • Sobrenome do Administrador: o sobrenome do administrador da conta de Sinal Global.
   • Email do Administrador: o email do administrador da conta de Sinal Global.
   • Número de telefone do Administrador: o número de telefone do administrador da conta de Sinal Global.

6. Selecione Criar.

O GlobalSignCA agora está na lista de autoridades de certificação.

Azure PowerShell

Você pode usar o Azure PowerShell é usado para criar e gerenciar recursos do Azure usando comandos ou scripts. O Azure hospeda o Azure Cloud Shell, um ambiente de shell interativo que pode ser usado por meio do portal do Azure em um navegador.

Se você optar por instalar e usar o PowerShell localmente, precisará do módulo 1.0.0 ou posterior do Azure AZ PowerShell para concluir os procedimentos aqui. Execute $PSVersionTable.PSVersion para determinar a versão. Se você precisa atualizar, consulte Instalar o módulo do Azure PowerShell. Se você estiver executando o PowerShell localmente, também precisará executar o Connect-AzAccount para criar uma conexão com o Azure:

Connect-AzAccount

1. Crie um grupo de recursos do Azure usando New-AzResourceGroup. Um grupo de recursos é um contêiner lógico no qual os recursos do Azure são implantados e gerenciados.

   New-AzResourceGroup -Name ContosoResourceGroup -Location EastUS
   

2. Crie um cofre de chaves que tenha um nome exclusivo. Aqui, Contoso-Vaultname é o nome do cofre de chaves.

   • Nome do cofre: Contoso-Vaultname
   • Nome do grupo de recursos: ContosoResourceGroup
   • Local: EastUS

   New-AzKeyVault -Name 'Contoso-Vaultname' -ResourceGroupName 'ContosoResourceGroup' -Location 'EastUS'
   

3. Defina variáveis para os seguintes valores de sua conta do DigiCert CertCentral:

   • ID da Conta
   • ID da organização
   • Chave de API

   $accountId = "myDigiCertCertCentralAccountID"
   $org = New-AzKeyVaultCertificateOrganizationDetail -Id OrganizationIDfromDigiCertAccount
   $secureApiKey = ConvertTo-SecureString DigiCertCertCentralAPIKey -AsPlainText –Force
   

4. Defina o emissor. Isso adicionará DigiCert como uma autoridade de certificação no cofre de chaves. Saiba mais sobre os parâmetros.

   Set-AzKeyVaultCertificateIssuer -VaultName "Contoso-Vaultname" -Name "TestIssuer01" -IssuerProvider DigiCert -AccountId $accountId -ApiKey $secureApiKey -OrganizationDetails $org -PassThru
   

5. Defina a política para o certificado e o certificado de emissão de DigiCert diretamente no Key Vault:

   $Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "TestIssuer01" -ValidityInMonths 12 -RenewAtNumberOfDaysBeforeExpiry 60
   Add-AzKeyVaultCertificate -VaultName "Contoso-Vaultname" -Name "ExampleCertificate" -CertificatePolicy $Policy
   

O certificado agora é emitido pela autoridade de certificação DigiCert no cofre de chaves especificado.

Solucionar problemas

Se o certificado emitido estiver com status desabilitado no portal do Azure, visualize a operação do certificado para revisar a mensagem de erro DigiCert para o certificado:

Mensagem de erro: "Faça uma mesclagem para concluir esta solicitação de certificado".

Mesclar um CSR assinada pela autoridade de certificação para concluir a solicitação. Para obter informações sobre como mesclar um CSR, consulte Criar e mesclar um CSR.

Para obter mais informações, veja Operações de certificado na referência de API REST do Key Vault. Para obter informações sobre como estabelecer permissões, confira Cofres – criar ou atualizar e Cofres – Atualizar política de acesso.

Próximas etapas

• Perguntas frequentes: como integrar o Key Vault com autoridades de certificação integradas
• Autenticação, solicitações e respostas
• Guia do Desenvolvedor do Cofre de Chaves