Интеграция Key Vault с интегрированными центрами сертификации

Azure Key Vault позволяет легко подготавливать, администрировать и развертывать цифровые сертификаты для вашей сети и обеспечивать безопасное взаимодействие для приложений. Цифровой сертификат представляет собой электронные учетные данные для подтверждения личности в электронной транзакции.

Azure Key Vault имеет надежное партнерство со следующими центрами сертификации:

• DigiCert
• GlobalSign

Azure Key Vault пользователи могут создавать сертификаты DigiCert/GlobalSign непосредственно из хранилищ ключей. партнерство Key Vault обеспечивает комплексное управление жизненным циклом сертификатов для сертификатов, выданных DigiCert.

Дополнительные сведения о сертификатах см. в разделе Azure Key Vault сертификаты.

Если у вас нет подписки Azure, создайте учетную запись free перед началом работы.

Требования

Для выполнения процедур из этой статьи необходимо следующее.

• Хранилище ключей. Вы можете использовать существующее хранилище ключей или создать его, выполнив действия, описанные в одном из следующих кратких руководств.
  • Создание хранилища ключей с помощью Azure CLI
  • Создание хранилища ключей с помощью Azure PowerShell
  • Создание хранилища ключей с помощью портала Azure
• Активированная учетная запись DigiCert CertCentral. Зарегистрируйтесь для получения учетной записи CertCentral.
• Разрешения уровня администратора для учетных записей.

Прежде чем начать

DigiCert

Убедитесь, что у вас есть следующие сведения об учетной записи DigiCert CertCentral:

• идентификатор учетной записи CertCentral;
• Идентификатор организации
• Ключ API
• Код счета
• Пароль учетной записи

GlobalSign

Убедитесь, что у вас есть следующие сведения из учетной записи GlobalSign:

• Код счета
• Пароль учетной записи
• Имя администратора
• Фамилия администратора
• Электронная почта администратора
• Номер телефона администратора

Добавление центра сертификации в Key Vault

Завершив сбор данных из учетной записи DigiCert CertCentral, добавьте DigiCert в список центров сертификации в хранилище ключей.

портал Azure (DigiCert)

1. Чтобы добавить центр сертификации DigiCert, перейдите к хранилищу ключей, в которое вы хотите его добавить.

2. На странице свойств Key Vault выберите Certificates.

3. Перейдите на вкладку "Центры сертификации":

4. Нажмите кнопку "Добавить":

5. В разделе Создание центра сертификации введите следующие значения.

   • Имя: идентифицируемое имя издателя. Например, DigiCertCA.
   • Поставщик: DigiCert.
   • Идентификатор учетной записи: идентификатор учетной записи DigiCert CertCentral.
   • Пароль учетной записи: ключ API, созданный для учетной записи DigiCert CertCentral.
   • Идентификатор организации: идентификатор организации в учетной записи DigiCert CertCentral.

6. Нажмите кнопку создания.

DigiCertCA теперь находится в списке центров сертификации.

портал Azure (GlobalSign)

1. Чтобы добавить центр сертификации GlobalSign, перейдите в хранилище ключей, в которое вы хотите добавить его.

2. На странице свойств Key Vault выберите Certificates.

3. Перейдите на вкладку "Центры сертификации":

4. Нажмите кнопку "Добавить":

5. В разделе Создание центра сертификации введите следующие значения.

   • Имя: идентифицируемое имя издателя. Например, GlobalSignCA.
   • Поставщик: GlobalSign.
   • Идентификатор учетной записи: ваш идентификатор учетной записи GlobalSign.
   • Пароль учетной записи: пароль учетной записи GlobalSign.
   • Имя администратора: имя администратора учетной записи Global Sign.
   • Фамилия администратора: фамилия администратора учетной записи Global Sign.
   • Электронная почта администратора: адрес электронной почты администратора учетной записи Global Sign.
   • Номер телефона администратора: номер телефона для связи с администратором учетной записи Global Sign.

6. Нажмите кнопку создания.

Теперь GlobalSignCA добавлен в список центров сертификации.

Azure PowerShell

С помощью Azure PowerShell можно создавать ресурсы Azure и управлять ими с помощью команд или скриптов. Azure размещает Azure Cloud Shell интерактивную среду оболочки, которую можно использовать через портал Azure в браузере.

• Если вы решили использовать Azure PowerShell локально:
  • Установите последнюю версию модуля Az PowerShell.
  • Подключитесь к учетной записи Azure с помощью командлета Connect-AzAccount.
• Если вы решили использовать Azure Cloud Shell:
  • Дополнительные сведения см. в разделе Overview Azure Cloud Shell.

1. Создайте группу ресурсов Azure с помощью New-AzResourceGroup. Группа ресурсов — это логический контейнер, в котором развертываются и управляются ресурсы Azure.

   New-AzResourceGroup -Name "<resource-group>" -Location "<location>"
   

2. Создайте хранилище ключей с уникальным именем.

   • Имя хранилища: уникальное имя хранилища
   • Имя группы ресурсов: группа ресурсов из шага 1
   • Расположение: предпочитаемое расположение

   New-AzKeyVault -Name "<vault-name>" -ResourceGroupName "<resource-group>" -Location "<location>" -EnableRbacAuthorization $true -EnablePurgeProtection
   

3. Определите переменные для следующих значений из учетной записи DigiCert CertCentral.

   • идентификатор учетной записи;
   • Идентификатор организации
   • Ключ API

   $accountId = "myDigiCertCertCentralAccountID"
   $org = New-AzKeyVaultCertificateOrganizationDetail -Id OrganizationIDfromDigiCertAccount
   $secureApiKey = ConvertTo-SecureString DigiCertCertCentralAPIKey -AsPlainText –Force
   

4. Настройте издателя. Это действие добавляет Digicert в качестве центра сертификации в хранилище ключей. Дополнительные сведения о параметрах см. здесь.

   Set-AzKeyVaultCertificateIssuer -VaultName "<vault-name>" -Name "TestIssuer01" -IssuerProvider DigiCert -AccountId $accountId -ApiKey $secureApiKey -OrganizationDetails $org -PassThru
   

5. Задайте политику для сертификата и выдачи сертификата из DigiCert непосредственно в Key Vault:

   $Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=<domain-name>" -IssuerName "TestIssuer01" -ValidityInMonths 12 -RenewAtNumberOfDaysBeforeExpiry 60
   Add-AzKeyVaultCertificate -VaultName "<vault-name>" -Name "ExampleCertificate" -CertificatePolicy $Policy
   

Теперь сертификат выдается центром сертификации DigiCert в указанном хранилище ключей.

Устранение неполадок

Если сертификат выдан в отключенном состоянии на портале Azure, просмотрите операцию сертификата, чтобы просмотреть сообщение об ошибке DigiCert для сертификата:

Сообщение об ошибке: "Выполните объединение, чтобы завершить этот запрос на сертификат".

Объедините CSR, подписанные центром сертификации, для завершения запроса. Сведения об объединении CSR см. в статье Создание и объединение CSR.

Дополнительные сведения см. в разделе Операции с сертификатами в справочнике по REST API Key Vault. Сведения об установке разрешений см. в статьях Хранилища. Создание или обновление и Хранилища. Обновление политики доступа.

Следующие шаги

• Часто задаваемые вопросы: интеграция Key Vault с интегрированными удостоверяющими центрами
• Аутентификация, запросы и ответы
• руководство разработчика Key Vault