Introdução aos certificados do Key Vault
Os cenários seguintes descrevem várias das principais utilizações do serviço de gestão de certificados do Key Vault, incluindo os passos adicionais necessários para criar o seu primeiro certificado no cofre de chaves.
Seguem-se os seguintes passos:
- Criar o seu primeiro certificado do Key Vault
- Criar um certificado com uma Autoridade de Certificação associada ao Key Vault
- Criar um certificado com uma Autoridade de Certificação que não esteja associada ao Key Vault
- Importar um certificado
Os certificados são objetos complexos
Os certificados são compostos por três recursos interligados ligados como um certificado do Key Vault; metadados de certificado, uma chave e um segredo.
Criar o seu primeiro certificado do Key Vault
Antes de um certificado poder ser criado num Key Vault (KV), os passos de pré-requisitos 1 e 2 têm de ser realizados com êxito e tem de existir um cofre de chaves para este utilizador/organização.
Passo 1: Fornecedores de Autoridades de Certificação (AC)
- O início de sessão como Administração de TI, PKI Administração ou qualquer pessoa que faça a gestão de contas com ACs, para uma determinada empresa (por exemplo, Contoso) é um pré-requisito para a utilização de certificados do Key Vault.
As ACs seguintes são os fornecedores parceiros atuais com o Key Vault. Saber mais aqui- DigiCert - O Key Vault oferece certificados OV TLS/SSL com DigiCert.
- GlobalSign - O Key Vault oferece certificados OV TLS/SSL com GlobalSign.
Passo 2: Um administrador de conta de um fornecedor de AC cria credenciais para serem utilizadas pelo Key Vault para inscrever, renovar e utilizar certificados TLS/SSL através do Key Vault.
Passo 3a: Um administrador da Contoso, juntamente com um funcionário da Contoso (utilizador do Key Vault) que possua certificados, dependendo da AC, pode obter um certificado do administrador ou diretamente da conta com a AC.
- Inicie uma operação de adicionar credenciais a um cofre de chaves ao definir um recurso de emissor de certificados . Um emissor de certificados é uma entidade representada no Azure Key Vault (KV) como um recurso CertificateIssuer. É utilizado para fornecer informações sobre a origem de um certificado KV; nome do emissor, fornecedor, credenciais e outros detalhes administrativos.
Por exemplo: MyDigiCertIssuer
- Fornecedor
- Credenciais – credenciais de conta de AC. Cada AC tem os seus próprios dados específicos.
Para obter mais informações sobre como criar contas com Fornecedores de AC, veja a mensagem relacionada no blogue do Key Vault.
Passo 3b: Configurar contactos de certificado para notificações. Este é o contacto do utilizador do Key Vault. O Key Vault não impõe este passo.
Nota – este processo, através do Passo 3b, é uma operação única.
Criar um certificado com uma AC associada ao Key Vault
Passo 4: As descrições seguintes correspondem aos passos numerados verdes no diagrama anterior.
(1) - No diagrama acima, a aplicação está a criar um certificado que começa internamente ao criar uma chave no cofre de chaves.
(2) - O Key Vault envia um Pedido de Certificado TLS/SSL para a AC.
(3) - As suas pesquisas de aplicações, num processo de ciclo e espera, para o cofre de chaves para conclusão do certificado. A criação do certificado é concluída quando o Key Vault receber a resposta da AC com o certificado x509.
(4) - A AC responde ao Pedido de Certificado TLS/SSL do Key Vault com um Certificado TLS/SSL X509.
(5) - A criação do novo certificado é concluída com a fusão do Certificado X509 para a AC.
Utilizador do Key Vault – cria um certificado ao especificar uma política
Repita conforme necessário
Restrições de políticas
- Propriedades X509
- Propriedades principais
- Referência do fornecedor - > ex. MyDigiCertIssure
- Informações de renovação - > ex. 90 dias antes de expirar
Normalmente, um processo de criação de certificados é um processo assíncrono e envolve consultar o cofre de chaves para saber o estado da operação de criação de certificados.
Obter operação de certificado- Estado: concluído, com falhas com informações de erro ou cancelado
- Devido ao atraso na criação, pode ser iniciada uma operação de cancelamento. O cancelamento pode ou não ser eficaz.
Políticas de segurança e acesso de rede associadas à AC integrada
O serviço Key Vault envia pedidos para a AC (tráfego de saída). Por conseguinte, é totalmente compatível com cofres de chaves ativados para firewall. O Key Vault não partilha políticas de acesso com a AC. A AC tem de ser configurada para aceitar pedidos de assinatura de forma independente. Guia sobre a integração da AC fidedigna
Importar um certificado
Em alternativa , um certificado pode ser importado para o Key Vault – PFX ou PEM.
Importar certificado – requer que um PEM ou PFX esteja no disco e tenha uma chave privada.
Tem de especificar: nome do cofre e nome do certificado (a política é opcional)
Os ficheiros PEM/PFX contêm atributos que o KV pode analisar e utilizar para preencher a política de certificados. Se uma política de certificado já estiver especificada, o KV tentará corresponder os dados do ficheiro PFX/PEM.
Assim que a importação for final, as operações subsequentes utilizarão a nova política (novas versões).
Se não existirem mais operações, a primeira coisa que o Key Vault faz é enviar um aviso de expiração.
Além disso, o utilizador pode editar a política, que está funcional no momento da importação, mas contém predefinições em que não foram especificadas informações na importação. Por exemplo, não existem informações sobre o emissor
Formatos de Importação que suportamos
O Azure Key Vault suporta ficheiros de certificado .pem e .pfx para importar Certificados para o Cofre de chaves. Suportamos o seguinte tipo de importação para o formato de ficheiro PEM. Um único certificado codificado PEM juntamente com uma chave codificada PKCS#8 não encriptada que tem o seguinte formato:
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
Quando estiver a importar o certificado, tem de garantir que a chave está incluída no próprio ficheiro. Se tiver a chave privada separadamente num formato diferente, terá de combinar a chave com o certificado. Algumas autoridades de certificação fornecem certificados em formatos diferentes, portanto, antes de importar o certificado, certifique-se de que estão no formato .pem ou .pfx.
Nota
Certifique-se de que não existem outros metadados no ficheiro de certificado e que a chave privada não é apresentada como encriptada.
Formatos do CSR de Intercalação que suportamos
O AKV suporta 2 formatos baseados em PEM. Pode intercalar um único certificado codificado PKCS#8 ou um P7B codificado com base64 (cadeia de certificados assinados pela AC). Se precisar de ocultar o formato do P7B para o suportado, pode utilizar certutil -encode
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
Criar um certificado com uma AC não associada ao Key Vault
Este método permite trabalhar com outras ACs que não os fornecedores parceiros do Key Vault, o que significa que a sua organização pode trabalhar com uma AC à sua escolha.
As descrições dos passos seguintes correspondem aos passos com letras verdes no diagrama anterior.
(1) - No diagrama acima, a sua aplicação está a criar um certificado, que começa internamente por criar uma chave no cofre de chaves.
(2) - O Key Vault devolve à sua aplicação um Pedido de Assinatura de Certificados (CSR).
(3) - A sua aplicação transmite o CSR para a AC escolhida.
(4) - A AC escolhida responde com um Certificado X509.
(5) - A sua aplicação conclui a criação do novo certificado com uma fusão do Certificado X509 da sua AC.