Partilhar via

Métodos de criação de certificados

  • Artigo

Um certificado do Cofre da Chave (KV) pode ser criado ou importado para um cofre de chaves. Quando um certificado KV é criado, a chave privada é criada dentro do cofre de chaves e nunca exposta ao proprietário do certificado. Veja a seguir maneiras de criar um certificado no Cofre da Chave:

  • Criar um certificado autoassinado: crie um par de chaves público-privado e associe-o a um certificado. O certificado será assinado por sua própria chave.

  • Crie um novo certificado manualmente: crie um par de chaves público-privado e gere uma solicitação de assinatura de certificado X.509. O pedido de assinatura pode ser assinado pela sua autoridade de registo ou autoridade de certificação. O certificado x509 assinado pode ser mesclado com o par de chaves pendente para concluir o certificado KV no Cofre de Chaves. Embora esse método exija mais etapas, ele fornece maior segurança porque a chave privada é criada e restrita ao Cofre da Chave.

Crie um certificado com sua própria autoridade de certificação

As descrições a seguir correspondem às etapas com letras verdes no diagrama anterior.

  1. No diagrama, seu aplicativo está criando um certificado, que internamente começa criando uma chave em seu cofre de chaves.
  2. O Cofre da Chave retorna ao seu aplicativo uma Solicitação de Assinatura de Certificado (CSR)
  3. A sua aplicação transmite o CSR para a AC escolhida.
  4. A autoridade de certificação escolhida responde com um certificado X509.
  5. Seu aplicativo conclui a criação do novo certificado com uma fusão do certificado X509 da sua autoridade de certificação.
  • Criar um certificado com um provedor emissor conhecido: esse método requer que você execute uma tarefa única de criar um objeto emissor. Depois que um objeto emissor é criado em seu cofre de chaves, seu nome pode ser referenciado na política do certificado KV. Uma solicitação para criar esse certificado KV criará um par de chaves no cofre e se comunicará com o serviço do provedor do emissor usando as informações no objeto do emissor referenciado para obter um certificado x509. O certificado x509 é recuperado do serviço do emissor e mesclado com o par de chaves para concluir a criação do certificado KV.

Criar um certificado com uma autoridade de certificação parceira do Key Vault

As descrições a seguir correspondem às etapas com letras verdes no diagrama anterior.

  1. No diagrama, seu aplicativo está criando um certificado, que internamente começa criando uma chave em seu cofre de chaves.
  2. O Cofre de Chaves envia uma Solicitação de Certificado TLS/SSL para a CA.
  3. A sua aplicação consulta o Key Vault, num processo de ciclo e espera, para averiguar a conclusão do certificado. A criação do certificado é concluída quando o Key Vault receber a resposta da AC com o certificado x509.
  4. A autoridade de certificação responde à solicitação de certificado TLS/SSL do Key Vault com um certificado TLS/SSL X.509.
  5. A criação do novo certificado é concluída com a fusão do certificado TLS/SSL X.509 para a autoridade de certificação.

Processo assíncrono

A criação de certificados KV é um processo assíncrono. Esta operação criará uma solicitação de certificado KV e retornará um código de status http de 202 (Aceito). O status da solicitação pode ser rastreado sondando o objeto pendente criado por esta operação. O URI completo do objeto pendente é retornado no cabeçalho LOCATION.

Quando uma solicitação para criar um certificado KV for concluída, o status do objeto pendente mudará de "em andamento" para "concluído" e uma nova versão do certificado KV será criada. Esta será a versão atual.

Primeira criação

Quando um certificado KV é criado pela primeira vez, uma chave endereçável e um segredo também são criados com o mesmo nome do certificado. Se o nome já estiver em uso, a operação falhará com um código de status http de 409 (conflito). A chave endereçável e o segredo obtêm seus atributos dos atributos do certificado KV. A chave endereçável e o segredo criados dessa forma são marcados como chaves gerenciadas e segredos, cujo tempo de vida é gerenciado pelo Cofre de Chaves. As chaves e segredos gerenciados são somente leitura. Nota: Se um certificado KV expirar ou estiver desativado, a chave e o segredo correspondentes ficarão inoperantes.

Se esta for a primeira operação para criar um certificado KV, uma política será necessária. Uma política também pode ser fornecida com operações de criação sucessivas para substituir o recurso de política. Se uma política não for fornecida, o recurso de política no serviço será usado para criar uma próxima versão do certificado KV. Enquanto uma solicitação para criar uma próxima versão está em andamento, o certificado KV atual e a chave endereçável e o segredo correspondentes permanecem inalterados.

Certificado auto-emitido

Para criar um certificado autoemitido, defina o nome do emissor como "Self" na política de certificado, conforme mostrado no trecho a seguir da política de certificado.

"issuer": {  
       "name": "Self"  
    }

Se o nome do emissor não for especificado, o nome do emissor será definido como "Desconhecido". Quando o emissor é "Desconhecido", o proprietário do certificado terá que obter manualmente um certificado x509 do emissor de sua escolha e, em seguida, mesclar o certificado x509 público com o objeto pendente do certificado do cofre de chaves para concluir a criação do certificado.

"issuer": {  
       "name": "Unknown"  
    }

Fornecedores de CA parceiros

A criação do certificado pode ser concluída manualmente ou usando um emissor "Self". O Key Vault também faz parcerias com determinados provedores emissores para simplificar a criação de certificados. Os seguintes tipos de certificados podem ser encomendados para o cofre de chaves com esses provedores emissores parceiros.

Provider Tipo de certificado Configuração
DigiCert Key Vault oferece certificados SSL OV ou EV com DigiCert Guia de Integração
GlobalSign O Key Vault oferece certificados SSL OV ou EV com a GlobalSign Guia de Integração

Um emissor de certificado é uma entidade representada no Azure Key Vault (KV) como um recurso CertificateIssuer. É utilizado para fornecer informações sobre a origem de um certificado KV; Nome do emissor, provedor, credenciais e outros detalhes administrativos.

Quando um pedido é feito com o provedor emissor, ele pode honrar ou substituir as extensões de certificado x509 e o período de validade do certificado com base no tipo de certificado.

Autorização: Requer os certificados/permissão de criação.

Consulte Também