Интеграция Key Vault с интегрированными центрами сертификации

Azure Key Vault позволяет легко подготавливать, администрировать и развертывать цифровые сертификаты для сети и поддерживать безопасный обмен данными между приложениями. Цифровой сертификат представляет собой электронные учетные данные для подтверждения личности в электронной транзакции.

Azure Key Vault имеет доверенные партнерские отношения со следующими центрами сертификации:

Пользователи Azure Key Vault могут создавать сертификаты DigiCert и GlobalSign непосредственно в хранилищах ключей. Партнерство Key Vault обеспечивает сквозное управление жизненным циклом сертификатов, выпущенных DigiCert.

Общую информацию о сертификатах см. в статье Сведения о сертификатах Azure Key Vault.

Если у вас еще нет подписки Azure, создайте бесплатную учетную запись, прежде чем начинать работу.

Предварительные требования

Для выполнения процедур из этой статьи необходимо следующее.

Подготовка к работе

DigiCert;

Убедитесь, что у вас есть следующие сведения об учетной записи DigiCert CertCentral:

  • идентификатор учетной записи CertCentral;
  • идентификатор организации;
  • Ключ API
  • Идентификатор учетной записи
  • Пароль учетной записи

GlobalSign;

Убедитесь, что у вас есть следующие сведения из учетной записи GlobalSign:

  • Идентификатор учетной записи
  • Пароль учетной записи
  • Имя администратора
  • Фамилия администратора
  • Электронная почта администратора
  • Номер телефона администратора

Добавление центра сертификации в Key Vault

Завершив сбор данных из учетной записи DigiCert CertCentral, добавьте DigiCert в список центров сертификации в хранилище ключей.

Портал Azure (DigiCert)

  1. Чтобы добавить центр сертификации DigiCert, перейдите к хранилищу ключей, в которое нужно его добавить.

  2. На странице свойств Key Vault выберите Сертификаты.

  3. Выберите вкладку "Центры сертификации ": снимок экрана, на котором показана вкладка

  4. Выберите "Добавить: снимок экрана

  5. В разделе Создание центра сертификации введите следующие значения.

    • Имя: понятное имя издателя. Например, DigiCertCA.
    • Поставщик: DigiCert.
    • Идентификатор учетной записи: идентификатор учетной записи DigiCert CertCentral.
    • Пароль учетной записи: ключ API, созданный для учетной записи DigiCert CertCentral.
    • Идентификатор организации: идентификатор организации в учетной записи DigiCert CertCentral.
  6. Щелкните Создать.

Теперь DigicertCA добавлен в список центров сертификации.

Портал Azure (GlobalSign)

  1. Чтобы добавить центр сертификации GlobalSign, перейдите в хранилище ключей, в которое вы хотите добавить его.

  2. На странице свойств Key Vault выберите Сертификаты.

  3. Выберите вкладку "Центры сертификации ": снимок экрана, на котором показана вкладка

  4. Нажмите кнопку "Добавить". Снимок экрана: кнопка

  5. В разделе Создание центра сертификации введите следующие значения.

    • Имя: понятное имя издателя. Например, GlobalSignCA.
    • Поставщик: GlobalSign.
    • Идентификатор учетной записи: ваш идентификатор учетной записи GlobalSign.
    • Пароль учетной записи: пароль учетной записи GlobalSign.
    • Имя администратора: имя администратора учетной записи Global Sign.
    • Фамилия администратора: фамилия администратора учетной записи Global Sign.
    • Электронная почта администратора: адрес электронной почты администратора учетной записи Global Sign.
    • Номер телефона администратора: номер телефона для связи с администратором учетной записи Global Sign.
  6. Нажмите кнопку создания.

Теперь GlobalSignCA добавлен в список центров сертификации.

Azure PowerShell

Azure PowerShell можно использовать для создания ресурсов Azure и управления ими с помощью скриптов и команд. В Azure есть интерактивная оболочка Azure Cloud Shell, с которой можно работать на портале Azure через браузер.

Если вы решили установить и использовать PowerShell локально, для выполнения описанных здесь процедур вам потребуется модуль Azure AZ PowerShell 1.0.0 или более поздней версии. Введите $PSVersionTable.PSVersion, чтобы определить версию. Если вам необходимо выполнить обновление, ознакомьтесь со статьей, посвященной установке модуля Azure AZ PowerShell. При использовании PowerShell на локальном компьютере также нужно запустить Login-AzAccount, чтобы создать подключение к Azure.

Login-AzAccount
  1. Создайте группу ресурсов Azure с помощью командлета New-AzResourceGroup. Группа ресурсов — это логический контейнер, в котором происходит развертывание ресурсов Azure и управление ими.

    New-AzResourceGroup -Name ContosoResourceGroup -Location EastUS
    
  2. Создайте хранилище ключей с уникальным именем. Здесь Contoso-Vaultname — это имя хранилища ключей.

    • Имя хранилища: Contoso-Vaultname
    • Имя группы ресурсов: ContosoResourceGroup
    • РасположениеEastUS.
    New-AzKeyVault -Name 'Contoso-Vaultname' -ResourceGroupName 'ContosoResourceGroup' -Location 'EastUS'
    
  3. Определите переменные для следующих значений из учетной записи DigiCert CertCentral.

    • идентификатор учетной записи;
    • идентификатор организации;
    • Ключ API.
    $accountId = "myDigiCertCertCentralAccountID"
    $org = New-AzKeyVaultCertificateOrganizationDetail -Id OrganizationIDfromDigiCertAccount
    $secureApiKey = ConvertTo-SecureString DigiCertCertCentralAPIKey -AsPlainText –Force
    
  4. Настройте издателя. Это действие добавляет Digicert в качестве центра сертификации в хранилище ключей. Дополнительные сведения о параметрах см. здесь.

    Set-AzKeyVaultCertificateIssuer -VaultName "Contoso-Vaultname" -Name "TestIssuer01" -IssuerProvider DigiCert -AccountId $accountId -ApiKey $secureApiKey -OrganizationDetails $org -PassThru
    
  5. Настройте политику для сертификата и реализуйте выдачу сертификата DigiCert непосредственно из Key Vault.

    $Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "TestIssuer01" -ValidityInMonths 12 -RenewAtNumberOfDaysBeforeExpiry 60
    Add-AzKeyVaultCertificate -VaultName "Contoso-Vaultname" -Name "ExampleCertificate" -CertificatePolicy $Policy
    

Теперь сертификат выдается центром сертификации DigiCert в указанном хранилище ключей.

Диагностика

Если выданный сертификат имеет состояние disabled (отключено) на портале Azure, изучите инструкции по работе с сертификатами, чтобы просмотреть сообщение DigiCert об ошибке, связанной с этим сертификатом.

Снимок экрана: вкладка

Сообщение об ошибке: "Выполните объединение, чтобы завершить этот запрос на сертификат".

Объедините CSR, подписанные центром сертификации, для завершения запроса. Сведения об объединении CSR см. в статье Создание и объединение CSR.

Дополнительные сведения о работе с сертификатами см. в справочнике по работе с Azure Key Vault с помощью REST API. Сведения об установке разрешений см. в статьях Хранилища. Создание или обновление и Хранилища. Обновление политики доступа.

Дальнейшие действия