Sertifika oluşturma yöntemleri
Key Vault (KV) sertifikası oluşturulabilir veya bir anahtar kasasına aktarılabilir. Bir KV sertifikası oluşturulduğunda, özel anahtar anahtar kasası içinde oluşturulur ve hiçbir zaman sertifika sahibine gösterilmez. Key Vault'ta sertifika oluşturmanın yolları şunlardır:
Otomatik olarak imzalanan bir sertifika oluşturma: Ortak-özel anahtar çifti oluşturun ve sertifikayla ilişkilendirin. Sertifika kendi anahtarıyla imzalanır.
El ile yeni sertifika oluşturma: Ortak-özel anahtar çifti oluşturun ve bir X.509 sertifika imzalama isteği oluşturun. İmzalama isteği, kayıt yetkiliniz veya sertifika yetkiliniz tarafından imzalanabilir. İmzalı x509 sertifikası, Key Vault'taki KV sertifikasını tamamlamak için bekleyen anahtar çiftiyle birleştirilebilir. Bu yöntem daha fazla adım gerektirse de, özel anahtar içinde oluşturulduğundan ve Key Vault ile sınırlı olduğundan size daha fazla güvenlik sağlar.
Aşağıdaki açıklamalar, önceki diyagramda yer alan yeşil harfli adımlara karşılık gelir.
- Diyagramda uygulamanız, anahtar kasanızda bir anahtar oluşturarak dahili olarak başlayan bir sertifika oluşturuyor.
- Key Vault, uygulamanıza bir Sertifika İmzalama İsteği (CSR) döndürür
- Uygulamanız CSR'yi seçtiğiniz CA'ya geçirir.
- Seçtiğiniz CA bir X509 Sertifikası ile yanıt veriyor.
- Uygulamanız yeni sertifika oluşturma işlemini CA'nızdan X509 Sertifikası'nın birleştirilmesiyle tamamlar.
- Bilinen bir veren sağlayıcısıyla sertifika oluşturma: Bu yöntem, veren nesnesi oluşturmak için tek seferlik bir görev yapmanızı gerektirir. Anahtar kasanızda bir veren nesnesi oluşturulduktan sonra adına KV sertifikasının ilkesinde başvurulabilir. Böyle bir KV sertifikası oluşturma isteği, kasada bir anahtar çifti oluşturur ve x509 sertifikası almak için başvuruda bulunulmuş veren nesnesindeki bilgileri kullanarak veren sağlayıcı hizmetiyle iletişim kurar. x509 sertifikası veren hizmetinden alınır ve KV sertifika oluşturma işlemini tamamlamak için anahtar çiftiyle birleştirilir.
Aşağıdaki açıklamalar, önceki diyagramda yer alan yeşil harfli adımlara karşılık gelir.
- Diyagramda uygulamanız, anahtar kasanızda bir anahtar oluşturarak dahili olarak başlayan bir sertifika oluşturuyor.
- Key Vault CA'ya bir TLS/SSL Sertifika İsteği gönderir.
- Uygulamanız bir döngü ve bekleme sürecinde sertifikanın tamamlanıp tamamlanmadığını öğrenmek için Anahtar Kasanızı sorgular. Anahtar Kasası x509 sertifikasıyla CA yanıtını aldığında sertifika oluşturma işlemi tamamlanır.
- CA, Key Vault'un TLS/SSL Sertifika İsteğini TLS/SSL X.509 sertifikasıyla yanıtlar.
- Yeni sertifika oluşturma işleminiz, CA için TLS/SSL X.509 sertifikasının birleştirilmesiyle tamamlar.
Zaman uyumsuz işlem
KV sertifikası oluşturma, zaman uyumsuz bir işlemdir. Bu işlem bir KV sertifika isteği oluşturur ve 202 (Kabul Edildi) http durum kodunu döndürür. İsteğin durumu, bu işlem tarafından oluşturulan bekleyen nesne yoklanarak izlenebilir. Bekleyen nesnenin tam URI'si LOCATION üst bilgisinde döndürülür.
KV sertifikası oluşturma isteği tamamlandığında, bekleyen nesnenin durumu "devam ediyor" durumundan "tamamlandı" olarak değişir ve KV sertifikasının yeni bir sürümü oluşturulur. Bu, geçerli sürüm olur.
İlk oluşturma
İlk kez bir KV sertifikası oluşturulduğunda, sertifikayla aynı ada sahip adreslenebilir bir anahtar ve gizli dizi de oluşturulur. Ad zaten kullanılıyorsa, işlem 409 (çakışma) http durum koduyla başarısız olur. Adreslenebilir anahtar ve gizli dizi, KV sertifika özniteliklerinden özniteliklerini alır. Bu şekilde oluşturulan adreslenebilir anahtar ve gizli dizi, süresi Key Vault tarafından yönetilen yönetilen anahtarlar ve gizli diziler olarak işaretlenir. Yönetilen anahtarlar ve gizli diziler salt okunurdur. Not: KV sertifikasının süresi dolarsa veya devre dışı bırakılırsa, ilgili anahtar ve gizli dizi çalışamaz hale gelir.
KV sertifikası oluşturmak için ilk işlem buysa, bir ilke gerekir. İlke kaynağını değiştirmek için ardışık oluşturma işlemleriyle bir ilke de sağlanabilir. İlke sağlanmazsa, hizmet üzerindeki ilke kaynağı KV sertifikasının sonraki bir sürümünü oluşturmak için kullanılır. Sonraki sürüm oluşturma isteği devam ederken, geçerli KV sertifikası ve buna karşılık gelen adreslenebilir anahtar ve gizli dizi değişmeden kalır.
Kendi kendine verilen sertifika
Kendi kendine verilen bir sertifika oluşturmak için sertifika ilkesinden aşağıdaki kod parçacığında gösterildiği gibi sertifika ilkesinde verenin adını "Self" olarak ayarlayın.
"issuer": {
"name": "Self"
}
Veren adı belirtilmezse, verenin adı "Bilinmiyor" olarak ayarlanır. Veren "Bilinmiyor" olduğunda, sertifika sahibinin istediği sertifikayı verenden el ile bir x509 sertifikası alması ve ardından sertifika oluşturmayı tamamlamak için genel x509 sertifikasını anahtar kasası sertifikası beklemedeki nesnesiyle birleştirmesi gerekir.
"issuer": {
"name": "Unknown"
}
İş Ortağı CA Sağlayıcıları
Sertifika oluşturma işlemi el ile veya "Kendi kendine" veren kullanılarak tamamlanabilir. Key Vault, sertifikaların oluşturulmasını basitleştirmek için belirli veren sağlayıcılarla da iş ortağı olur. Aşağıdaki sertifika türleri, bu iş ortağı veren sağlayıcılarla anahtar kasası için sıralanabilir.
Provider | Sertifika türü | Yapılandırma kurulumu |
---|---|---|
DigiCert | Key Vault, DigiCert ile OV veya EV SSL sertifikaları sunar | Tümleştirme Kılavuzu |
GlobalSign | Key Vault, GlobalSign ile OV veya EV SSL sertifikaları sunar | Tümleştirme Kılavuzu |
Sertifika veren, Azure Key Vault'ta (KV) CertificateIssuer kaynağı olarak temsil edilen bir varlıktır. KV sertifikasının kaynağı hakkında bilgi sağlamak için kullanılır; veren adı, sağlayıcı, kimlik bilgileri ve diğer yönetim ayrıntıları.
Veren sağlayıcıya bir sipariş verildiğinde, sertifika türüne göre x509 sertifika uzantılarını ve sertifika geçerlilik süresini kabul edebilir veya geçersiz kılabilir.
Yetkilendirme: Sertifikalar/oluşturma izni gerektirir.
Ayrıca bkz:
- Portal, Azure CLI, Azure PowerShell kullanarak Key Vault'ta sertifika oluşturma kılavuzu
- Sertifika oluşturmayı izleme ve yönetme