Integrowanie usługi Key Vault ze zintegrowanymi urzędami certyfikacji

Usługa Azure Key Vault pozwala łatwo aprowizować i wdrażać certyfikaty cyfrowe dla sieci oraz zarządzać nimi oraz umożliwiać bezpieczną komunikację dla aplikacji. Certyfikat cyfrowy to poświadczenia elektroniczne, które ustanawiają dowód tożsamości w transakcji elektronicznej.

Usługa Azure Key Vault ma zaufane partnerstwo z następującymi urzędami certyfikacji:

• DigiCert
• GlobalSign

Użytkownicy usługi Azure Key Vault mogą generować certyfikaty DigiCert/GlobalSign bezpośrednio z magazynów kluczy. Partnerstwo usługi Key Vault zapewnia kompleksowe zarządzanie cyklem życia certyfikatów dla certyfikatów wystawionych przez firmę DigiCert.

Aby uzyskać więcej ogólnych informacji na temat certyfikatów, zobacz Certyfikaty usługi Azure Key Vault.

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto .

Wymagania wstępne

Aby wykonać procedury opisane w tym artykule, musisz mieć następujące elementy:

• Magazyn kluczy. Możesz użyć istniejącego magazynu kluczy lub utworzyć go, wykonując kroki opisane w jednym z następujących przewodników Szybki start:
  • Tworzenie magazynu kluczy przy użyciu interfejsu wiersza polecenia platformy Azure
  • Tworzenie magazynu kluczy przy użyciu programu Azure PowerShell
  • Tworzenie magazynu kluczy przy użyciu witryny Azure Portal
• Aktywowane konto firmy DigiCert CertCentral. Utwórz konto CertCentral.
• Uprawnienia na poziomie administratora na kontach.

Zanim rozpoczniesz

DigiCert

Upewnij się, że masz następujące informacje z konta firmy DigiCert CertCentral:

• Identyfikator konta CertCentral
• Identyfikator organizacji
• Klucz interfejsu API
• Identyfikator konta
• Hasło konta

GlobalSign

Upewnij się, że masz następujące informacje z konta logowania globalnego:

• Identyfikator konta
• Hasło konta
• Imię administratora
• Nazwisko administratora
• Adres e-mail administratora
• Numer telefonu administratora

Dodawanie urzędu certyfikacji w usłudze Key Vault

Po zebraniu powyższych informacji z konta firmy DigiCert CertCentral możesz dodać aplikację DigiCert do listy urzędów certyfikacji w magazynie kluczy.

Witryna Azure Portal (DigiCert)

1. Aby dodać urząd certyfikacji DigiCert, przejdź do magazynu kluczy, do którego chcesz go dodać.

2. Na stronie właściwości usługi Key Vault wybierz pozycję Certyfikaty.

3. Wybierz kartę Urzędy certyfikacji:

4. Wybierz pozycję Dodaj:

5. W obszarze Utwórz urząd certyfikacji wprowadź następujące wartości:

   • Nazwa: rozpoznawalna nazwa wystawcy. Na przykład DigiCertCA.
   • Dostawca: DigiCert.
   • Identyfikator konta: Identyfikator konta firmy DigiCertCentral.
   • Hasło konta: klucz interfejsu API wygenerowany na koncie firmy DigiCert CertCentral.
   • Identyfikator organizacji: identyfikator organizacji z konta firmy DigiCert CertCentral.

6. Wybierz pozycję Utwórz.

DigicertCA znajduje się teraz na liście urzędów certyfikacji.

Azure Portal (GlobalSign)

1. Aby dodać urząd certyfikacji GlobalSign, przejdź do magazynu kluczy, do którego chcesz go dodać.

2. Na stronie właściwości usługi Key Vault wybierz pozycję Certyfikaty.

3. Wybierz kartę Urzędy certyfikacji:

4. Wybierz pozycję Dodaj:

5. W obszarze Utwórz urząd certyfikacji wprowadź następujące wartości:

   • Nazwa: rozpoznawalna nazwa wystawcy. Na przykład GlobalSignCA.
   • Dostawca: GlobalSign.
   • Identyfikator konta: Identyfikator konta GlobalSign.
   • Hasło konta: Hasło konta GlobalSign.
   • Imię administratora: imię administratora konta logowania globalnego.
   • Nazwisko administratora: nazwisko administratora konta logowania globalnego.
   • Adres e-mail administratora: adres e-mail administratora konta logowania globalnego.
   • Numer telefonu administratora: numer telefonu administratora konta logowania globalnego.

6. Wybierz pozycję Utwórz.

GlobalSignCA znajduje się teraz na liście urzędów certyfikacji.

Azure PowerShell

Za pomocą programu Azure PowerShell można tworzyć zasoby platformy Azure i zarządzać nimi przy użyciu poleceń lub skryptów. Platforma Azure hostuje usługę Azure Cloud Shell — interaktywne środowisko powłoki, którego można używać za pośrednictwem witryny Azure Portal w przeglądarce.

• Jeśli zdecydujesz się używać programu Azure PowerShell lokalnie:
  • Zainstaluj najnowszą wersję modułu Az programu PowerShell.
  • Połącz się z kontem platformy Azure przy użyciu polecenia cmdlet Connect-AzAccount .
• Jeśli zdecydujesz się używać usługi Azure Cloud Shell:
  • Aby uzyskać więcej informacji, zobacz Omówienie usługi Azure Cloud Shell .

1. Utwórz grupę zasobów platformy Azure przy użyciu polecenia New-AzResourceGroup. Grupa zasobów to logiczny kontener przeznaczony do wdrażania zasobów platformy Azure i zarządzania nimi.

   New-AzResourceGroup -Name ContosoResourceGroup -Location EastUS
   

2. Utwórz magazyn kluczy o unikatowej nazwie. Contoso-Vaultname Oto nazwa magazynu kluczy.

   • Nazwa magazynu: Contoso-Vaultname
   • Nazwa grupy zasobów: ContosoResourceGroup
   • Lokalizacja: EastUS

   New-AzKeyVault -Name 'Contoso-Vaultname' -ResourceGroupName 'ContosoResourceGroup' -Location 'EastUS'
   

3. Zdefiniuj zmienne dla następujących wartości z konta firmy DigiCert CertCentral:

   • Identyfikator konta
   • Identyfikator organizacji
   • Klucz API

   $accountId = "myDigiCertCertCentralAccountID"
   $org = New-AzKeyVaultCertificateOrganizationDetail -Id OrganizationIDfromDigiCertAccount
   $secureApiKey = ConvertTo-SecureString DigiCertCertCentralAPIKey -AsPlainText –Force
   

4. Ustaw wystawcę. Spowoduje to dodanie firmy Digicert jako urzędu certyfikacji w magazynie kluczy. Dowiedz się więcej o parametrach.

   Set-AzKeyVaultCertificateIssuer -VaultName "Contoso-Vaultname" -Name "TestIssuer01" -IssuerProvider DigiCert -AccountId $accountId -ApiKey $secureApiKey -OrganizationDetails $org -PassThru
   

5. Ustaw zasady dla certyfikatu i wystawiania certyfikatu z firmy DigiCert bezpośrednio w usłudze Key Vault:

   $Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "TestIssuer01" -ValidityInMonths 12 -RenewAtNumberOfDaysBeforeExpiry 60
   Add-AzKeyVaultCertificate -VaultName "Contoso-Vaultname" -Name "ExampleCertificate" -CertificatePolicy $Policy
   

Certyfikat jest teraz wystawiony przez urząd certyfikacji DigiCert w określonym magazynie kluczy.

Rozwiązywanie problemów

Jeśli wystawiony certyfikat jest w stanie wyłączonym w witrynie Azure Portal, wyświetl operację certyfikatu, aby przejrzeć komunikat o błędzie firmy DigiCert dla certyfikatu:

Komunikat o błędzie: "Wykonaj scalanie, aby ukończyć to żądanie certyfikatu".

Scal żądanie CSR podpisane przez urząd certyfikacji, aby ukończyć żądanie. Aby uzyskać informacje na temat scalania csr, zobacz Tworzenie i scalanie csr.

Aby uzyskać więcej informacji, zobacz Operacje certyfikatów w dokumentacji interfejsu API REST usługi Key Vault. Aby uzyskać informacje na temat ustanawiania uprawnień, zobacz Magazyny — tworzenie lub aktualizowanie i magazyny — aktualizowanie zasad dostępu.

Następne kroki

• Często zadawane pytania: Integracja usługi Key Vault ze zintegrowanymi urzędami certyfikacji
• Uwierzytelnianie, żądania i odpowiedzi
• Przewodnik dewelopera usługi Key Vault