Skapa och sammanfoga en begäran om certifikatsignering i Key Vault

Azure Key Vault stöder lagring av digitala certifikat som utfärdats av en certifikatutfärdare (CA). Den har stöd för att skapa en begäran om certifikatsignering (CSR) med ett privat/offentligt nyckelpar. CSR kan signeras av valfri ca (en intern företags-CA eller en extern offentlig CA). En begäran om certifikatsignering (CSR) är ett meddelande som du skickar till en certifikatutfärdare för att begära ett digitalt certifikat.

Mer allmän information om certifikat finns i Azure Key Vault-certifikat.

Om du inte har någon Azure-prenumeration kan du skapa ett kostnadsfritt konto innan du börjar.

Lägga till certifikat i Key Vault som utfärdats av partnerkopplade certifikatutfärdare

Key Vault partner med följande certifikatutfärdare för att förenkla skapandet av certifikat.

Leverantör	Certifikattyp	Konfigurationskonfiguration
DigiCert	Key Vault erbjuder OV- eller EV SSL-certifikat med DigiCert	Integrationsguide
GlobalSign	Key Vault erbjuder OV- eller EV SSL-certifikat med GlobalSign	Integrationsguide

Lägga till certifikat i Key Vault som utfärdats av certifikatutfärdare som inte är partner

Följ de här stegen för att lägga till ett certifikat från certifikatutfärdare som inte samarbetar med Key Vault. (GoDaddy är till exempel inte en betrodd Key Vault CA.)

Portal

1. Gå till nyckelvalvet som du vill lägga till certifikatet i.

2. På egenskapssidan väljer du Certifikat.

3. Välj fliken Generera/importera .

4. På skärmen Skapa ett certifikat väljer du följande värden:

   • Metod för att skapa certifikat: Generera.
   • Certifikatnamn: ContosoManualCSRCertificate.
   • Typ av certifikatutfärdare (CA): Certifikat utfärdat av en icke-integrerad certifikatutfärdare.
   • Ämne: "CN=www.contosoHRApp.com".

   Anteckning

   Om du använder ett relativt unikt namn (RDN) som har ett kommatecken (,) i värdet, omsluter du det värde som innehåller specialtecknet med dubbla citattecken.

   Exempelpost till Ämne: DC=Contoso,OU="Docs,Contoso",CN=www.contosoHRApp.com

   I det här exemplet innehåller RDN OU ett värde med kommatecken i namnet. Resultatet för OU är Docs, Contoso.

5. Välj de andra värdena som du vill och välj sedan Skapa för att lägga till certifikatet i listan Certifikat .

   

6. I listan Certifikat väljer du det nya certifikatet. Certifikatets aktuella tillstånd är inaktiverat eftersom det inte har utfärdats av certifikatutfärdare ännu.

7. På fliken Certifikatåtgärd väljer du Ladda ned CSR.

   

8. Låt ca-certifikatet signera CSR (.csr).

9. När begäran har signerats väljer du Sammanfoga signerad begäran på fliken Certifikatåtgärd för att lägga till det signerade certifikatet i Key Vault.

Certifikatbegäran har nu sammanfogats.

PowerShell

1. Skapa en certifikatprincip. Eftersom certifikatutfärdaren som valts i det här scenariot inte är partner är IssuerName inställt på Okänt och Key Vault registrerar eller förnyar inte certifikatet.

   $policy = New-AzKeyVaultCertificatePolicy -SubjectName "CN=www.contosoHRApp.com" -ValidityInMonths 1  -IssuerName Unknown
   

   Anteckning

   Om du använder ett relativt unikt namn (RDN) som har ett kommatecken (,) i värdet använder du enkla citattecken för det fullständiga värdet eller värdeuppsättningen och omsluter värdet som innehåller specialtecknet med dubbla citattecken.

   Exempelpost i SubjectName: $policy = New-AzKeyVaultCertificatePolicy -SubjectName 'OU="Docs,Contoso",DC=Contoso,CN=www.contosoHRApp.com' -ValidityInMonths 1 -IssuerName Unknown. I det här exemplet OU skrivs värdet som Docs, Contoso. Det här formatet fungerar för alla värden som innehåller kommatecken.

   I det här exemplet innehåller RDN OU ett värde med kommatecken i namnet. Resultatet för OU är Docs, Contoso.

2. Skapa CSR.

   $csr = Add-AzKeyVaultCertificate -VaultName ContosoKV -Name ContosoManualCSRCertificate -CertificatePolicy $policy
   $csr.CertificateSigningRequest
   

3. Låt certifikatleverantören signera CSR. $csr.CertificateSigningRequest är den grundläggande kodade CSR:en för certifikatet. Du kan dumpa den här bloben på utfärdarens webbplats för certifikatbegäran. Det här steget varierar från CA till CA. Leta upp ca:ens riktlinjer för hur du utför det här steget. Du kan också använda verktyg som certreq eller openssl för att få CSR signerad och slutföra processen med att generera ett certifikat.

4. Sammanfoga den signerade begäran i Key Vault. När certifikatbegäran har signerats kan du sammanfoga den med det ursprungliga privata/offentliga nyckelparet som skapats i Azure Key Vault.

   Import-AzKeyVaultCertificate -VaultName ContosoKV -Name ContosoManualCSRCertificate -FilePath C:\test\OutputCertificateFile.cer
   

Certifikatbegäran har nu sammanfogats.

Lägg till mer information i CSR

Om du vill lägga till mer information när du skapar CSR definierar du den i SubjectName. Du kanske vill lägga till information som:

• Land/region
• Stad/plats
• Region/provins
• Organisation
• Organisationsenhet

Exempel

SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US"

Anteckning

Om du begär ett CERTIFIKAT för domänverifiering (DV) med ytterligare information kan certifikatutfärdare avvisa begäran om den inte kan verifiera all information i begäran. Den ytterligare informationen kan vara lämpligare om du begär ett OV-certifikat (Organisationsverifiering).

Vanliga frågor och svar

• Hur gör jag för att övervaka eller hantera min CSR?

  Se Övervaka och hantera skapande av certifikat.

• Vad händer om jag ser feltypen "Den offentliga nyckeln för slutentitetscertifikatet i det angivna X.509-certifikatinnehållet matchar inte den offentliga delen av den angivna privata nyckeln. Kontrollera om certifikatet är giltigt??

  Det här felet uppstår om du inte slår samman den signerade CSR med samma CSR-begäran som du initierade. Varje ny CSR som du skapar har en privat nyckel som måste matcha när du sammanfogar den signerade begäran.

• Kommer hela kedjan att sammanfogas när en CSR slås samman?

  Ja, den sammanfogar hela kedjan, förutsatt att användaren har tagit tillbaka en .p7b-fil för sammanslagning.

• Vad händer om certifikatet som utfärdats har inaktiverats i Azure Portal?

  Visa fliken Certifikatåtgärd för att granska felmeddelandet för certifikatet.

• Vad händer om jag ser feltypen "Det angivna ämnesnamnet är inte ett giltigt X500-namn"?

  Det här felet kan inträffa om SubjectName innehåller specialtecken. Se anteckningarna i Azure Portal- och PowerShell-anvisningarna.

• Feltyp Den CSR som används för att hämta certifikatet har redan använts. Försök att generera ett nytt certifikat med en ny CSR. Gå till avsnittet Avancerad princip i certifikatet och kontrollera om alternativet "återanvändningsnyckel vid förnyelse" är inaktiverat.

---

Nästa steg

• Autentisering, begäranden och svar
• Utvecklarguide för Key Vault
• Rest API-referens för Azure Key Vault
• Valv – Skapa eller uppdatera
• Valv – Uppdatera åtkomstprincip