Создание и слияние запроса на подпись сертификата в Key Vault

Azure Key Vault поддерживает хранение цифровых сертификатов, выданных любым центром сертификации (ЦС). Он поддерживает создание запроса на подписывание сертификата (CSR) с помощью пары закрытого и открытого ключей. CSR может быть подписан любым ЦС (внутренним ЦС предприятия или внешним общедоступным ЦС). Запрос на подпись сертификата — это сообщение, которое отправляется в центр сертификации, чтобы запросить цифровой сертификат.

Общую информацию о сертификатах см. в статье Сведения о сертификатах Azure Key Vault.

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Добавление в Key Vault сертификата, выданного ЦС со статусом партнера

Key Vault пользуется услугами следующих центров сертификации для упрощения процесса создания сертификатов.

Provider	Тип сертификата	Настройка конфигурации
DigiCert	Key Vault предоставляет OV или EV SSL-сертификаты в DigiCert	Руководство по интеграции
GlobalSign	Key Vault предоставляет OV или EV SSL-сертификаты в GlobalSign	Руководство по интеграции

Добавление в Key Vault сертификата, выданного ЦС без статуса партнера

Выполните приведенные далее действия, чтобы добавить сертификат из ЦС без статуса партнера Key Vault (например, GoDaddy не является доверенным ЦС для Key Vault).

Портал

1. Перейдите в хранилище ключей, в которое необходимо добавить сертификат.

2. На странице свойств выберите Сертификаты.

3. Откройте вкладку Создать или импортировать.

4. На экране Создание сертификата выберите следующие значения:

   • Метод создания сертификата: Создание.
   • Имя сертификата: ContosoManualCSRCertificate.
   • Тип центра сертификации (ЦС): Сертификат, выданный неинтегрированным ЦС.
   • Тема: "CN=www.contosoHRApp.com".

   Примечание.

   Если вы используете относительное различающееся имя (RDN), содержащее запятую (,) в значении, заключите значение, содержащее специальный символ, в двойные кавычки.

   Пример записи в поле Тема: DC=Contoso,OU="Docs,Contoso",CN=www.contosoHRApp.com.

   В этом примере RDN OU содержит значение с запятой в имени. Выходными данными для OU является Docs, Contoso.

5. При необходимости выберите другие значения, а затем щелкните Создать, чтобы добавить сертификат в список Сертификаты.

   

6. В списке Сертификаты выберите новый сертификат. Текущее состояние сертификата — отключено, так как он еще не выдан ЦС.

7. На вкладке Операции с сертификатом выберите Скачать CSR.

   

8. Отправьте в ЦС запрос на подписывание файла CSR (.csr).

9. После подписания запроса выберите Выполнить слияние подписанного запроса на вкладке Операции с сертификатом, чтобы добавить подписанный сертификат в Key Vault.

Теперь для запроса на сертификат успешно выполнено слияние.

PowerShell

1. Создайте политику сертификата. Так как у ЦС, выбранного в этом сценарии, нет статуса партнера, поле Имя издателя имеет значение Неизвестно, а Key Vault не регистрирует и не обновляет сертификат.

   $policy = New-AzKeyVaultCertificatePolicy -SubjectName "CN=www.contosoHRApp.com" -ValidityInMonths 1  -IssuerName Unknown
   

   Примечание.

   Если вы используете относительное различающееся имя (RDN), содержащее запятую (,) в значении, используйте одинарные кавычки для полного значения или набора значений. Кроме того, заключите значение, содержащее специальный символ, в двойные кавычки.

   Пример записи в поле Название темы: $policy = New-AzKeyVaultCertificatePolicy -SubjectName 'OU="Docs,Contoso",DC=Contoso,CN=www.contosoHRApp.com' -ValidityInMonths 1 -IssuerName Unknown. В этом примере значение OU можно растолковать как Docs, Contoso. Этот формат используется для всех значений, содержащих запятую.

   В этом примере RDN OU содержит значение с запятой в имени. Выходными данными для OU является Docs, Contoso.

2. Создайте CSR.

   $csr = Add-AzKeyVaultCertificate -VaultName ContosoKV -Name ContosoManualCSRCertificate -CertificatePolicy $policy
   $csr.CertificateSigningRequest
   

3. Отправьте в ЦС запрос на подписывание файла CSR. $csr.CertificateSigningRequest — CSR для сертификата в кодировке Base64. Вы можете передать этот большой двоичный объект на веб-сайт издателя, принимающий запросы на сертификаты. Этот шаг зависит от ЦС. Изучите соответствующие рекомендации по использованию ЦС, чтобы узнать больше. Кроме того, вы можете использовать такие средства, как certreq или openssl, чтобы подписать CSR и завершить создание сертификата.

4. Выполните слияние подписанного запроса в Key Vault. После подписания запроса на сертификат его можно объединить с исходной парой закрытого и открытого ключей, созданной в Azure Key Vault.

   Import-AzKeyVaultCertificate -VaultName ContosoKV -Name ContosoManualCSRCertificate -FilePath C:\test\OutputCertificateFile.cer
   

Теперь для запроса на сертификат успешно выполнено слияние.

Добавление дополнительных сведений в CSR-файл

Если вы хотите добавить дополнительные сведения при создании CSR, определите их в поле Имя темы. Возможно, вы захотите добавить следующие сведения:

• Страна/регион
• город или расположение;
• Область, республика, край, округ
• Организация
• Подразделение

Пример

SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US"

Примечание.

Если вы запрашиваете сертификат проверки домена с дополнительными сведениями, ЦС может отклонить запрос, если проверить все сведения в запросе невозможно. Дополнительные сведения могут быть более подходящими, если вы запрашиваете сертификат проверки организации.

Вопросы и ответы

• Как отслеживать CSR или управлять им?

  См. статью Мониторинг и администрирование процесса создания сертификатов.

• Если отображается сообщение Error type 'The public key of the end-entity certificate in the specified X.509 certificate content does not match the public part of the specified private key. Please check if certificate is valid' (Тип ошибки "Открытый ключ сертификата конечного субъекта в указанном содержимом сертификата X.509 не соответствует открытой части указанного закрытого ключа. Проверьте, действителен ли сертификат")?

  Эта ошибка возникает, если не выполняется слияние подписанного CSR с тем же инициированным запросом CSR. Каждый создаваемый CSR имеет закрытый ключ, который должен соответствовать ключу запроса при слиянии подписанного запроса.

• При слиянии CSR объединяется ли вся цепочка?

  Да, вся цепочка будет объединена, если пользователь предоставит файл .p7b для слияния.

• Что делать, если сертификат выдается в отключенном состоянии на портале Azure?

  Просмотрите сообщение об ошибке для такого сертификата на вкладке Операции с сертификатом.

• Что делать, если возникает ошибка типа The subject name provided is not a valid X500 name. (Указанное имя субъекта не является допустимым именем X500.)?

  Эта ошибка может возникать, если поле Название темы содержит специальные знаки. Дополнительные сведения см. на портале Azure и в инструкциях PowerShell.

• Тип ошибки The CSR used to get your certificate has already been used. Please try to generate a new certificate with a new CSR (Файл CSR, используемый для получения сертификата, уже используется. Попытайтесь создать новый сертификат с новым файлом CSR). Перейдите в раздел "Расширенная политика" сертификата и проверьте, отключен ли параметр "Использовать ключ повторно при возобновлении действия".

---

Следующие шаги

• Аутентификация, запросы и ответы
• Руководство разработчика Azure Key Vault
• Справочник по REST API для Azure Key Vault
• Хранилища: создание или обновление
• Хранилища — политика доступа для обновления