Integrera Key Vault med integrerade certifikatutfärdare
Med Azure Key Vault kan du enkelt etablera, hantera och distribuera digitala certifikat för ditt nätverk och aktivera säker kommunikation för program. Ett digitalt certifikat är en elektronisk autentiseringsuppgift som upprättar identitetsbevis i en elektronisk transaktion.
Azure Key Vault har ett betrott samarbete med följande certifikatutfärdare:
Azure Key Vault användare kan generera DigiCert-/GlobalSign-certifikat direkt från sina nyckelvalv. Key Vault partnerskap säkerställer livscykelhantering från slutpunkt till slutpunkt för certifikat som utfärdats av DigiCert.
Mer allmän information om certifikat finns i Azure Key Vault-certifikat.
Om du inte har en Azure-prenumeration kan du skapa ett kostnadsfritt konto innan du börjar.
Förutsättningar
För att slutföra procedurerna i den här artikeln måste du ha:
- Ett nyckelvalv. Du kan använda ett befintligt nyckelvalv eller skapa ett genom att slutföra stegen i någon av dessa snabbstarter:
- Ett aktiverat DigiCert CertCentral-konto. Registrera dig för ditt CertCentral-konto.
- Behörigheter på administratörsnivå i dina konton.
Innan du börjar
DigiCert
Kontrollera att du har följande information från ditt DigiCert CertCentral-konto:
- Konto-ID för CertCentral
- Organisations-id
- API-nyckel
- Konto-ID
- Kontolösenord
GlobalSign
Kontrollera att du har följande information från ditt Global Sign-konto:
- Konto-ID
- Kontolösenord
- Administratörens förnamn
- Administratörens efternamn
- E-post till administratör
- Telefonnummer till administratör
Lägg till certifikatutfärdare i Key Vault
När du har samlat in föregående information från ditt DigiCert CertCentral-konto kan du lägga till DigiCert i listan över certifikatutfärdare i nyckelvalvet.
Azure Portal (DigiCert)
Om du vill lägga till DigiCert-certifikatutfärdare går du till det nyckelvalv som du vill lägga till den i.
På egenskapssidan Key Vault väljer du Certifikat.
Välj fliken Certifikatutfärdare :
Välj Lägg till:
Under Skapa en certifikatutfärdare anger du följande värden:
- Namn: Ett identifierbart utfärdarnamn. Till exempel DigiCertCA.
- Provider: DigiCert.
- Konto-ID: Ditt DigiCert CertCentral-konto-ID.
- Kontolösenord: DEN API-nyckel som du genererade i ditt DigiCert CertCentral-konto.
- Organisations-ID: Organisations-ID:t från ditt DigiCert CertCentral-konto.
Välj Skapa.
DigicertCA finns nu i listan över certifikatutfärdare.
Azure Portal (GlobalSign)
Om du vill lägga till GlobalSign-certifikatutfärdare går du till det nyckelvalv som du vill lägga till den i.
På egenskapssidan Key Vault väljer du Certifikat.
Välj fliken Certifikatutfärdare :
Välj Lägg till:
Under Skapa en certifikatutfärdare anger du följande värden:
- Namn: Ett identifierbart utfärdarnamn. Till exempel GlobalSignCA.
- Provider: GlobalSign.
- Konto-ID: Ditt GlobalSign-konto-ID.
- Kontolösenord: Ditt GlobalSign-kontolösenord.
- Administratörens förnamn: Förnamnet på administratören för det globala signeringskontot.
- Efternamn för administratör: Efternamnet på administratören för det globala signeringskontot.
- E-post till administratör: E-postadressen till administratören för det globala signeringskontot.
- Administratörstelefonnummer: Telefonnumret till administratören för det globala signeringskontot.
Välj Skapa.
GlobalSignCA finns nu i listan över certifikatutfärdare.
Azure PowerShell
Du kan använda Azure PowerShell för att skapa och hantera Azure-resurser med hjälp av kommandon eller skript. Azure är värd för Azure Cloud Shell, en interaktiv gränssnittsmiljö som du kan använda via Azure Portal i en webbläsare.
Om du väljer att installera och använda PowerShell lokalt behöver du Azure AZ PowerShell-modul 1.0.0 eller senare för att slutföra procedurerna här. Ange $PSVersionTable.PSVersion
för att fastställa versionen. Om du behöver uppgradera kan du läsa Installera Azure AZ PowerShell-modulen. Om du kör PowerShell lokalt måste du också köra Connect-AzAccount
för att skapa en anslutning till Azure:
Connect-AzAccount
Skapa en Azure-resursgrupp med hjälp av New-AzResourceGroup. En resursgrupp är en logisk container där Azure-resurser distribueras och hanteras.
New-AzResourceGroup -Name ContosoResourceGroup -Location EastUS
Skapa ett nyckelvalv som har ett unikt namn.
Contoso-Vaultname
Här är namnet på nyckelvalvet.- Valvnamn:
Contoso-Vaultname
- Namn på resursgrupp:
ContosoResourceGroup
- Plats:
EastUS
New-AzKeyVault -Name 'Contoso-Vaultname' -ResourceGroupName 'ContosoResourceGroup' -Location 'EastUS'
- Valvnamn:
Definiera variabler för följande värden från ditt DigiCert CertCentral-konto:
- Konto-ID
- Organisations-id
- API-nyckel
$accountId = "myDigiCertCertCentralAccountID" $org = New-AzKeyVaultCertificateOrganizationDetail -Id OrganizationIDfromDigiCertAccount $secureApiKey = ConvertTo-SecureString DigiCertCertCentralAPIKey -AsPlainText –Force
Ange utfärdaren. Om du gör det läggs Digicert till som certifikatutfärdare i nyckelvalvet. Läs mer om parametrarna.
Set-AzKeyVaultCertificateIssuer -VaultName "Contoso-Vaultname" -Name "TestIssuer01" -IssuerProvider DigiCert -AccountId $accountId -ApiKey $secureApiKey -OrganizationDetails $org -PassThru
Ange principen för certifikatet och utfärda certifikatet från DigiCert direkt i Key Vault:
$Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "TestIssuer01" -ValidityInMonths 12 -RenewAtNumberOfDaysBeforeExpiry 60 Add-AzKeyVaultCertificate -VaultName "Contoso-Vaultname" -Name "ExampleCertificate" -CertificatePolicy $Policy
Certifikatet utfärdas nu av DigiCert-certifikatutfärdare i det angivna nyckelvalvet.
Felsöka
Om certifikatet som utfärdats har inaktiverats i Azure Portal visar du certifikatåtgärden för att granska DigiCert-felmeddelandet för certifikatet:
Felmeddelande: "Utför en sammanslagning för att slutföra den här certifikatbegäran."
Sammanfoga csr-begäran som signerats av certifikatutfärdaren för att slutföra begäran. Information om hur du sammanfogar en CSR finns i Skapa och sammanfoga en CSR.
Mer information finns i Certifikatåtgärder i Key Vault REST API-referens. Information om hur du upprättar behörigheter finns i Valv – Skapa eller uppdatera och Valv – Uppdatera åtkomstprincip.
Nästa steg
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för