Integrar Key Vault às Autoridades de Certificação Integradas

O Azure Key Vault permite-lhe aprovisionar, gerir e implementar facilmente certificados digitais para a sua rede e permitir comunicações seguras para aplicações. Um certificado digital é uma credencial eletrónica que estabelece a prova de identidade numa transação eletrónica.

O Azure Key Vault tem uma parceria fidedigna com as seguintes Autoridades de Certificação:

• DigiCert
• GlobalSign

Os utilizadores do Azure Key Vault podem gerar certificados DigiCert/GlobalSign diretamente a partir dos cofres de chaves. A parceria do Key Vault garante a gestão do ciclo de vida dos certificados ponto a ponto para certificados emitidos pela DigiCert.

Para obter informações mais gerais sobre certificados, veja Certificados do Azure Key Vault.

Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Pré-requisitos

Para concluir os procedimentos neste artigo, tem de ter:

• Um cofre de chaves. Pode utilizar um cofre de chaves existente ou criar um ao concluir os passos num destes inícios rápidos:
  • Criar um cofre de chaves com a CLI do Azure
  • Criar um cofre de chaves com Azure PowerShell
  • Criar um cofre de chaves com o portal do Azure
• Uma conta DigiCert CertCentral ativada. Inscreva-se na sua conta do CertCentral.
• Permissões ao nível do administrador nas suas contas.

Antes de começar

DigiCert

Certifique-se de que tem as seguintes informações da sua conta DigiCert CertCentral:

• ID da conta do CertCentral
• ID da Organização
• Chave de API
• ID da Conta
• Palavra-passe da Conta

GlobalSign

Certifique-se de que tem as seguintes informações da sua conta de Sinal Global:

• ID da Conta
• Palavra-passe da Conta
• Nome Próprio do Administrador
• Apelido do Administrador
• E-mail do Administrador
• Número de Telefone do Administrador

Adicionar a autoridade de certificação no Key Vault

Depois de recolher as informações anteriores da sua conta DigiCert CertCentral, pode adicionar DigiCert à lista de autoridades de certificação no cofre de chaves.

portal do Azure (DigiCert)

1. Para adicionar a autoridade de certificação DigiCert, aceda ao cofre de chaves ao qual pretende adicioná-la.

2. Na página da propriedade Key Vault, selecione Certificados.

3. Selecione o separador Autoridades de Certificação :

4. Selecione Adicionar:

5. Em Criar uma autoridade de certificação, introduza estes valores:

   • Nome: um nome de emissor identificável. Por exemplo, DigiCertCA.
   • Fornecedor: DigiCert.
   • ID da Conta: o ID da conta digiCert CertCentral.
   • Palavra-passe da Conta: a chave de API que gerou na sua conta DigiCert CertCentral.
   • ID da Organização: o ID da organização da sua conta DigiCert CertCentral.

6. Selecione Criar.

DigicertCA está agora na lista de autoridades de certificação.

portal do Azure (GlobalSign)

1. Para adicionar a autoridade de certificação GlobalSign, aceda ao cofre de chaves ao qual pretende adicioná-la.

2. Na página da propriedade Key Vault, selecione Certificados.

3. Selecione o separador Autoridades de Certificação :

4. Selecione Adicionar:

5. Em Criar uma autoridade de certificação, introduza estes valores:

   • Nome: um nome de emissor identificável. Por exemplo, GlobalSignCA.
   • Fornecedor: GlobalSign.
   • ID da Conta: O ID da conta de Assinatura Global.
   • Palavra-passe da Conta: a palavra-passe da sua conta GlobalSign.
   • Nome Próprio do Administrador: o nome próprio do administrador da conta de Sinal Global.
   • Apelido do Administrador: o apelido do administrador da conta de Sinal Global.
   • E-mail de Administrador: o e-mail do administrador da conta de Sinal Global.
   • Número de telefone de Administrador: o número de telefone do administrador da conta de Sinal Global.

6. Selecione Criar.

GlobalSignCA está agora na lista de autoridades de certificação.

Azure PowerShell

Pode utilizar Azure PowerShell para criar e gerir recursos do Azure com comandos ou scripts. O Azure aloja o Azure Cloud Shell, um ambiente de shell interativo que pode utilizar através do portal do Azure num browser.

Se optar por instalar e utilizar o PowerShell localmente, precisa do módulo 1.0.0 ou posterior do Azure AZ PowerShell para concluir os procedimentos aqui. Escreva $PSVersionTable.PSVersion para determinar a versão. Se precisar de atualizar, veja Instalar o módulo do PowerShell do Azure AZ. Se estiver a executar o PowerShell localmente, também terá de executar Connect-AzAccount para criar uma ligação com o Azure:

Connect-AzAccount

1. Crie um grupo de recursos do Azure com New-AzResourceGroup. Um grupo de recursos é um contentor lógico no qual os recursos do Azure são implementados e geridos.

   New-AzResourceGroup -Name ContosoResourceGroup -Location EastUS
   

2. Crie um cofre de chaves com um nome exclusivo. Aqui, Contoso-Vaultname é o nome do cofre de chaves.

   • Nome do cofre: Contoso-Vaultname
   • Nome do grupo de recursos: ContosoResourceGroup
   • Localização: EastUS

   New-AzKeyVault -Name 'Contoso-Vaultname' -ResourceGroupName 'ContosoResourceGroup' -Location 'EastUS'
   

3. Defina variáveis para os seguintes valores a partir da sua conta DigiCert CertCentral:

   • ID da Conta
   • ID da Organização
   • Chave de API

   $accountId = "myDigiCertCertCentralAccountID"
   $org = New-AzKeyVaultCertificateOrganizationDetail -Id OrganizationIDfromDigiCertAccount
   $secureApiKey = ConvertTo-SecureString DigiCertCertCentralAPIKey -AsPlainText –Force
   

4. Defina o emissor. Ao fazê-lo, adicionará Digicert como uma autoridade de certificação no cofre de chaves. Saiba mais sobre os parâmetros.

   Set-AzKeyVaultCertificateIssuer -VaultName "Contoso-Vaultname" -Name "TestIssuer01" -IssuerProvider DigiCert -AccountId $accountId -ApiKey $secureApiKey -OrganizationDetails $org -PassThru
   

5. Defina a política para o certificado e o certificado de emissão da DigiCert diretamente no Key Vault:

   $Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "TestIssuer01" -ValidityInMonths 12 -RenewAtNumberOfDaysBeforeExpiry 60
   Add-AzKeyVaultCertificate -VaultName "Contoso-Vaultname" -Name "ExampleCertificate" -CertificatePolicy $Policy
   

O certificado é agora emitido pela autoridade de certificação DigiCert no cofre de chaves especificado.

Resolução de problemas

Se o certificado emitido estiver no estado desativado no portal do Azure, veja a operação de certificado para rever a mensagem de erro DigiCert do certificado:

Mensagem de erro: "Execute uma intercalação para concluir este pedido de certificado."

Intercale o CSR assinado pela autoridade de certificação para concluir o pedido. Para obter informações sobre como intercalar um CSR, veja Criar e intercalar um CSR.

Para obter mais informações, veja Operações de certificado na referência da API REST Key Vault. Para obter informações sobre como estabelecer permissões, consulte Cofres – Criar ou atualizar e Cofres – Atualizar a política de acesso.

Passos seguintes

• Perguntas mais frequentes: Integrar Key Vault com as Autoridades de Certificação Integradas
• Autenticação, pedidos e respostas
• Guia do Programador do Key Vault