Introdução aos certificados do Key Vault

  • Artigo

Os cenários seguintes descrevem várias das principais utilizações do serviço de gestão de certificados do Key Vault, incluindo os passos adicionais necessários para criar o seu primeiro certificado no cofre de chaves.

Seguem-se os seguintes passos:

  • Criar o seu primeiro certificado do Key Vault
  • Criar um certificado com uma Autoridade de Certificação associada ao Key Vault
  • Criar um certificado com uma Autoridade de Certificação que não esteja associada ao Key Vault
  • Importar um certificado

Os certificados são objetos complexos

Os certificados são compostos por três recursos interligados ligados como um certificado do Key Vault; metadados de certificado, uma chave e um segredo.

Os certificados são complexos

Criar o seu primeiro certificado do Key Vault

Antes de um certificado poder ser criado num Key Vault (KV), os passos de pré-requisitos 1 e 2 têm de ser realizados com êxito e tem de existir um cofre de chaves para este utilizador/organização.

Passo 1: Fornecedores de Autoridades de Certificação (AC)

  • O início de sessão como Administração de TI, PKI Administração ou qualquer pessoa que faça a gestão de contas com ACs, para uma determinada empresa (por exemplo, Contoso) é um pré-requisito para a utilização de certificados do Key Vault.
    As ACs seguintes são os fornecedores parceiros atuais com o Key Vault. Saber mais aqui
    • DigiCert - O Key Vault oferece certificados OV TLS/SSL com DigiCert.
    • GlobalSign - O Key Vault oferece certificados OV TLS/SSL com GlobalSign.

Passo 2: Um administrador de conta de um fornecedor de AC cria credenciais para serem utilizadas pelo Key Vault para inscrever, renovar e utilizar certificados TLS/SSL através do Key Vault.

Passo 3a: Um administrador da Contoso, juntamente com um funcionário da Contoso (utilizador do Key Vault) que possua certificados, dependendo da AC, pode obter um certificado do administrador ou diretamente da conta com a AC.

  • Inicie uma operação de adicionar credenciais a um cofre de chaves ao definir um recurso de emissor de certificados . Um emissor de certificados é uma entidade representada no Azure Key Vault (KV) como um recurso CertificateIssuer. É utilizado para fornecer informações sobre a origem de um certificado KV; nome do emissor, fornecedor, credenciais e outros detalhes administrativos.

    • Por exemplo: MyDigiCertIssuer

      • Fornecedor
      • Credenciais – credenciais de conta de AC. Cada AC tem os seus próprios dados específicos.

      Para obter mais informações sobre como criar contas com Fornecedores de AC, veja a mensagem relacionada no blogue do Key Vault.

Passo 3b: Configurar contactos de certificado para notificações. Este é o contacto do utilizador do Key Vault. O Key Vault não impõe este passo.

Nota – este processo, através do Passo 3b, é uma operação única.

Criar um certificado com uma AC associada ao Key Vault

Criar um certificado com uma autoridade de certificação associada do Key Vault

Passo 4: As descrições seguintes correspondem aos passos numerados verdes no diagrama anterior.
(1) - No diagrama acima, a aplicação está a criar um certificado que começa internamente ao criar uma chave no cofre de chaves.
(2) - O Key Vault envia um Pedido de Certificado TLS/SSL para a AC.
(3) - As suas pesquisas de aplicações, num processo de ciclo e espera, para o cofre de chaves para conclusão do certificado. A criação do certificado é concluída quando o Key Vault receber a resposta da AC com o certificado x509.
(4) - A AC responde ao Pedido de Certificado TLS/SSL do Key Vault com um Certificado TLS/SSL X509.
(5) - A criação do novo certificado é concluída com a fusão do Certificado X509 para a AC.

Utilizador do Key Vault – cria um certificado ao especificar uma política

  • Repita conforme necessário

  • Restrições de políticas

    • Propriedades X509
    • Propriedades principais
    • Referência do fornecedor - > ex. MyDigiCertIssure
    • Informações de renovação - > ex. 90 dias antes de expirar

  • Normalmente, um processo de criação de certificados é um processo assíncrono e envolve consultar o cofre de chaves para saber o estado da operação de criação de certificados.
    Obter operação de certificado

    • Estado: concluído, com falhas com informações de erro ou cancelado
    • Devido ao atraso na criação, pode ser iniciada uma operação de cancelamento. O cancelamento pode ou não ser eficaz.

Políticas de segurança e acesso de rede associadas à AC integrada

O serviço Key Vault envia pedidos para a AC (tráfego de saída). Por conseguinte, é totalmente compatível com cofres de chaves ativados para firewall. O Key Vault não partilha políticas de acesso com a AC. A AC tem de ser configurada para aceitar pedidos de assinatura de forma independente. Guia sobre a integração da AC fidedigna

Importar um certificado

Em alternativa , um certificado pode ser importado para o Key Vault – PFX ou PEM.

Importar certificado – requer que um PEM ou PFX esteja no disco e tenha uma chave privada.

  • Tem de especificar: nome do cofre e nome do certificado (a política é opcional)

  • Os ficheiros PEM/PFX contêm atributos que o KV pode analisar e utilizar para preencher a política de certificados. Se uma política de certificado já estiver especificada, o KV tentará corresponder os dados do ficheiro PFX/PEM.

  • Assim que a importação for final, as operações subsequentes utilizarão a nova política (novas versões).

  • Se não existirem mais operações, a primeira coisa que o Key Vault faz é enviar um aviso de expiração.

  • Além disso, o utilizador pode editar a política, que está funcional no momento da importação, mas contém predefinições em que não foram especificadas informações na importação. Por exemplo, não existem informações sobre o emissor

Formatos de Importação que suportamos

O Azure Key Vault suporta ficheiros de certificado .pem e .pfx para importar Certificados para o Cofre de chaves. Suportamos o seguinte tipo de importação para o formato de ficheiro PEM. Um único certificado codificado PEM juntamente com uma chave codificada PKCS#8 não encriptada que tem o seguinte formato:

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

-----BEGIN PRIVATE KEY-----

-----END PRIVATE KEY-----

Quando estiver a importar o certificado, tem de garantir que a chave está incluída no próprio ficheiro. Se tiver a chave privada separadamente num formato diferente, terá de combinar a chave com o certificado. Algumas autoridades de certificação fornecem certificados em formatos diferentes, portanto, antes de importar o certificado, certifique-se de que estão no formato .pem ou .pfx.

Nota

Certifique-se de que não existem outros metadados no ficheiro de certificado e que a chave privada não é apresentada como encriptada.

Formatos do CSR de Intercalação que suportamos

O AKV suporta 2 formatos baseados em PEM. Pode intercalar um único certificado codificado PKCS#8 ou um P7B codificado com base64 (cadeia de certificados assinados pela AC). Se precisar de ocultar o formato do P7B para o suportado, pode utilizar certutil -encode

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

Criar um certificado com uma AC não associada ao Key Vault

Este método permite trabalhar com outras ACs que não os fornecedores parceiros do Key Vault, o que significa que a sua organização pode trabalhar com uma AC à sua escolha.

Criar um certificado com a sua própria autoridade de certificação

As descrições dos passos seguintes correspondem aos passos com letras verdes no diagrama anterior.

(1) - No diagrama acima, a sua aplicação está a criar um certificado, que começa internamente por criar uma chave no cofre de chaves.

(2) - O Key Vault devolve à sua aplicação um Pedido de Assinatura de Certificados (CSR).

(3) - A sua aplicação transmite o CSR para a AC escolhida.

(4) - A AC escolhida responde com um Certificado X509.

(5) - A sua aplicação conclui a criação do novo certificado com uma fusão do Certificado X509 da sua AC.