Key Vault sertifikalarını kullanmaya başlama
Aşağıdaki senaryolarda, anahtar kasanızda ilk sertifikanızı oluşturmak için gereken ek adımlar da dahil olmak üzere Key Vault sertifika yönetim hizmetinin bazı birincil kullanımları özetlenmektedir.
Aşağıda özetlenmiştir:
- İlk Key Vault sertifikanızı oluşturma
- Key Vault ile ortak bir Sertifika Yetkilisi ile sertifika oluşturma
- Key Vault ile ortak olmayan bir Sertifika Yetkilisi ile sertifika oluşturma
- Sertifikayı içeri aktar
Sertifikalar karmaşık nesnelerdir
Sertifikalar, Key Vault sertifikası olarak birbirine bağlanmış birbiriyle ilişkili üç kaynaktır: sertifika meta verileri, anahtar ve gizli dizi.
İlk Key Vault sertifikanızı oluşturma
Sertifikanın bir Key Vault (KV) içinde oluşturulabilmesi için önce 1. ve 2. önkoşul adımlarının başarıyla gerçekleştirilmesi ve bu kullanıcı /kuruluş için bir anahtar kasasının mevcut olması gerekir.
1. Adım: Sertifika Yetkilisi (CA) Sağlayıcıları
- Bt Yönetici, PKI Yönetici veya belirli bir şirket (örn. Contoso) için CA'lı hesapları yöneten herkes için ekleme, Key Vault sertifikaları kullanmanın önkoşullarından biridir.
Aşağıdaki CA'lar, Key Vault olan geçerli iş ortağı sağlayıcılardır. Burada daha fazla bilgi edinin- DigiCert - Key Vault, DigiCert ile OV TLS/SSL sertifikaları sunar.
- GlobalSign - Key Vault, GlobalSign ile OV TLS/SSL sertifikaları sunar.
2. Adım: CA sağlayıcısının hesap yöneticisi, Key Vault tarafından Key Vault aracılığıyla TLS/SSL sertifikalarını kaydetmek, yenilemek ve kullanmak için kullanılacak kimlik bilgilerini oluşturur.
Adım 3a: Ca'ya bağlı olarak sertifikaların sahibi olan contoso çalışanı (Key Vault kullanıcı) ile birlikte Contoso yöneticisi, yöneticiden veya doğrudan CA'ya sahip hesaptan bir sertifika alabilir.
- Sertifika veren kaynağı ayarlayarak anahtar kasasına kimlik bilgisi ekleme işlemi başlatın. Sertifika veren, Azure Key Vault'nde (KV) CertificateIssuer kaynağı olarak temsil edilen bir varlıktır. KV sertifikasının kaynağı hakkında bilgi sağlamak için kullanılır; verenin adı, sağlayıcı, kimlik bilgileri ve diğer yönetim ayrıntıları.
Örn. MyDigiCertIssuer
- Sağlayıcı
- Kimlik bilgileri – CA hesabı kimlik bilgileri. Her CA'nın kendi özel verileri vardır.
CA Sağlayıcılarıyla hesap oluşturma hakkında daha fazla bilgi için Key Vault blogundaki ilgili gönderiye bakın.
Adım 3b: Bildirimler için sertifika kişilerini ayarlayın. Bu, Key Vault kullanıcının kişisi. Key Vault bu adımı zorlamaz.
Not - Bu işlem, Adım 3b aracılığıyla tek seferlik bir işlemdir.
Key Vault ile ortak bir CA ile sertifika oluşturma
4. Adım: Aşağıdaki açıklamalar, önceki diyagramda yer alan yeşil numaralı adımlara karşılık gelir.
(1) - Yukarıdaki diyagramda uygulamanız, anahtar kasanızda bir anahtar oluşturarak dahili olarak başlayan bir sertifika oluşturuyor.
(2) - Key Vault CA'ya bir TLS/SSL Sertifika İsteği gönderir.
(3) - Uygulamanız sertifikanın tamamlanması için Key Vault için döngü ve bekleme işlemi içinde yoklar. Anahtar Kasası x509 sertifikasıyla CA yanıtını aldığında sertifika oluşturma işlemi tamamlanır.
(4) - CA, Key Vault TLS/SSL Sertifika İsteğine X509 TLS/SSL Sertifikası ile yanıt verir.
(5) - Yeni sertifika oluşturma işleminiz, CA için X509 Sertifikası'nın birleştirilmesiyle tamamlar.
Key Vault kullanıcı – bir ilke belirterek sertifika oluşturur
Gerektiğinde yinele
İlke kısıtlamaları
- X509 özellikleri
- Temel özellikler
- Sağlayıcı başvurusu - > örn. MyDigiCertIssure
- Yenileme bilgileri - > örneğin süresi dolmadan 90 gün önce
Sertifika oluşturma işlemi genellikle zaman uyumsuz bir işlemdir ve sertifika oluşturma işleminin durumu için anahtar kasanızı yoklamayı içerir.
Sertifika alma işlemi- Durum: tamamlandı, hata bilgileriyle başarısız oldu veya iptal edildi
- Oluşturma gecikmesi nedeniyle iptal işlemi başlatılabilir. İptal geçerli olabilir veya olmayabilir.
Tümleşik CA ile ilişkili ağ güvenliği ve erişim ilkeleri
Key Vault hizmeti CA'ya (giden trafik) istek gönderir. Bu nedenle, güvenlik duvarının etkinleştirildiği anahtar kasalarıyla tamamen uyumludur. Key Vault, erişim ilkelerini CA ile paylaşmaz. CA, imzalama isteklerini bağımsız olarak kabul etmek üzere yapılandırılmalıdır. Güvenilen CA'nın tümleştirilmesi kılavuzu
Sertifikayı içeri aktar
Alternatif olarak, sertifika Key Vault - PFX veya PEM'ye aktarılabilir.
sertifikayı içeri aktar – diskte pem veya PFX olmasını ve özel anahtara sahip olmasını gerektirir.
Şunları belirtmelisiniz: kasa adı ve sertifika adı (ilke isteğe bağlıdır)
PEM / PFX dosyaları, KV'nin ayrıştırabileceği ve sertifika ilkesini doldurmak için kullanabileceği öznitelikler içerir. Bir sertifika ilkesi zaten belirtilmişse, KV PFX / PEM dosyasındaki verileri eşleştirmeyi dener.
İçeri aktarma işlemi tamamlandıktan sonra sonraki işlemler yeni ilkeyi (yeni sürümler) kullanır.
Başka işlem yoksa, Key Vault yaptığı ilk şey bir süre sonu bildirimi göndermektir.
Ayrıca, kullanıcı içeri aktarma sırasında işlevsel olan ancak içeri aktarma sırasında hiçbir bilgi belirtilmemiş varsayılan değerleri içeren ilkeyi düzenleyebilir. Örn. veren bilgisi yok
Desteklediğimiz İçeri Aktarma biçimleri
Azure Key Vault, Sertifikaları Key Vault'a aktarmak için .pem ve .pfx sertifika dosyalarını destekler. PEM dosya biçimi için aşağıdaki İçeri Aktarma türünü destekliyoruz. Aşağıdaki biçime sahip PKCS#8 kodlanmış, şifrelenmemiş anahtarla birlikte tek bir PEM kodlanmış sertifikası:
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
Sertifikayı içeri aktarırken, anahtarın dosyanın kendisine eklendiğinden emin olmanız gerekir. Özel anahtarınız ayrı bir biçimdeyse, anahtarı sertifikayla birleştirmeniz gerekir. Bazı sertifika yetkilileri sertifikaları farklı biçimlerde sağlar, bu nedenle sertifikayı içeri aktarmadan önce .pem veya .pfx biçiminde olduklarından emin olun.
Not
Sertifika dosyasında başka meta veri olmadığından ve özel anahtarın şifrelenmiş olarak gösterilmediğinden emin olun.
Desteklediğimiz Birleştirme CSR biçimleri
AKV, 2 PEM tabanlı biçimi destekler. Tek bir PKCS#8 kodlanmış sertifikayı veya base64 ile kodlanmış bir P7B'i (CA tarafından imzalanan sertifika zinciri) birleştirebilirsiniz. P7B'nin biçimini desteklenen biçimle kapatmanız gerekiyorsa certutil -encode komutunu kullanabilirsiniz
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
Key Vault ile işbirliği yapılmamış bir CA ile sertifika oluşturma
Bu yöntem, Key Vault ortak sağlayıcılarından başka CA'larla çalışmaya olanak tanır; bu da kuruluşunuzun kendi seçtiği bir CA ile çalışabileceği anlamına gelir.
Aşağıdaki adım açıklamaları, önceki diyagramda yer alan yeşil harfli adımlara karşılık gelir.
(1) - Yukarıdaki diyagramda, uygulamanız dahili olarak anahtar kasanızda bir anahtar oluşturarak başlayan bir sertifika oluşturuyor.
(2) - Key Vault uygulamanıza bir Sertifika İmzalama İsteği (CSR) döndürür.
(3) - Uygulamanız CSR'yi seçtiğiniz CA'ya geçirir.
(4) - Seçtiğiniz CA bir X509 Sertifikası ile yanıt verir.
(5) - Uygulamanız yeni sertifika oluşturma işlemini CA'nızdan X509 Sertifikası'nın birleştirilmesiyle tamamlar.