Integração Key Vault com Autoridades Integradas de Certificados

O Azure Key Vault permite-lhe facilmente fornecendo, gerindo e implantando certificados digitais para a sua rede e para permitir comunicações seguras para aplicações. Um certificado digital é uma credencial electrónica que estabelece a prova de identidade numa transação electrónica.

A Azure Key Vault tem uma parceria de confiança com as seguintes Autoridades de Certificado:

Azure Key Vault utilizadores podem gerar certificados DigiCert/GlobalSign diretamente a partir dos seus cofres-chave. A parceria da Key Vault assegura a gestão do ciclo de vida dos certificados de ponta a ponta para os certificados emitidos pela DigiCert.

Para obter informações mais gerais sobre certificados, consulte os certificados Azure Key Vault.

Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Pré-requisitos

Para completar os procedimentos neste artigo, você precisa ter:

Antes de começar

DigiCert

Certifique-se de que tem as seguintes informações da sua conta DigiCert Central:

  • ID da conta CertCentral
  • ID da Organização
  • Chave API
  • ID da Conta
  • Senha de conta

GlobalSign

Certifique-se de que tem as seguintes informações da sua conta Global Sign:

  • ID da Conta
  • Senha de conta
  • Primeiro Nome do Administrador
  • Último Nome do Administrador
  • E-mail do Administrador
  • Número de telefone do administrador

Adicione a autoridade de certificados em Key Vault

Depois de recolher as informações anteriores da sua conta DigiCert CertCentral, pode adicionar DigiCert à lista de autoridade de certificados no cofre de chaves.

portal do Azure (DigiCert)

  1. Para adicionar a autoridade de certificados DigiCert, vá ao cofre chave a que pretende adicioná-lo.

  2. Na página Key Vault da propriedade, selecione Certificados.

  3. Selecione o separador Autoridades de Certificado : Screenshot que mostra a seleção do separador Autoridades de Certificado.

  4. Selecione Adicionar: Screenshot que mostra o botão Adicionar no separador Autoridades certificados.

  5. Ao criar uma autoridade de certificados, insira estes valores:

    • Nome: Nome do emitente identificável. Por exemplo, DigiCertCA.
    • Fornecedor: DigiCert.
    • Identificação da conta: O seu ID da conta DigiCert CertCentral.
    • Senha de conta: A chave API que gerou na sua conta DigiCert CertCentral.
    • Identificação da organização: A identificação da organização da sua conta DigiCert CertCentral.
  6. Selecione Criar.

DigicertCA está agora na lista de autoridade de certificados.

portal do Azure (GlobalSign)

  1. Para adicionar a autoridade de certificados GlobalSign, vá ao cofre chave a que pretende adicioná-lo.

  2. Na página Key Vault da propriedade, selecione Certificados.

  3. Selecione o separador Autoridades de Certificado : Screenshot que mostra a seleção do separador Autoridades de Certificado.

  4. Selecione Adicionar: Screenshot que mostra o botão Adicionar no separador Global Sign Certificate Authorities.

  5. Ao criar uma autoridade de certificados, insira estes valores:

    • Nome: Nome do emitente identificável. Por exemplo, GlobalSignCA.
    • Fornecedor: GlobalSign.
    • Identificação da conta: A sua identificação da conta GlobalSign.
    • Senha de conta: A sua senha de conta GlobalSign.
    • Primeiro Nome de Administrador: O primeiro nome de administrador da conta Sinal Global.
    • Último Nome do Administrador: O último nome de administrador da conta Sinal Global.
    • E-mail do Administrador: O e-mail do administrador da conta Sinai Global.
    • Número de telefone do Administrador: O número de telefone do administrador da conta Sinal Global.
  6. Selecione Criar.

A GlobalSignCA está agora na lista de autoridade de certificados.

Azure PowerShell

Pode utilizar Azure PowerShell para criar e gerir os recursos do Azure utilizando comandos ou scripts. A Azure acolhe o Azure Cloud Shell, um ambiente de conchas interativas que pode usar através do portal do Azure num navegador.

Se optar por instalar e utilizar o PowerShell localmente, precisa do módulo Azure AZ PowerShell 1.0.0 ou posterior para completar os procedimentos aqui. Escreva $PSVersionTable.PSVersion para determinar a versão. Se precisar de atualizar, consulte instalar o módulo Azure AZ PowerShell. Se estiver a executar o PowerShell localmente, também precisa de correr Login-AzAccount para criar uma ligação com a Azure:

Login-AzAccount
  1. Criar um grupo de recursos Azure utilizando o New-AzResourceGroup. Um grupo de recursos é um contentor lógico no qual os recursos do Azure são implementados e geridos.

    New-AzResourceGroup -Name ContosoResourceGroup -Location EastUS
    
  2. Crie um cofre chave que tenha um nome único. Aqui está Contoso-Vaultname o nome do cofre da chave.

    • Nome do cofre: Contoso-Vaultname
    • Nome do grupo de recursos: ContosoResourceGroup
    • Localização: EastUS
    New-AzKeyVault -Name 'Contoso-Vaultname' -ResourceGroupName 'ContosoResourceGroup' -Location 'EastUS'
    
  3. Defina variáveis para os seguintes valores da sua conta DigiCert Central:

    • ID da Conta
    • ID da Organização
    • Chave de API
    $accountId = "myDigiCertCertCentralAccountID"
    $org = New-AzKeyVaultCertificateOrganizationDetail -Id OrganizationIDfromDigiCertAccount
    $secureApiKey = ConvertTo-SecureString DigiCertCertCentralAPIKey -AsPlainText –Force
    
  4. Deitente. Ao fazê-lo, adicionará Digicert como uma autoridade de certificado no cofre chave. Saiba mais sobre os parâmetros.

    Set-AzKeyVaultCertificateIssuer -VaultName "Contoso-Vaultname" -Name "TestIssuer01" -IssuerProvider DigiCert -AccountId $accountId -ApiKey $secureApiKey -OrganizationDetails $org -PassThru
    
  5. Definir a política do certificado e certificado de emissão da DigiCert diretamente em Key Vault:

    $Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "TestIssuer01" -ValidityInMonths 12 -RenewAtNumberOfDaysBeforeExpiry 60
    Add-AzKeyVaultCertificate -VaultName "Contoso-Vaultname" -Name "ExampleCertificate" -CertificatePolicy $Policy
    

O certificado é agora emitido pela Autoridade de Certificados DigiCert no cofre-chave especificado.

Resolução de problemas

Se o certificado emitido estiver em estado de incapacidade no portal do Azure, consulte a operação do certificado para rever a mensagem de erro digiCert para o certificado:

Screenshot que mostra o separador Operação certificado.

Error message: "Please efetuar uma fusão para completar este pedido de certificado."

Fundir a RSE assinada pela autoridade de certificados para completar o pedido. Para obter informações sobre a fusão de uma RSE, consulte criar e fundir uma RSE.

Para mais informações, consulte as operações do Certificado na referência Key Vault REST API. Para obter informações sobre o estabelecimento de permissões, consulte Vaults - Criar ou atualizar e Vaults - Atualizar a política de acesso.

Passos seguintes