在 Key Vault 中建立與合併憑證簽署要求
Azure Key Vault 支援儲存任何憑證授權單位 (CA) 發行的數位憑證。 其支援以私人/公開金鑰組建立憑證簽署要求 (CSR)。 CSR 可以由任何 CA (內部企業 CA 或外部公用 CA) 簽署。 憑證簽署要求 (CSR) 是您傳送給 CA 以要求數位憑證的訊息。
如需更多有關憑證的一般資訊,請參閱 Azure Key Vault 憑證。
如尚未擁有 Azure 訂用帳戶,請在開始之前先建立免費帳戶。
在 Key Vault 中新增合作 CA 所簽發的憑證
Key Vault 與下列憑證授權單位合作,以簡化建立憑證的程序。
| Provider | 憑證類型 | 組態設定 |
|---|---|---|
| DigiCert | Key Vault 透過 DigiCert 提供 OV 或 EV SSL 憑證 | 整合指南 |
| GlobalSign | Key Vault 透過 GlobalSign 提供 OV 或 EV SSL 憑證 | 整合指南 |
在 Key Vault 中新增非合作 CA 所簽發的憑證
請遵循下列步驟,針對從未與 Key Vault 合作的 CA 新增憑證。 (例如,GoDaddy 不是受信任的 Key Vault CA。)
移至您想要新增憑證的金鑰保存庫。
在屬性頁面上,選取 [憑證]。
選取 [產生/匯入] 索引標籤。
在 [建立憑證] 畫面中,選擇以下值:
- 憑證建立方法:產生。
- 憑證名稱:ContosoManualCSRCertificate。
- 憑證授權單位 (CA) 的類型:非整合式 CA 所發行的憑證。
- 主旨:
"CN=www.contosoHRApp.com"。
注意
如果您要使用值中有逗號 (,) 的相對辨別名稱 (RDN),以雙引號括住包含特殊字元的值。
主體的範例輸入:
DC=Contoso,OU="Docs,Contoso",CN=www.contosoHRApp.com在此範例中,RDN
OU包含名稱中含有逗號的值。OU產生的輸出為 Docs, Contoso。視需要選取其他值,然後選取 [建立],將憑證新增至 [憑證] 清單中。
在憑證清單中,選取新的憑證。 憑證的目前狀態會是已停用,因為 CA 尚未簽署該憑證。
在 [憑證作業] 索引標籤選取 [下載 CSR]。
![反白顯示 [下載 CSR] 按鈕的螢幕擷取畫面。](../media/certificates/create-csr-merge-csr/download-csr.png)
讓 CA 簽署 CSR (.csr)。
簽署要求之後,請選取 [憑證作業] 索引標籤上的 [合併簽署的要求],將簽署的憑證新增至 Key Vault。
憑證要求現已成功合併。
在 CSR 中新增更多資訊
如果要在建立 CSR 時新增更多資訊,請在 SubjectName 中定義。 建議您新增下列資訊:
- 國家/地區
- 城市/地區
- 縣/市/省
- Organization
- 組織單位
範例
SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US"
注意
如果您要求具有其他資訊的網域驗證 (DV) 憑證,CA 可能會在無法驗證要求中的所有資訊時拒絕要求。 如果您要求組織驗證 (OV) 憑證,其他資訊可能更適合。
常見問題集
如何監視或管理我的 CSR?
請參閱監視和管理憑證建立。
如果看到錯誤類型「在指定的 x.509 憑證內容中,終端實體憑證的公開金鑰不符合所指定私密金鑰的公開部分。請檢查憑證是否有效」該怎麼辦?
如果您並未將已簽署的 CSR 與起始的相同 CSR 要求合併,就會發生此錯誤。 您所建立的每個新 CSR 都有一個私密金鑰,當您合併已簽署的要求時,該金鑰必須相符。
合併 CSR 後,整個鏈結都會合併嗎?
是的,系統會合併整個鏈結,前提是使用者已送回 .p7b 檔案以合併。
如果在 Azure 入口網站中發出的憑證處於已停用狀態,該怎麼辦?
檢視憑證作業索引標籤,以檢閱該憑證的錯誤訊息。
如果我看到錯誤類型「提供的主體名稱不是有效的 X500 名稱」,該怎麼辦?
如果 SubjectName 包含任何特殊字元,則可能會發生此錯誤。 請參閱 Azure 入口網站和 PowerShell 指示中的附註。
錯誤類型已使用用來取得憑證的 CSR。請嘗試使用新的 CSR 產生新憑證。移至憑證的 [進階原則] 區段,並檢查是否已關閉 [在續約時重複使用金鑰] 選項。