Создание и слияние запроса на подпись сертификата в Key Vault

Azure Key Vault поддерживает хранение цифровых сертификатов, выданных любым центром сертификации (ЦС). Он поддерживает создание запроса на подписывание сертификата (CSR) с помощью пары закрытого и открытого ключей. CSR может быть подписан любым ЦС (внутренним ЦС предприятия или внешним общедоступным ЦС). Запрос на подпись сертификата — это сообщение, которое отправляется в центр сертификации, чтобы запросить цифровой сертификат.

Общую информацию о сертификатах см. в статье Сведения о сертификатах Azure Key Vault.

Если у вас нет подписки на Azure, создайте бесплатную учетную запись перед началом.

Добавление в Key Vault сертификата, выданного ЦС со статусом партнера

Key Vault пользуется услугами следующих центров сертификации для упрощения процесса создания сертификатов.

Поставщик	Тип сертификата	Настройка конфигурации
DigiCert	Key Vault предоставляет OV или EV SSL-сертификаты в DigiCert	Руководство по интеграции
GlobalSign	Key Vault предоставляет OV или EV SSL-сертификаты в GlobalSign	Руководство по интеграции

Добавьте сертификаты в Key Vault, выданные неаффилированными УЦ

Выполните следующие шаги, чтобы добавить сертификат из центров сертификации, не являющихся партнерами Key Vault. (например, GoDaddy не является доверенным ЦС для Key Vault).

Портал

1. Перейдите в хранилище ключей, в которое необходимо добавить сертификат.

2. На странице свойств выберите Сертификаты.

3. Откройте вкладку Создать или импортировать.

4. На экране Создание сертификата выберите следующие значения:

   • Метод создания сертификата: Создание.
   • Имя сертификата: ContosoManualCSRCertificate.
   • Тип центра сертификации (ЦС): Сертификат, выданный неинтегрированным ЦС.
   • Тема:"CN=www.contosoHRApp.com".

   Замечание

   Если вы используете относительное различающееся имя (RDN), содержащее запятую (,) в значении, заключите значение, содержащее специальный символ, в двойные кавычки.

   Пример записи в поле Тема: DC=Contoso,OU="Docs,Contoso",CN=www.contosoHRApp.com.

   В этом примере RDN OU содержит значение с запятой в имени. Выходными данными для OU является Docs, Contoso.

5. При необходимости выберите другие значения, а затем щелкните Создать, чтобы добавить сертификат в список Сертификаты.

   

6. В списке Сертификаты выберите новый сертификат. Текущее состояние сертификата — отключено, так как он еще не выдан ЦС.

7. На вкладке Операции с сертификатом выберите Скачать CSR.

   

8. Поручите УЦ подписать CSR (.csr).

9. После подписания запроса выберите Выполнить слияние подписанного запроса на вкладке Операции с сертификатом, чтобы добавить подписанный сертификат в Key Vault.

Запрос на сертификат успешно объединён.

PowerShell

1. Создайте политику сертификата. Так как у ЦС, выбранного в этом сценарии, нет статуса партнера, поле Имя издателя имеет значение Неизвестно, а Key Vault не регистрирует и не обновляет сертификат.

   $policy = New-AzKeyVaultCertificatePolicy -SubjectName "CN=www.contosoHRApp.com" -ValidityInMonths 1  -IssuerName Unknown
   

   Замечание

   Если вы используете относительное различающееся имя (RDN), содержащее запятую (,) в значении, используйте одинарные кавычки для полного значения или набора значений. Кроме того, заключите значение, содержащее специальный символ, в двойные кавычки.

   Пример записи в поле Название темы: $policy = New-AzKeyVaultCertificatePolicy -SubjectName 'OU="Docs,Contoso",DC=Contoso,CN=www.contosoHRApp.com' -ValidityInMonths 1 -IssuerName Unknown. В этом примере значение OU можно растолковать как Docs, Contoso. Этот формат используется для всех значений, содержащих запятую.

   В этом примере RDN OU содержит значение с запятой в имени. Выходными данными для OU является Docs, Contoso.

2. Создайте CSR.

   $csr = Add-AzKeyVaultCertificate -VaultName ContosoKV -Name ContosoManualCSRCertificate -CertificatePolicy $policy
   $csr.CertificateSigningRequest
   

3. Поручите УЦ подписать CSR. $csr.CertificateSigningRequest — это базовый закодированный CSR для сертификата. Вы можете передать этот большой двоичный объект на веб-сайт издателя, принимающий запросы на сертификаты. Этот шаг варьируется в зависимости от ЦС. Ознакомьтесь с руководящими принципами вашего ЦСА по выполнению этого шага. Кроме того, вы можете использовать такие средства, как certreq или openssl, чтобы подписать CSR и завершить создание сертификата.

4. Объедините подписанный запрос в Key Vault. После подписания запроса на сертификат его можно объединить с исходной парой закрытого и открытого ключей, созданной в Azure Key Vault.

   Import-AzKeyVaultCertificate -VaultName ContosoKV -Name ContosoManualCSRCertificate -FilePath C:\test\OutputCertificateFile.cer
   

Запрос на сертификат успешно объединён.

Добавление дополнительных сведений в CSR-файл

Если вы хотите добавить дополнительные сведения при создании CSR, определите их в поле Имя темы. Возможно, вы захотите добавить следующие сведения:

• Страна или регион
• город или расположение;
• Область, республика, край, округ
• Организация
• Подразделение

Пример

SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US"

Замечание

Если вы запрашиваете сертификат проверки домена с дополнительными сведениями, ЦС может отклонить запрос, если проверить все сведения в запросе невозможно. Дополнительные сведения могут быть более подходящими, если вы запрашиваете сертификат проверки организации.

Вопросы и ответы

• Как отслеживать CSR или управлять им?

  См. статью Мониторинг и администрирование процесса создания сертификатов.

• Если отображается сообщение Error type 'The public key of the end-entity certificate in the specified X.509 certificate content does not match the public part of the specified private key. Please check if certificate is valid' (Тип ошибки "Открытый ключ сертификата конечного субъекта в указанном содержимом сертификата X.509 не соответствует открытой части указанного закрытого ключа. Проверьте, действителен ли сертификат")?

  Эта ошибка возникает, если вы не совмещаете подписанный CSR с тем же инициированным вами запросом CSR. Каждый создаваемый CSR имеет закрытый ключ, который должен соответствовать ключу подписанного запроса при его объединении.

• При слиянии CSR объединяется ли вся цепочка?

  Да, вся цепочка будет объединена, если пользователь предоставит файл .p7b для слияния.

• Что делать, если сертификат выдается в отключенном состоянии на портале Azure?

  Просмотрите сообщение об ошибке для такого сертификата на вкладке Операции с сертификатом.

• Что делать, если возникает ошибка типа The subject name provided is not a valid X500 name. (Указанное имя субъекта не является допустимым именем X500.)?

  Эта ошибка может возникать, если поле Название темы содержит специальные знаки. Дополнительные сведения см. на портале Azure и в инструкциях PowerShell.

• Тип ошибки The CSR used to get your certificate has already been used. Please try to generate a new certificate with a new CSR (Файл CSR, используемый для получения сертификата, уже используется. Попытайтесь создать новый сертификат с новым файлом CSR). Перейдите в раздел "Расширенная политика" сертификата и проверьте, отключен ли параметр "Использовать ключ повторно при возобновлении действия".

Создание сложных имен субъектов сертификатов с помощью ИИ

GitHub Copilot поможет вам создать правильный формат SubjectName для запросов на подписывание сертификатов, особенно при работе со сложными организационными структурами или специальными символами.

I need to create a certificate signing request in Azure Key Vault with a complex subject name. Help me create the PowerShell command with these requirements:
- Common Name: api.contoso.com
- Organization: Contoso, Ltd. (note the comma in the name)
- Organizational Unit: Cloud Services
- City: New York
- State: NY
- Country: US
Show me how to properly escape the comma in the organization name, and provide both the certificate policy and the Add-AzKeyVaultCertificate command.

GitHub Copilot работает на ИИ, поэтому возможны неожиданности и ошибки. Дополнительные сведения см. в Часто задаваемые вопросы по Copilot.

---

Дальнейшие шаги

• Аутентификация, запросы и ответы
• Руководство разработчика Key Vault
• Справочник по REST API для Azure Key Vault
• Хранилища: создание или обновление
• Хранилища — обновление политики доступа