Criar e mesclar uma solicitação de assinatura de certificado no Cofre da Chave

O Azure Key Vault dá suporte ao armazenamento de certificados digitais emitidos por qualquer autoridade de certificação (CA). Ele suporta a criação de uma solicitação de assinatura de certificado (CSR) com um par de chaves privadas/públicas. O CSR pode ser assinado por qualquer autoridade de certificação (uma autoridade de certificação corporativa interna ou uma autoridade de certificação pública externa). Uma solicitação de assinatura de certificado (CSR) é uma mensagem que você envia a uma autoridade de certificação para solicitar um certificado digital.

Para obter mais informações gerais sobre certificados, consulte Certificados do Cofre da Chave do Azure.

Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Adicionar certificados no Cofre de Chaves emitidos por CAs parceiras

O Key Vault faz parceria com as seguintes autoridades de certificação para simplificar a criação de certificados.

Provider	Tipo de certificado	Configuração
DigiCert	Key Vault oferece certificados SSL OV ou EV com DigiCert	Guia de integração
GlobalSign	O Key Vault oferece certificados SSL OV ou EV com a GlobalSign	Guia de integração

Adicionar certificados no Cofre da Chave emitidos por autoridades de certificação não parceiras

Siga estas etapas para adicionar um certificado de autoridades de certificação que não são parceiras do Cofre de Chaves. (Por exemplo, a GoDaddy não é uma autoridade de certificação confiável do Cofre de Chaves.)

Portal

1. Vá para o cofre de chaves ao qual você deseja adicionar o certificado.

2. Na página de propriedades, selecione Certificados.

3. Selecione a guia Gerar/Importar .

4. Na tela Criar um certificado, escolha os seguintes valores:

   • Método de Criação de Certificados: Gerar.
   • Nome do certificado: ContosoManualCSRCertificate.
   • Tipo de autoridade de certificação (CA): certificado emitido por uma autoridade de certificação não integrada.
   • Assunto: "CN=www.contosoHRApp.com".

   Nota

   Se você estiver usando um RDN (Nome Distinto Relativo) que tenha uma vírgula (,) no valor, envolva o valor que contém o caractere especial entre aspas duplas.

   Exemplo de entrada para Assunto: DC=Contoso,OU="Docs,Contoso",CN=www.contosoHRApp.com

   Neste exemplo, o RDN OU contém um valor com uma vírgula no nome. A saída resultante para OU é Docs, Contoso.

5. Selecione os outros valores conforme desejado e, em seguida, selecione Criar para adicionar o certificado à lista Certificados .

   

6. Na lista Certificados, selecione o novo certificado. O estado atual do certificado está desativado porque ainda não foi emitido pela autoridade de certificação.

7. Na guia Operação de certificado, selecione Baixar CSR.

   

8. Peça à autoridade de certificação que assine o CSR (.csr).

9. Depois que a solicitação for assinada, selecione Mesclar solicitação assinada na guia Operação de certificado para adicionar o certificado assinado ao Cofre da Chave.

A solicitação de certificado foi mesclada com êxito.

PowerShell

1. Crie uma política de certificado. Como a autoridade de certificação escolhida neste cenário não é parceira, IssuerName é definido como Desconhecido e o Cofre da Chave não registra nem renova o certificado.

   $policy = New-AzKeyVaultCertificatePolicy -SubjectName "CN=www.contosoHRApp.com" -ValidityInMonths 1  -IssuerName Unknown
   

   Nota

   Se você estiver usando um RDN (Nome Distinto Relativo) que tenha uma vírgula (,) no valor, use aspas simples para o valor completo ou conjunto de valores e envolva o valor que contém o caractere especial entre aspas duplas.

   Exemplo de entrada para SubjectName: $policy = New-AzKeyVaultCertificatePolicy -SubjectName 'OU="Docs,Contoso",DC=Contoso,CN=www.contosoHRApp.com' -ValidityInMonths 1 -IssuerName Unknown. Neste exemplo, o valor é lido OU como Docs, Contoso. Este formato funciona para todos os valores que contêm uma vírgula.

   Neste exemplo, o RDN OU contém um valor com uma vírgula no nome. A saída resultante para OU é Docs, Contoso.

2. Crie o CSR.

   $csr = Add-AzKeyVaultCertificate -VaultName ContosoKV -Name ContosoManualCSRCertificate -CertificatePolicy $policy
   $csr.CertificateSigningRequest
   

3. Peça à autoridade de certificação que assine o CSR. O $csr.CertificateSigningRequest é o CSR codificado de base para o certificado. Você pode despejar esse blob no site de solicitação de certificado do emissor. Esta etapa varia de CA para CA. Consulte as diretrizes da sua autoridade de certificação sobre como executar esta etapa. Você também pode usar ferramentas como certreq ou openssl para assinar o CSR e concluir o processo de geração de um certificado.

4. Mescle a solicitação assinada no Cofre da Chave. Depois que a solicitação de certificado for assinada, você poderá mesclá-la com o par inicial de chaves pública/privada criado no Cofre de Chaves do Azure.

   Import-AzKeyVaultCertificate -VaultName ContosoKV -Name ContosoManualCSRCertificate -FilePath C:\test\OutputCertificateFile.cer
   

A solicitação de certificado foi mesclada com êxito.

Adicionar mais informações ao CSR

Se você quiser adicionar mais informações ao criar o CSR, defina-o em SubjectName. Você pode querer adicionar informações como:

• País/Região
• Cidade/localidade
• Distrito
• Organization
• Unidade organizacional

Exemplo

SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US"

Nota

Se você estiver solicitando um certificado de Validação de Domínio (DV) com informações adicionais, a autoridade de certificação poderá rejeitar a solicitação se não puder validar todas as informações da solicitação. As informações adicionais podem ser mais apropriadas se você estiver solicitando um certificado de Validação da Organização (OV).

FAQs

• Como posso monitorizar ou gerir a minha RSE?

  Consulte Monitorar e gerenciar a criação de certificados.

• E se eu vir o tipo de erro 'A chave pública do certificado de entidade final no conteúdo do certificado X.509 especificado não corresponde à parte pública da chave privada especificada. Por favor, verifique se o certificado é válido'?

  Este erro ocorre se você não estiver mesclando o CSR assinado com a mesma solicitação CSR que você iniciou. Cada nova CSR que você cria tem uma chave privada, que deve corresponder quando você mescla a solicitação assinada.

• Quando uma RSE é fundida, irá fundir toda a cadeia?

  Sim, ele irá mesclar toda a cadeia, desde que o usuário tenha trazido de volta um arquivo .p7b para mesclar.

• E se o certificado emitido estiver no status desabilitado no portal do Azure?

  Exiba a guia Operação do certificado para revisar a mensagem de erro desse certificado.

• E se eu vir o tipo de erro 'O nome do assunto fornecido não é um nome X500 válido'?

  Este erro pode ocorrer se SubjectName incluir caracteres especiais. Consulte as notas no portal do Azure e nas instruções do PowerShell.

• Tipo de erro O CSR usado para obter seu certificado já foi usado. Tente gerar um novo certificado com um novo CSR. Vá para a seção 'Política avançada' do certificado e verifique se a opção 'chave de reutilização na renovação' está desativada.

---

Próximos passos

• Autenticação, solicitações e respostas
• Guia do Programador do Key Vault
• Referência da API REST do Azure Key Vault
• Vaults - Criar ou atualizar
• Vaults - Atualizar Política de Acesso