Share via

Integrera Key Vault med integrerade certifikatutfärdare

  • Artikel

Med Azure Key Vault kan du enkelt etablera, hantera och distribuera digitala certifikat för ditt nätverk och aktivera säker kommunikation för program. Ett digitalt certifikat är en elektronisk autentiseringsuppgift som upprättar identitetsbevis i en elektronisk transaktion.

Azure Key Vault har ett betrott samarbete med följande certifikatutfärdare:

Azure Key Vault användare kan generera DigiCert-/GlobalSign-certifikat direkt från sina nyckelvalv. Key Vault partnerskap säkerställer livscykelhantering från slutpunkt till slutpunkt för certifikat som utfärdats av DigiCert.

Mer allmän information om certifikat finns i Azure Key Vault-certifikat.

Om du inte har en Azure-prenumeration kan du skapa ett kostnadsfritt konto innan du börjar.

Förutsättningar

För att slutföra procedurerna i den här artikeln måste du ha:

Innan du börjar

DigiCert

Kontrollera att du har följande information från ditt DigiCert CertCentral-konto:

  • Konto-ID för CertCentral
  • Organisations-id
  • API-nyckel
  • Konto-ID
  • Kontolösenord

GlobalSign

Kontrollera att du har följande information från ditt Global Sign-konto:

  • Konto-ID
  • Kontolösenord
  • Administratörens förnamn
  • Administratörens efternamn
  • E-post till administratör
  • Telefonnummer till administratör

Lägg till certifikatutfärdare i Key Vault

När du har samlat in föregående information från ditt DigiCert CertCentral-konto kan du lägga till DigiCert i listan över certifikatutfärdare i nyckelvalvet.

Azure Portal (DigiCert)

  1. Om du vill lägga till DigiCert-certifikatutfärdare går du till det nyckelvalv som du vill lägga till den i.

  2. På egenskapssidan Key Vault väljer du Certifikat.

  3. Välj fliken Certifikatutfärdare : Skärmbild som visar hur du väljer fliken Certifikatutfärdare.

  4. Välj Lägg till: Skärmbild som visar knappen Lägg till på fliken Certifikatutfärdare.

  5. Under Skapa en certifikatutfärdare anger du följande värden:

    • Namn: Ett identifierbart utfärdarnamn. Till exempel DigiCertCA.
    • Provider: DigiCert.
    • Konto-ID: Ditt DigiCert CertCentral-konto-ID.
    • Kontolösenord: DEN API-nyckel som du genererade i ditt DigiCert CertCentral-konto.
    • Organisations-ID: Organisations-ID:t från ditt DigiCert CertCentral-konto.

  6. Välj Skapa.

DigicertCA finns nu i listan över certifikatutfärdare.

Azure Portal (GlobalSign)

  1. Om du vill lägga till GlobalSign-certifikatutfärdare går du till det nyckelvalv som du vill lägga till den i.

  2. På egenskapssidan Key Vault väljer du Certifikat.

  3. Välj fliken Certifikatutfärdare : Skärmbild som visar hur du väljer fliken Certifikatutfärdare.

  4. Välj Lägg till: Skärmbild som visar knappen Lägg till på fliken Globala certifikatutfärdare.

  5. Under Skapa en certifikatutfärdare anger du följande värden:

    • Namn: Ett identifierbart utfärdarnamn. Till exempel GlobalSignCA.
    • Provider: GlobalSign.
    • Konto-ID: Ditt GlobalSign-konto-ID.
    • Kontolösenord: Ditt GlobalSign-kontolösenord.
    • Administratörens förnamn: Förnamnet på administratören för det globala signeringskontot.
    • Efternamn för administratör: Efternamnet på administratören för det globala signeringskontot.
    • E-post till administratör: E-postadressen till administratören för det globala signeringskontot.
    • Administratörstelefonnummer: Telefonnumret till administratören för det globala signeringskontot.

  6. Välj Skapa.

GlobalSignCA finns nu i listan över certifikatutfärdare.

Azure PowerShell

Du kan använda Azure PowerShell för att skapa och hantera Azure-resurser med hjälp av kommandon eller skript. Azure är värd för Azure Cloud Shell, en interaktiv gränssnittsmiljö som du kan använda via Azure Portal i en webbläsare.

Om du väljer att installera och använda PowerShell lokalt behöver du Azure AZ PowerShell-modul 1.0.0 eller senare för att slutföra procedurerna här. Ange $PSVersionTable.PSVersion för att fastställa versionen. Om du behöver uppgradera kan du läsa Installera Azure AZ PowerShell-modulen. Om du kör PowerShell lokalt måste du också köra Connect-AzAccount för att skapa en anslutning till Azure:

Connect-AzAccount

  1. Skapa en Azure-resursgrupp med hjälp av New-AzResourceGroup. En resursgrupp är en logisk container där Azure-resurser distribueras och hanteras.

    New-AzResourceGroup -Name ContosoResourceGroup -Location EastUS

  2. Skapa ett nyckelvalv som har ett unikt namn. Contoso-Vaultname Här är namnet på nyckelvalvet.

    • Valvnamn: Contoso-Vaultname
    • Namn på resursgrupp: ContosoResourceGroup
    • Plats: EastUS
    New-AzKeyVault -Name 'Contoso-Vaultname' -ResourceGroupName 'ContosoResourceGroup' -Location 'EastUS'

  3. Definiera variabler för följande värden från ditt DigiCert CertCentral-konto:

    • Konto-ID
    • Organisations-id
    • API-nyckel
    $accountId = "myDigiCertCertCentralAccountID"
$org = New-AzKeyVaultCertificateOrganizationDetail -Id OrganizationIDfromDigiCertAccount
$secureApiKey = ConvertTo-SecureString DigiCertCertCentralAPIKey -AsPlainText –Force

  4. Ange utfärdaren. Om du gör det läggs Digicert till som certifikatutfärdare i nyckelvalvet. Läs mer om parametrarna.

    Set-AzKeyVaultCertificateIssuer -VaultName "Contoso-Vaultname" -Name "TestIssuer01" -IssuerProvider DigiCert -AccountId $accountId -ApiKey $secureApiKey -OrganizationDetails $org -PassThru

  5. Ange principen för certifikatet och utfärda certifikatet från DigiCert direkt i Key Vault:

    $Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "TestIssuer01" -ValidityInMonths 12 -RenewAtNumberOfDaysBeforeExpiry 60
Add-AzKeyVaultCertificate -VaultName "Contoso-Vaultname" -Name "ExampleCertificate" -CertificatePolicy $Policy

Certifikatet utfärdas nu av DigiCert-certifikatutfärdare i det angivna nyckelvalvet.

Felsöka

Om certifikatet som utfärdats har inaktiverats i Azure Portal visar du certifikatåtgärden för att granska DigiCert-felmeddelandet för certifikatet:

Skärmbild som visar fliken Certifikatåtgärd.

Felmeddelande: "Utför en sammanslagning för att slutföra den här certifikatbegäran."

Sammanfoga csr-begäran som signerats av certifikatutfärdaren för att slutföra begäran. Information om hur du sammanfogar en CSR finns i Skapa och sammanfoga en CSR.

Mer information finns i Certifikatåtgärder i Key Vault REST API-referens. Information om hur du upprättar behörigheter finns i Valv – Skapa eller uppdatera och Valv – Uppdatera åtkomstprincip.

Nästa steg