Sdílet prostřednictvím

Integrace služby Key Vault s integrovanými certifikačními autoritami

  • Článek

Azure Key Vault umožňuje snadno zřizovat, spravovat a nasazovat digitální certifikáty pro vaši síť a umožnit zabezpečenou komunikaci pro aplikace. Digitální certifikát je elektronické přihlašovací údaje, které vytváří doklad o identitě v elektronické transakci.

Azure Key Vault má důvěryhodné partnerství s následujícími certifikačními autoritami:

Uživatelé služby Azure Key Vault mohou generovat certifikáty DigiCert/GlobalSign přímo ze svých trezorů klíčů. Partnerství služby Key Vault zajišťuje kompletní správu životního cyklu certifikátů pro certifikáty vydané společností DigiCert.

Další obecné informace ocertifikátch

Pokud nemáte předplatné Azure, vytvořte si před zahájením bezplatný účet .

Požadavky

K dokončení postupů v tomto článku potřebujete:

Než začnete

DigiCert

Ujistěte se, že máte následující informace z účtu DigiCert CertCentral:

  • ID účtu CertCentral
  • ID organizace
  • Klíč rozhraní API
  • ID účtu
  • Heslo účtu

GlobalSign

Ujistěte se, že máte z účtu globálního podpisu následující informace:

  • ID účtu
  • Heslo účtu
  • Jméno správce
  • Příjmení správce
  • E-mail správce
  • Telefonní číslo správce

Přidání certifikační autority ve službě Key Vault

Po shromáždění předchozích informací z účtu DigiCert CertCentral můžete digiCert přidat do seznamu certifikační autority v trezoru klíčů.

Azure Portal (DigiCert)

  1. Pokud chcete přidat certifikační autoritu DigiCert, přejděte do trezoru klíčů, do kterého ho chcete přidat.

  2. Na stránce vlastností služby Key Vault vyberte Certifikáty.

  3. Vyberte kartu Certifikační autority:Snímek obrazovky znázorňující výběr karty Certifikační autority

  4. Vyberte Přidat: Snímek obrazovky znázorňující tlačítko Přidat na kartě Certifikační autority

  5. V části Vytvořit certifikační autoritu zadejte tyto hodnoty:

    • Název: Identifikovatelný název vystavitele. Například DigiCertCA.
    • Zprostředkovatel: DigiCert.
    • ID účtu: ID vašeho účtu DigiCert CertCentral.
    • Heslo účtu: Klíč rozhraní API, který jste vygenerovali ve svém účtu DigiCert CertCentral.
    • ID organizace: ID organizace z vašeho účtu DigiCert CertCentral.

  6. Vyberte Vytvořit.

DigicertCA je teď v seznamu certifikační autority.

Azure Portal (GlobalSign)

  1. Pokud chcete přidat certifikační autoritu GlobalSign, přejděte do trezoru klíčů, do kterého ho chcete přidat.

  2. Na stránce vlastností služby Key Vault vyberte Certifikáty.

  3. Vyberte kartu Certifikační autority:Snímek obrazovky znázorňující výběr karty Certifikační autority

  4. Vyberte Přidat: Snímek obrazovky znázorňující tlačítko Přidat na kartě Globální podpis certifikační autority

  5. V části Vytvořit certifikační autoritu zadejte tyto hodnoty:

    • Název: Identifikovatelný název vystavitele. Například GlobalSignCA.
    • Zprostředkovatel: GlobalSign.
    • ID účtu: ID vašeho účtu GlobalSign.
    • Heslo účtu: Heslo účtu GlobalSign.
    • Jméno správce: Jméno správce účtu globálního podpisu.
    • Příjmení správce: Příjmení správce účtu globálního podpisu.
    • E-mail správce: E-mail správce účtu globálního podpisu.
    • Telefonní číslo správce: Telefonní číslo správce účtu globálního podpisu.

  6. Vyberte Vytvořit.

GlobalSignCA je teď v seznamu certifikační autority.

Azure PowerShell

Pomocí Azure PowerShellu můžete vytvářet a spravovat prostředky Azure pomocí příkazů nebo skriptů. Azure hostuje Azure Cloud Shell, interaktivní prostředí, které můžete použít prostřednictvím webu Azure Portal v prohlížeči.

  1. Vytvořte skupinu prostředků Azure pomocí rutiny New-AzResourceGroup. Skupina prostředků je logický kontejner, ve kterém se nasazují a spravují prostředky Azure.

    New-AzResourceGroup -Name ContosoResourceGroup -Location EastUS

  2. Vytvořte trezor klíčů, který má jedinečný název. Contoso-Vaultname Tady je název trezoru klíčů.

    • Název trezoru: Contoso-Vaultname
    • Název skupiny prostředků: ContosoResourceGroup
    • Umístění:EastUS
    New-AzKeyVault -Name 'Contoso-Vaultname' -ResourceGroupName 'ContosoResourceGroup' -Location 'EastUS'

  3. Definujte proměnné pro následující hodnoty z účtu DigiCert CertCentral:

    • ID účtu
    • ID organizace
    • Klíč API
    $accountId = "myDigiCertCertCentralAccountID"
$org = New-AzKeyVaultCertificateOrganizationDetail -Id OrganizationIDfromDigiCertAccount
$secureApiKey = ConvertTo-SecureString DigiCertCertCentralAPIKey -AsPlainText –Force

  4. Nastavte vystavitele. Tím přidáte Digicert jako certifikační autoritu do trezoru klíčů. Přečtěte si další informace o parametrech.

    Set-AzKeyVaultCertificateIssuer -VaultName "Contoso-Vaultname" -Name "TestIssuer01" -IssuerProvider DigiCert -AccountId $accountId -ApiKey $secureApiKey -OrganizationDetails $org -PassThru

  5. Nastavte zásadu pro certifikát a vystavování certifikátu z DigiCertu přímo ve službě Key Vault:

    $Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "TestIssuer01" -ValidityInMonths 12 -RenewAtNumberOfDaysBeforeExpiry 60
Add-AzKeyVaultCertificate -VaultName "Contoso-Vaultname" -Name "ExampleCertificate" -CertificatePolicy $Policy

Certifikát je teď vydaný certifikační autoritou DigiCert v zadaném trezoru klíčů.

Odstraňování potíží

Pokud je vystavený certifikát v zakázaném stavu na webu Azure Portal, projděte si operaci certifikátu a zkontrolujte chybovou zprávu DigiCert pro certifikát:

Snímek obrazovky znázorňující kartu Operace certifikátu

Chybová zpráva: Proveďte sloučení a dokončete tuto žádost o certifikát.

Sloučit CSR podepsané certifikační autoritou a dokončit žádost. Informace o sloučení CSR naleznete v tématu Vytvoření a sloučení CSR.

Další informace najdete v tématu Operace certifikátů v referenčních informacích k rozhraní REST API služby Key Vault. Informace o navazování oprávnění najdete v tématu Trezory – Vytvoření nebo aktualizace a trezory – Zásady přístupu k aktualizaci.

Další kroky