Überwachen und Verwalten der Zertifikaterstellung
Gilt für: Azure
In diesem Artikel beschriebene Szenarien/Vorgänge:
- Anfordern eines KV-Zertifikats mit einem unterstützten Aussteller
- Ausstehende Anforderung abrufen – Anforderungsstatus ist „inProgress“
- Ausstehende Anforderung abrufen – Anforderungsstatus ist „complete“
- Ausstehende Anforderung abrufen – Status der ausstehenden Anforderung ist „canceled“ oder „failed“
- Ausstehende Anforderung abrufen – Status der ausstehenden Anforderung ist „deleted“ oder „overwritten“
- Erstellen (oder importieren) wenn ausstehende Anforderung vorhanden ist – Status ist „inProgress“
- Zusammenführen, wenn ausstehende Anforderung mit einem Aussteller (z.B. DigiCert) erstellt wird
- Einen Abbruch anfordern, während der Status der ausstehenden Anforderung „inProgress“ ist
- Ein ausstehendes Anforderungsobjekt löschen
- Ein KV-Zertifikat manuell erstellen
- Zusammenführen, wenn eine ausstehende Anforderung erstellt wird – manuelle Zertifikaterstellung
Anfordern eines KV-Zertifikats mit einem unterstützten Aussteller
| Methode | Anforderungs-URI |
|---|---|
| POST | https://mykeyvault.vault.azure.net/certificates/mycert1/create?api-version={api-version} |
Die folgenden Beispiele erfordern ein Objekt mit dem Namen „mydigicert“ um bereits in Ihrem Schlüsseltresor mit dem Zertifikataussteller DigiCert verfügbar zu sein. Der Zertifikataussteller ist eine Entität, die in Azure Key Vault (KV) als eine CertificateIssuer-Ressource dargestellt wird. Sie dient zur Bereitstellung von Informationen zur Quelle eines KV-Zertifikats: Ausstellername, Anbieter, Anmeldeinformationen und andere administrative Details.
Anforderung
{
"policy": {
"x509_props": {
"subject": "CN=MyCertSubject1"
},
"issuer": {
"name": "mydigicert",
"cty": "OV-SSL",
}
}
}
Antwort
StatusCode: 202, ReasonPhrase: 'Accepted'
Location: “https://mykeyvault.vault.azure.net/certificates/mycert1/pending?api-version={api-version}&request_id=a76827a18b63421c917da80f28e9913d"
{
"id": “https://mykeyvault.vault.azure.net/certificates/mycert1/pending",
"issuer": {
"name": "mydigicert"
},
"csr": "MIICq......DD5Lp5cqXg==",
"cancellation_requested": false,
"status": "InProgress",
"status_details": "Pending certificate created. Certificate request is in progress. This may take some time based on the issuer provider. Please check again later",
"request_id": "a76827a18b63421c917da80f28e9913d"
}
Ausstehende Anforderung abrufen – Anforderungsstatus ist „inProgress“
| Methode | Anforderungs-URI |
|---|---|
| GET | https://mykeyvault.vault.azure.net/certificates/mycert1/pending?api-version={api-version} |
Anforderung
GET “https://mykeyvault.vault.azure.net/certificates/mycert1/pending?api-version={api-version}&request_id=a76827a18b63421c917da80f28e9913d"
oder
GET “https://mykeyvault.vault.azure.net/certificates/mycert1/pending?api-version={api-version}"
Hinweis
Wenn request_id in der Abfrage angegeben ist, verhält sie sich wie ein Filter. Wenn das request_id-Element in der Abfrage und im ausstehenden Objekt unterschiedlich ist, wird der HTTP-Statuscode 404 zurückgegeben.
Antwort
StatusCode: 200, ReasonPhrase: 'OK'
{
"id": “https://mykeyvault.vault.azure.net/certificates/mycert1/pending",
"issuer": {
"name": "{issuer-name}"
},
"csr": "MIICq......DD5Lp5cqXg==",
"cancellation_requested": false,
"status": "inProgress",
"status_details": "…",
"request_id": "a76827a18b63421c917da80f28e9913d"
}
Ausstehende Anforderung abrufen – Anforderungsstatus ist „complete“
Anforderung
| Methode | Anforderungs-URI |
|---|---|
| GET | https://mykeyvault.vault.azure.net/certificates/mycert1/pending?api-version={api-version} |
GET “https://mykeyvault.vault.azure.net/certificates/mycert1/pending?api-version={api-version}&request_id=a76827a18b63421c917da80f28e9913d"
oder
GET “https://mykeyvault.vault.azure.net/certificates/mycert1/pending?api-version={api-version}"
Antwort
StatusCode: 200, ReasonPhrase: 'OK'
{
"id": “https://mykeyvault.vault.azure.net/certificates/mycert1/pending",
"issuer": {
"name": "{issuer-name}"
},
"csr": "MIICq......DD5Lp5cqXg==",
"cancellation_requested": false,
"status": "completed",
"request_id": "a76827a18b63421c917da80f28e9913d",
"target": “https://mykeyvault.vault.azure.net/certificates/mycert1?api-version={api-version}"
}
Ausstehende Anforderung abrufen – Status der ausstehenden Anforderung ist „canceled“ oder „failed“
Anforderung
| Methode | Anforderungs-URI |
|---|---|
| GET | https://mykeyvault.vault.azure.net/certificates/mycert1/pending?api-version={api-version} |
GET “https://mykeyvault.vault.azure.net/certificates/mycert1/pending?api-version={api-version}&request_id=a76827a18b63421c917da80f28e9913d"
oder
GET “https://mykeyvault.vault.azure.net/certificates/mycert1/pending?api-version={api-version}"
Antwort
StatusCode: 200, ReasonPhrase: 'OK'
{
"id": “https://mykeyvault.vault.azure.net/certificates/mycert1/pending",
"issuer": {
"name": "{issuer-name}"
},
"csr": "MIICq......DD5Lp5cqXg==",
"cancellation_requested": false,
"status": "failed",
"status_details": "",
"request_id": "a76827a18b63421c917da80f28e9913d",
"error": {
"code": "<errorcode>",
"message": "<message>"
}
}
Hinweis
Der Wert des Fehlercodes kann je nach Aussteller oder Benutzerfehler „Zertifikatausstellerfehler“ oder „Anforderung abgelehnt“ lauten.
Ausstehende Anforderung abrufen – Status der ausstehenden Anforderung ist „deleted“ oder „overwritten“
Ein ausstehendes Objekt kann durch einen Erstellungs-/Importvorgang gelöscht oder überschrieben werden, wenn sein Status nicht inProgress ist.
| Methode | Anforderungs-URI |
|---|---|
| GET | https://mykeyvault.vault.azure.net/certificates/mycert1/pending?api-version={api-version} |
Anforderung
GET “https://mykeyvault.vault.azure.net/certificates/mycert1/pending?api-version={api-version}&request_id=a76827a18b63421c917da80f28e9913d"
oder
GET “https://mykeyvault.vault.azure.net/certificates/mycert1/pending?api-version={api-version}"
Antwort
StatusCode: 404, ReasonPhrase: 'Not Found'
{
"error": {
"code": "PendingCertificateNotFound",
"message": "…"
}
}
Erstellen (oder importieren) wenn ausstehende Anforderung vorhanden ist – Status ist „inProgress“
Ein ausstehende Objekt kann einen von vier Status aufweisen: „inprogress“, „canceled“, „failed“ oder „completed“.
Wenn der Status einer ausstehende Anforderung „inprogress“, schlagen Erstellungs- und Importvorgänge mit dem HTTP-Statuscode 409 (Konflikt) fehl.
Beheben eines Konflikts:
Wenn das Zertifikat manuell erstellt wird, können Sie das KV-Zertifikat abschließen, indem Sie das ausstehende Objekt entweder zusammenführen oder löschen.
Wenn das Zertifikat mit einem Aussteller erstellt wird, können Sie warten, bis das Zertifikat abgeschlossen wird, fehlschlägt oder abgebrochen wird. Alternativ können Sie das ausstehende Objekt löschen.
Hinweis
Durch das Löschen eines ausstehenden Objekts wird u.U. die Anforderung des X509-Zertifikats beim Anbieter abgebrochen.
| Methode | Anforderungs-URI |
|---|---|
| POST | https://mykeyvault.vault.azure.net/certificates/mycert1/create?api-version={api-version} |
Anforderung
{
"policy": {
"x509_props": {
"subject": "CN=MyCertSubject1"
},
"issuer": {
"name": "mydigicert"
}
}
}
Antwort
StatusCode: 409, ReasonPhrase: 'Conflict'
{
"error": {
"code": "Forbidden",
"message": "A new key vault certificate can not be created or imported while a pending key vault certificate's status is inProgress."
}
}
Zusammenführen, wenn ausstehende Anforderung mit einem Aussteller erstellt wird
Das Zusammenführen ist nicht zulässig, wenn ein ausstehendes Objekt mit einem Aussteller erstellt wird, ist jedoch zulässig, wenn sein Zustand inProgress ist.
Wenn die Anforderung zum Erstellen des X509-Zertifikats aus irgendeinem Grund fehlschlägt oder abgebrochen wird, und wenn ein X509-Zertifikat mit Out-of-Band-Methoden abgerufen werden kann, kann ein Zusammenführungsvorgang erfolgen, um das KV-Zertifikat abzuschließen.
| Methode | Anforderungs-URI |
|---|---|
| POST | https://mykeyvault.vault.azure.net/certificates/mycert1/pending/merge?api-version={api-version} |
Anforderung
{
"x5c": [ "MIICxTCCAbi………………………trimmed for brevitiy……………………………………………EPAQj8=" ]
}
Antwort
StatusCode: 403, ReasonPhrase: 'Forbidden'
{
"error": {
"code": "Forbidden",
"message": "Merge is forbidden on pending object created with issuer : <issuer-name> while it is in progess."
}
}
Einen Abbruch anfordern, während der Status der ausstehenden Anforderung „inProgress“ ist
Ein Abbruch kann nur angefordert werden. Eine Anforderung wird abgebrochen oder nicht. Wenn eine Anforderung nicht im Zustand „inProgress“ ist, wird der HTTP-Status „400 (Ungültige Anforderung)“ zurückgegeben.
| Methode | Anforderungs-URI |
|---|---|
| PATCH | https://mykeyvault.vault.azure.net/certificates/mycert1/pending?api-version={api-version} |
Anforderung
PATCH “https://mykeyvault.vault.azure.net/certificates/mycert1/pending?api-version={api-version}&request_id=a76827a18b63421c917da80f28e9913d"
oder
PATCH “https://mykeyvault.vault.azure.net/certificates/mycert1/pending?api-version={api-version}"
{
"cancellation_requested": true
}
Antwort
StatusCode: 200, ReasonPhrase: 'OK'
{
"id": “https://mykeyvault.vault.azure.net/certificates/mycert1/pending",
"issuer": {
"name": "{issuer-name}"
},
"csr": "MIICq......DD5Lp5cqXg==",
"cancellation_requested": true,
"status": "inProgress",
"status_details": "…",
"request_id": "a76827a18b63421c917da80f28e9913d"
}
Ein ausstehendes Anforderungsobjekt löschen
Hinweis
Durch das Löschen des ausstehenden Objekts wird u.U. die Anforderung des X509-Zertifikats beim Anbieter abgebrochen.
| Methode | Anforderungs-URI |
|---|---|
| Delete | https://mykeyvault.vault.azure.net/certificates/mycert1/pending?api-version={api-version} |
Anforderung
DELETE “https://mykeyvault.vault.azure.net/certificates/mycert1/pending?api-version={api-version}&request_id=a76827a18b63421c917da80f28e9913d"
oder
DELETE “https://mykeyvault.vault.azure.net/certificates/mycert1/pending?api-version={api-version}"
Antwort
StatusCode: 200, ReasonPhrase: 'OK'
{
"id": “https://mykeyvault.vault.azure.net/certificates/mycert1/pending",
"issuer": {
"name": "{issuer-name}"
},
"csr": "MIICq......DD5Lp5cqXg==",
"cancellation_requested": false,
"status": "inProgress",
"request_id": "a76827a18b63421c917da80f28e9913d",
}
Ein KV-Zertifikat manuell erstellen
Sie können manuell ein Zertifikat erstellen, das mit einer Zertifizierungsstelle Ihrer Wahl ausgestellt wird. Legen Sie den Namen des Ausstellers auf „Unbekannt“ fest, oder geben Sie das Ausstellerfeld nicht an.
| Methode | Anforderungs-URI |
|---|---|
| POST | https://mykeyvault.vault.azure.net/certificates/mycert1/create?api-version={api-version} |
Anforderung
{
"policy": {
"x509_props": {
"subject": "CN=MyCertSubject1"
},
"issuer": {
"name": "Unknown"
}
}
}
Antwort
StatusCode: 202, ReasonPhrase: 'Accepted'
Location: “https://mykeyvault.vault.azure.net/certificates/mycert1/pending?api-version={api-version}&request_id=a76827a18b63421c917da80f28e9913d"
{
"id": “https://mykeyvault.vault.azure.net/certificates/mycert1/pending",
"issuer": {
"name": "Unknown"
},
"csr": "MIICq......DD5Lp5cqXg==",
"status": "inProgress",
"status_details": "Pending certificate created. Please Perform Merge to complete the request.",
"request_id": "a76827a18b63421c917da80f28e9913d"
}
Zusammenführen, wenn eine ausstehende Anforderung erstellt wird – manuelle Zertifikaterstellung
| Methode | Anforderungs-URI |
|---|---|
| POST | https://mykeyvault.vault.azure.net/certificates/mycert1/pending/merge?api-version={api-version} |
Anforderung
{
"x5c": [ "MIICxTCCAbi………………………trimmed for brevitiy……………………………………………EPAQj8=" ]
}
| Elementname | Erforderlich | type | Version | BESCHREIBUNG |
|---|---|---|---|---|
| x5c | Ja | array | <Einführung in Version> | X509-Zertifikatkette als Base-64-Zeichenfolgenarray. |
Antwort
StatusCode: 201, ReasonPhrase: 'Created'
Location: “https://mykeyvault.vault.azure.net/certificates/mycert1?api-version={api-version}"
{
"id": "https mykeyvault.vault.azure.net/certificates/mycert1/f366e1a9dd774288ad84a45a5f620352",
"kid": "https:// mykeyvault.vault.azure.net/keys/mycert1/f366e1a9dd774288ad84a45a5f620352",
"sid": " mykeyvault.vault.azure.net/secrets/mycert1/f366e1a9dd774288ad84a45a5f620352",
"cer": "……de34534……",
"x5t": "n14q2wbvyXr71Pcb58NivuiwJKk",
"attributes": {
"enabled": true,
"exp": 1530394215,
"nbf": 1435699215,
"created": 1435699919,
"updated": 1435699919
},
"pending": {
"id": "https:// mykeyvault.vault.azure.net/certificates/mycert1/pending"
},
"policy": {
"id": "https:// mykeyvault.vault.azure.net/certificates/mycert1/policy",
"key_props": {
"exportable": false,
"kty": "RSA",
"key_size": 2048,
"reuse_key": false
},
"secret_props": {
"contentType": "application/x-pkcs12"
},
"x509_props": {
"subject": "CN=Mycert1",
"ekus": ["1.3.6.1.5.5.7.3.1", "1.3.6.1.5.5.7.3.2"],
"validity_months": 12
},
"lifetime_actions": [{
"trigger": {
"lifetime_percentage": 80
},
"action": {
"action_type": "EmailContacts"
}
}],
"issuer": {
"name": "Unknown"
},
"attributes": {
"enabled": true,
"created": 1435699811,
"updated": 1435699811
}
}
}