Partilhar via


Criar e mesclar uma solicitação de assinatura de certificado no Cofre da Chave

O Azure Key Vault dá suporte ao armazenamento de certificados digitais emitidos por qualquer autoridade de certificação (CA). Ele suporta a criação de uma solicitação de assinatura de certificado (CSR) com um par de chaves privadas/públicas. O CSR pode ser assinado por qualquer autoridade de certificação (uma autoridade de certificação corporativa interna ou uma autoridade de certificação pública externa). Uma solicitação de assinatura de certificado (CSR) é uma mensagem que você envia a uma autoridade de certificação para solicitar um certificado digital.

Para obter mais informações gerais sobre certificados, consulte Certificados do Cofre da Chave do Azure.

Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Adicionar certificados no Cofre de Chaves emitidos por CAs parceiras

O Key Vault faz parceria com as seguintes autoridades de certificação para simplificar a criação de certificados.

Provider Tipo de certificado Configuração
DigiCert Key Vault oferece certificados SSL OV ou EV com DigiCert Guia de integração
GlobalSign O Key Vault oferece certificados SSL OV ou EV com a GlobalSign Guia de integração

Adicionar certificados no Cofre da Chave emitidos por autoridades de certificação não parceiras

Siga estas etapas para adicionar um certificado de autoridades de certificação que não são parceiras do Cofre de Chaves. (Por exemplo, a GoDaddy não é uma autoridade de certificação confiável do Cofre de Chaves.)

  1. Vá para o cofre de chaves ao qual você deseja adicionar o certificado.

  2. Na página de propriedades, selecione Certificados.

  3. Selecione a guia Gerar/Importar .

  4. Na tela Criar um certificado, escolha os seguintes valores:

    • Método de Criação de Certificados: Gerar.
    • Nome do certificado: ContosoManualCSRCertificate.
    • Tipo de autoridade de certificação (CA): certificado emitido por uma autoridade de certificação não integrada.
    • Assunto: "CN=www.contosoHRApp.com".

    Nota

    Se você estiver usando um RDN (Nome Distinto Relativo) que tenha uma vírgula (,) no valor, envolva o valor que contém o caractere especial entre aspas duplas.

    Exemplo de entrada para Assunto: DC=Contoso,OU="Docs,Contoso",CN=www.contosoHRApp.com

    Neste exemplo, o RDN OU contém um valor com uma vírgula no nome. A saída resultante para OU é Docs, Contoso.

  5. Selecione os outros valores conforme desejado e, em seguida, selecione Criar para adicionar o certificado à lista Certificados .

    Captura de ecrã das propriedades do certificado

  6. Na lista Certificados, selecione o novo certificado. O estado atual do certificado está desativado porque ainda não foi emitido pela autoridade de certificação.

  7. Na guia Operação de certificado, selecione Baixar CSR.

    Captura de ecrã que realça o botão Transferir CSR.

  8. Peça à autoridade de certificação que assine o CSR (.csr).

  9. Depois que a solicitação for assinada, selecione Mesclar solicitação assinada na guia Operação de certificado para adicionar o certificado assinado ao Cofre da Chave.

A solicitação de certificado foi mesclada com êxito.

Adicionar mais informações ao CSR

Se você quiser adicionar mais informações ao criar o CSR, defina-o em SubjectName. Você pode querer adicionar informações como:

  • País/Região
  • Cidade/localidade
  • Distrito
  • Organization
  • Unidade organizacional

Exemplo

SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US"

Nota

Se você estiver solicitando um certificado de Validação de Domínio (DV) com informações adicionais, a autoridade de certificação poderá rejeitar a solicitação se não puder validar todas as informações da solicitação. As informações adicionais podem ser mais apropriadas se você estiver solicitando um certificado de Validação da Organização (OV).

FAQs

  • Como posso monitorizar ou gerir a minha RSE?

    Consulte Monitorar e gerenciar a criação de certificados.

  • E se eu vir o tipo de erro 'A chave pública do certificado de entidade final no conteúdo do certificado X.509 especificado não corresponde à parte pública da chave privada especificada. Por favor, verifique se o certificado é válido'?

    Este erro ocorre se você não estiver mesclando o CSR assinado com a mesma solicitação CSR que você iniciou. Cada nova CSR que você cria tem uma chave privada, que deve corresponder quando você mescla a solicitação assinada.

  • Quando uma RSE é fundida, irá fundir toda a cadeia?

    Sim, ele irá mesclar toda a cadeia, desde que o usuário tenha trazido de volta um arquivo .p7b para mesclar.

  • E se o certificado emitido estiver no status desabilitado no portal do Azure?

    Exiba a guia Operação do certificado para revisar a mensagem de erro desse certificado.

  • E se eu vir o tipo de erro 'O nome do assunto fornecido não é um nome X500 válido'?

    Este erro pode ocorrer se SubjectName incluir caracteres especiais. Consulte as notas no portal do Azure e nas instruções do PowerShell.

  • Tipo de erro O CSR usado para obter seu certificado já foi usado. Tente gerar um novo certificado com um novo CSR. Vá para a seção 'Política avançada' do certificado e verifique se a opção 'chave de reutilização na renovação' está desativada.


Próximos passos