Key Vault'de sertifika imzalama isteği oluşturma ve birleştirme

Azure Key Vault, herhangi bir sertifika yetkilisi (CA) tarafından verilen dijital sertifikaların depolanmasını destekler. Özel/ortak anahtar çifti ile sertifika imzalama isteği (CSR) oluşturmayı destekler. CSR herhangi bir CA (iç kuruluş CA'sı veya dış genel CA) tarafından imzalanabilir. Sertifika imzalama isteği (CSR), dijital sertifika istemek için CA'ya gönderdiğiniz bir iletidir.

Sertifikalar hakkında daha fazla genel bilgi için bkz. Azure Key Vault sertifikaları.

Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

İş ortağı CA'lar tarafından verilen Key Vault sertifika ekleme

Sertifika oluşturmayı basitleştirmek için aşağıdaki sertifika yetkililerine sahip iş ortakları Key Vault.

Sağlayıcı	Sertifika türü	Yapılandırma kurulumu
DigiCert	Key Vault, DigiCert ile OV veya EV SSL sertifikaları sunar	Tümleştirme kılavuzu
Globalsign	Key Vault, GlobalSign ile OV veya EV SSL sertifikaları sunar	Tümleştirme kılavuzu

İş ortağı olmayan CA'lar tarafından verilen Key Vault sertifika ekleme

Key Vault ile ortak olmayan CA'lardan sertifika eklemek için bu adımları izleyin. (Örneğin, GoDaddy güvenilir bir Key Vault CA değildir.)

Portal

1. Sertifikayı eklemek istediğiniz anahtar kasasına gidin.

2. Özellikler sayfasında Sertifikalar'ı seçin.

3. Oluştur/İçeri Aktar sekmesini seçin.

4. Sertifika oluştur ekranında aşağıdaki değerleri seçin:

   • Sertifika Oluşturma Yöntemi: Oluştur.
   • Sertifika Adı: ContosoManualCSRCertificate.
   • Sertifika Yetkilisi (CA) Türü: Tümleştirilmemiş bir CA tarafından verilen sertifika.
   • Konu: "CN=www.contosoHRApp.com".

   Not

   Değerde virgül (,) bulunan bir Göreli Ayırt Edici Ad (RDN) kullanıyorsanız, özel karakteri içeren değeri çift tırnak içine alın.

   Konu'ya örnek girdi:DC=Contoso,OU="Docs,Contoso",CN=www.contosoHRApp.com

   Bu örnekte RDN OU adında virgül bulunan bir değer içerir. için sonuç olarak Docs, Contoso çıktısı OU elde edilir.

5. diğer değerleri istediğiniz gibi seçin ve ardından Oluştur'u seçerek sertifikayı Sertifikalar listesine ekleyin.

   

6. Sertifikalar listesinde yeni sertifikayı seçin. Sertifika henüz CA tarafından verilmediğinden sertifikanın geçerli durumu devre dışı bırakıldı .

7. Sertifika İşlemi sekmesinde CSR'yi İndir'i seçin.

   

8. CA'nın CSR'yi (.csr) imzalamasını sağlayın.

9. İstek imzalandıktan sonra, imzalı sertifikayı Key Vault eklemek için Sertifika İşlemi sekmesinde İmzalı İsteği Birleştir'i seçin.

Sertifika isteği başarıyla birleştirildi.

PowerShell

1. Bir sertifika ilkesi oluşturun. Bu senaryoda seçilen CA iş ortağı olmadığından, IssuerNameBilinmiyor olarak ayarlanır ve Key Vault sertifika kaydedilmez veya yenilenmez.

   $policy = New-AzKeyVaultCertificatePolicy -SubjectName "CN=www.contosoHRApp.com" -ValidityInMonths 1  -IssuerName Unknown
   

   Not

   Değerde virgül (,) bulunan bir Göreli Ayırt Edici Ad (RDN) kullanıyorsanız, tam değer veya değer kümesi için tek tırnak kullanın ve özel karakteri içeren değeri çift tırnak içine alın.

   SubjectName'e örnek girdi: $policy = New-AzKeyVaultCertificatePolicy -SubjectName 'OU="Docs,Contoso",DC=Contoso,CN=www.contosoHRApp.com' -ValidityInMonths 1 -IssuerName Unknown. Bu örnekte OU , değer Docs, Contoso olarak okunur. Bu biçim, virgül içeren tüm değerler için çalışır.

   Bu örnekte RDN OU adında virgül bulunan bir değer içerir. için sonuç olarak Docs, Contoso çıktısı OU elde edilir.

2. CSR'yi oluşturun.

   $csr = Add-AzKeyVaultCertificate -VaultName ContosoKV -Name ContosoManualCSRCertificate -CertificatePolicy $policy
   $csr.CertificateSigningRequest
   

3. CA'nın CSR'yi imzalamasını sağlayın. $csr.CertificateSigningRequest, sertifika için temel kodlanmış CSR'dir. Bu blobu verenin sertifika isteği web sitesine atabilirsiniz. Bu adım CA'dan CA'ya değişir. Ca'nızın bu adımı yürütme yönergelerini arayın. CSR imzasını almak ve sertifika oluşturma işlemini tamamlamak için certreq veya openssl gibi araçları da kullanabilirsiniz.

4. İmzalı isteği Key Vault birleştirin. Sertifika isteği imzalandıktan sonra, bunu Azure Key Vault'de oluşturulan ilk özel/ortak anahtar çiftiyle birleştirebilirsiniz.

   Import-AzKeyVaultCertificate -VaultName ContosoKV -Name ContosoManualCSRCertificate -FilePath C:\test\OutputCertificateFile.cer
   

Sertifika isteği başarıyla birleştirildi.

CSR'ye daha fazla bilgi ekleme

CSR'yi oluştururken daha fazla bilgi eklemek istiyorsanız , bunu SubjectName içinde tanımlayın. Aşağıdakiler gibi bilgiler eklemek isteyebilirsiniz:

• Ülke/bölge
• Şehir/yerleşim yeri
• İl
• Kuruluş
• Kurum birimi

Örnek

SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US"

Not

Ek bilgiler içeren bir Etki Alanı Doğrulama (DV) sertifikası istiyorsanız, CA istekteki tüm bilgileri doğrulayamazsa isteği reddedebilir. Kuruluş Doğrulama (OV) sertifikası istiyorsanız ek bilgiler daha uygun olabilir.

SSS

• CSR'mi izlemek veya yönetmek Nasıl yaparım??

  Bkz. Sertifika oluşturmayı izleme ve yönetme.

• 'Belirtilen X.509 sertifika içeriğindeki son varlık sertifikasının ortak anahtarı belirtilen özel anahtarın ortak bölümüyle eşleşmiyor' hata türünü görürsem ne olur? Lütfen sertifikanın geçerli olup olmadığını denetleyin'?

  bu hata, imzalı CSR'yi başlattığınız CSR isteğiyle birleştirmiyorsanız oluşur. Oluşturduğunuz her yeni CSR'nin, imzalı isteği birleştirdiğinizde eşleşmesi gereken bir özel anahtarı vardır.

• CSR birleştirildiğinde tüm zincir birleştirilir mi?

  Evet, kullanıcının birleştirmek üzere bir .p7b dosyasını geri getirmesi koşuluyla zincirin tamamını birleştirir.

• Verilen sertifika Azure portal devre dışı durumdaysa ne olur?

  Sertifikanın hata iletisini gözden geçirmek için Sertifika İşlemi sekmesini görüntüleyin.

• 'Sağlanan konu adı geçerli bir X500 adı değil' Hata türünü görürsem ne olur?

  SubjectName herhangi bir özel karakter içeriyorsa bu hata oluşabilir. Azure portal ve PowerShell yönergelerindeki notlara bakın.

• Hata türü Sertifikanızı almak için kullanılan CSR zaten kullanılmıştır. Lütfen yeni bir CSR ile yeni bir sertifika oluşturmayı deneyin. Sertifikanın 'Gelişmiş İlke' bölümüne gidin ve 'yenilemede anahtarı yeniden kullan' seçeneğinin kapalı olup olmadığını denetleyin.

---

Sonraki adımlar

• Kimlik doğrulaması, istekler ve yanıtlar
• Key Vault Geliştirici Kılavuzu
• Azure Key Vault REST API başvurusu
• Kasalar - Oluşturma veya Güncelleştirme
• Kasalar - Erişim İlkesini Güncelleştirme