Integrar o Key Vault com Autoridades de Certificação incorporadas

O Azure Key Vault permite que você provisione, gerencie e implante facilmente certificados digitais para sua rede e habilite comunicações seguras para aplicativos. Um certificado digital é uma credencial eletrônica que estabelece uma prova de identidade em uma transação eletrônica.

O Azure Key Vault tem uma parceria confiável com as seguintes Autoridades de Certificação:

Os usuários do Azure Key Vault podem gerar certificados DigiCert/GlobalSign diretamente dos cofres de chaves. Essa parceria do Key Vault garante o gerenciamento de ciclo de vida de certificados de ponta a ponta para certificados emitidos pelo DigiCert.

Para obter mais informações gerais sobre certificados, confira Certificados do Azure Key Vault.

Caso você não tenha uma assinatura do Azure, crie uma conta gratuita antes de começar.

Pré-requisitos

Para concluir os procedimentos deste artigo, você precisa ter:

Antes de começar

DigiCert

Verifique se você tem as seguintes informações sobre sua conta DigiCert CertCentral:

  • ID da conta CertCentral
  • ID da organização
  • Chave de API
  • ID da Conta
  • Senha da Conta

GlobalSign

Certifique-se de ter as seguintes informações de sua conta de Sinal Global:

  • ID da Conta
  • Senha da Conta
  • Nome do Administrador
  • Sobrenome do Administrador
  • Email do Administrador
  • Número de Telefone do Administrador

Adicionar a autoridade de certificação no Key Vault

Depois de reunir as informações anteriores de sua conta do DigiCert CertCentral, você pode adicionar o DigiCert à lista de autoridade de certificação no cofre de chaves.

Portal do Azure (DigiCert)

  1. Para adicionar a autoridade de certificação DigiCert, navegue até o cofre de chaves ao qual você deseja adicioná-la.

  2. Na página de propriedades do Key Vault, selecione Certificados.

  3. Selecione a guia Autoridades de Certificação:Screenshot that shows selecting the Certificate Authorities tab.

  4. Selecione Adicionar: Screenshot that shows the Add button on the Certificate Authorities tab.

  5. Em Criar uma autoridade de certificação, insira estes valores:

    • Nome: um nome de emissor identificável. Por exemplo, DigiCertCA.
    • Provedor: DigiCert.
    • ID da Conta: sua ID da conta do DigiCert CertCentral.
    • Senha da Conta: insira a chave de API que você gerou em sua conta do DigiCert CertCentral.
    • ID da Organização: a ID da organização da sua conta do DigiCert CertCentral.
  6. Selecione Criar.

DigicertCA agora está na lista de autoridades de certificação.

Portal do Azure (GlobalSign)

  1. Para adicionar a autoridade de certificação DigiCert, navegue até o cofre de chaves ao qual você deseja adicioná-la.

  2. Na página de propriedades do Key Vault, selecione Certificados.

  3. Selecione a guia Autoridades de Certificação:Screenshot that shows selecting the Certificate Authorities tab.

  4. Selecione Adicionar: Screenshot that shows the Add button on the Global Sign Certificate Authorities tab.

  5. Em Criar uma autoridade de certificação, insira estes valores:

    • Nome: um nome de emissor identificável. Por exemplo, GlobalSignCA.
    • Provedor: GlobalSign.
    • ID da conta: sua ID da conta GlobalSign.
    • Senha da conta: sua senha da conta GlobalSign.
    • Nome do Administrador: o primeiro nome do administrador da conta de Sinal Global.
    • Sobrenome do Administrador: o sobrenome do administrador da conta de Sinal Global.
    • Email do Administrador: o email do administrador da conta de Sinal Global.
    • Número de telefone do Administrador: o número de telefone do administrador da conta de Sinal Global.
  6. Selecione Criar.

O GlobalSignCA agora está na lista de autoridades de certificação.

Azure PowerShell

Você pode usar o Azure PowerShell é usado para criar e gerenciar recursos do Azure usando comandos ou scripts. O Azure hospeda o Azure Cloud Shell, um ambiente de shell interativo que pode ser usado por meio do portal do Azure em um navegador.

Se você optar por instalar e usar o PowerShell localmente, precisará do módulo 1.0.0 ou posterior do Azure AZ PowerShell para concluir os procedimentos aqui. Execute $PSVersionTable.PSVersion para determinar a versão. Se você precisa atualizar, consulte Instalar o módulo do Azure PowerShell. Se você estiver executando o PowerShell localmente, também precisará executar o Login-AzAccount para criar uma conexão com o Azure:

Login-AzAccount
  1. Crie um grupo de recursos do Azure usando New-AzResourceGroup. Um grupo de recursos é um contêiner lógico no qual os recursos do Azure são implantados e gerenciados.

    New-AzResourceGroup -Name ContosoResourceGroup -Location EastUS
    
  2. Crie um cofre de chaves que tenha um nome exclusivo. Aqui, Contoso-Vaultname é o nome do cofre de chaves.

    • Nome do cofre: Contoso-Vaultname
    • Nome do grupo de recursos: ContosoResourceGroup
    • Local: EastUS
    New-AzKeyVault -Name 'Contoso-Vaultname' -ResourceGroupName 'ContosoResourceGroup' -Location 'EastUS'
    
  3. Defina variáveis para os seguintes valores de sua conta do DigiCert CertCentral:

    • ID da Conta
    • ID da organização
    • Chave de API
    $accountId = "myDigiCertCertCentralAccountID"
    $org = New-AzKeyVaultCertificateOrganizationDetail -Id OrganizationIDfromDigiCertAccount
    $secureApiKey = ConvertTo-SecureString DigiCertCertCentralAPIKey -AsPlainText –Force
    
  4. Defina o emissor. Isso adicionará DigiCert como uma autoridade de certificação no cofre de chaves. Saiba mais sobre os parâmetros.

    Set-AzKeyVaultCertificateIssuer -VaultName "Contoso-Vaultname" -Name "TestIssuer01" -IssuerProvider DigiCert -AccountId $accountId -ApiKey $secureApiKey -OrganizationDetails $org -PassThru
    
  5. Defina a política para o certificado e o certificado de emissão de DigiCert diretamente no Key Vault:

    $Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "TestIssuer01" -ValidityInMonths 12 -RenewAtNumberOfDaysBeforeExpiry 60
    Add-AzKeyVaultCertificate -VaultName "Contoso-Vaultname" -Name "ExampleCertificate" -CertificatePolicy $Policy
    

O certificado agora é emitido pela autoridade de certificação DigiCert no cofre de chaves especificado.

Solucionar problemas

Se o certificado emitido estiver com status desabilitado no portal do Azure, visualize a operação do certificado para revisar a mensagem de erro DigiCert para o certificado:

Screenshot that shows the Certificate Operation tab.

Mensagem de erro: "Faça uma mesclagem para concluir esta solicitação de certificado".

Mesclar um CSR assinada pela autoridade de certificação para concluir a solicitação. Para obter informações sobre como mesclar um CSR, consulte Criar e mesclar um CSR.

Para obter mais informações, veja Operações de certificado na referência de API REST do Key Vault. Para obter informações sobre como estabelecer permissões, confira Cofres – criar ou atualizar e Cofres – Atualizar política de acesso.

Próximas etapas