Integrazione di Key Vault con autorità di certificazione integrate

Azure Key Vault consente di effettuare facilmente il provisioning, la gestione e la distribuzione di certificati digitali per la rete e di abilitare comunicazioni sicure per le applicazioni. Un certificato digitale è una credenziale elettronica che serve a fornire la prova dell'identità in una transazione elettronica.

Azure Key Vault ha una partnership di fiducia con alcune autorità di certificazione:

• DigiCert
• GlobalSign

Gli utenti di Azure Key Vault possono generare certificati DigiCert/GlobalSign direttamente dalla loro istanza del servizio. La partnership di Key Vault garantisce la gestione end-to-end del ciclo di vita dei certificati rilasciati da DigiCert.

Per informazioni più generali sui certificati, vedere Certificati di Azure Key Vault.

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Prerequisiti

Per completare le procedure descritte in questo articolo, sono necessari gli elementi seguenti:

• Un insieme di credenziali delle chiavi. È possibile usare un'istanza di Key Vault esistente o crearne una nuove seguendo le procedure illustrate in una di queste guide di avvio rapido:
  • Creare un'istanza di Key Vault usando l'interfaccia della riga di comando di Azure
  • Creare un'istanza di Key Vault con Azure PowerShell
  • Creare un'istanza di Key Vault usando il portale di Azure
• Un account CertCentral di DigiCert attivato. Iscriversi per ricevere un account CertCentral.
• Autorizzazioni a livello di amministratore negli account.

Operazioni preliminari

DigiCert

Assicurarsi di avere le informazioni seguenti dell'account CertCentral di DigiCert:

• ID account di CertCentral
• ID organizzazione
• Chiave API
• ID conto
• Password dell'account

GlobalSign

Assicurarsi di avere le informazioni seguenti dell'account GlobalSign:

• ID conto
• Password dell'account
• Nome dell'amministratore
• Cognome dell'amministratore
• Indirizzo di posta elettronica dell'amministratore
• Numero di telefono dell'amministratore

Aggiungere l'autorità di certificazione in Key Vault

Dopo aver raccolto le informazioni precedenti dall'account CertCentral di DigiCert, è possibile aggiungere DigiCert all'elenco di autorità di certificazione in Key Vault.

Portale di Azure (DigiCert)

1. Per aggiungere l'autorità di certificazione DigiCert, passare all'istanza di Key Vault in cui si vuole aggiungere.

2. Nella pagina delle proprietà di Key Vault selezionare Certificati.

3. Selezionare la scheda Autorità di certificazione:

4. Selezionare Aggiungi:

5. In Crea un'autorità di certificazione immettere questi valori:

   • Nome: nome di un'autorità di certificazione identificabile. Ad esempio, DigiCertCA.
   • Provider: DigiCert.
   • ID account: ID dell'account CertCentral di DigiCert.
   • Password account: la chiave API generata nell'account CertCentral di DigiCert.
   • ID organizzazione: ID organizzazione usato nell'account CertCentral di DigiCert.

6. Seleziona Crea.

DigicertCA è ora presente nell'elenco delle autorità di certificazione.

Portale di Azure (GlobalSign)

1. Per aggiungere l'autorità di certificazione GlobalSign, passare all'istanza di Key Vault in cui inserirla.

2. Nella pagina delle proprietà di Key Vault selezionare Certificati.

3. Selezionare la scheda Autorità di certificazione:

4. Selezionare Aggiungi:

5. In Crea un'autorità di certificazione immettere questi valori:

   • Nome: nome di un'autorità di certificazione identificabile. Ad esempio, GlobalSignCA.
   • Provider: GlobalSign.
   • ID account: ID account di GlobalSign.
   • Password account: password dell'account GlobalSign.
   • Nome dell'amministratore: nome dell'amministratore dell'account GlobalSign.
   • Cognome dell'amministratore: cognome dell'amministratore dell'account GlobalSign.
   • Indirizzo di posta elettronica dell'amministratore: indirizzo dell'amministratore dell'account GlobalSign.
   • Numero di telefono dell'amministratore: numero di telefono dell'amministratore dell'account GlobalSign.

6. Seleziona Crea.

GlobalSignCA è ora presente nell'elenco delle autorità di certificazione.

Azure PowerShell

È possibile usare Azure PowerShell per creare e gestire le risorse di Azure mediante comandi o script. Azure ospita Azure Cloud Shell, un ambiente shell interattivo che è possibile usare tramite il portale di Azure in un browser.

• Se si sceglie di usare Azure PowerShell in locale:
  • Installare la versione più recente del modulo Az di PowerShell.
  • Connettersi all'account Azure con il cmdlet Connect-AzAccount.
• Se si sceglie di usare Azure Cloud Shell:
  • Vedere Panoramica di Azure Cloud Shell per altre informazioni.

1. Creare un gruppo di risorse di Azure usando New-AzResourceGroup. Un gruppo di risorse è un contenitore logico in cui vengono distribuite e gestite le risorse di Azure.

   New-AzResourceGroup -Name ContosoResourceGroup -Location EastUS
   

2. Creare un'istanza di Key Vault con un nome univoco. Qui, Contoso-Vaultname è il nome dell'istanza di Key Vault.

   • Nome dell'istanza di Key Vault: Contoso-Vaultname
   • Nome del gruppo di risorse: ContosoResourceGroup
   • Posizione: EastUS

   New-AzKeyVault -Name 'Contoso-Vaultname' -ResourceGroupName 'ContosoResourceGroup' -Location 'EastUS'
   

3. Definire le variabili per i valori seguenti dall'account CertCentral di DigiCert:

   • ID account
   • ID organizzazione
   • Chiave API

   $accountId = "myDigiCertCertCentralAccountID"
   $org = New-AzKeyVaultCertificateOrganizationDetail -Id OrganizationIDfromDigiCertAccount
   $secureApiKey = ConvertTo-SecureString DigiCertCertCentralAPIKey -AsPlainText –Force
   

4. Impostare l'autorità di certificazione. In questo modo, nell'istanza di Key Vault verrà aggiunta DigiCert come autorità di certificazione. Altre informazioni sui parametri.

   Set-AzKeyVaultCertificateIssuer -VaultName "Contoso-Vaultname" -Name "TestIssuer01" -IssuerProvider DigiCert -AccountId $accountId -ApiKey $secureApiKey -OrganizationDetails $org -PassThru
   

5. Impostare il criterio per il certificato e l'emissione del certificato da DigiCert direttamente all'interno di Key Vault:

   $Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "TestIssuer01" -ValidityInMonths 12 -RenewAtNumberOfDaysBeforeExpiry 60
   Add-AzKeyVaultCertificate -VaultName "Contoso-Vaultname" -Name "ExampleCertificate" -CertificatePolicy $Policy
   

Il certificato viene ora emesso dall'autorità di certificazione DigiCert nell'istanza di Key Vault specificata.

Risoluzione dei problemi

Se il certificato emesso ha lo stato disabilitato nel portale di Azure, vedere l'operazione relativa al certificato per esaminare il messaggio di errore di DigiCert per il certificato:

Messaggio di errore "Per completare questa richiesta di certificato, eseguire un'operazione di unione".

Unire la richiesta di firma del certificato (CSR) firmata dall'autorità di certificazione per completare la richiesta. Per informazioni sull'unione di una richiesta CSR, vedere Creare e unire una richiesta di firma del certificato.

Per altre informazioni, vedere le operazioni relative ai certificati nell'articolo di riferimento sull'API REST di Key Vault. Per informazioni sulla definizione delle autorizzazioni, vedere Istanze di Key Vault: creazione o aggiornamento e Istanze di Key Vault: aggiornamento del criterio di accesso.

Passaggi successivi

• Domande frequenti: Integrare Key Vault con autorità di certificazione integrate
• Autenticazione, richieste e risposte
• Guida per gli sviluppatori all'insieme di credenziali delle chiavi