Criar e mesclar uma solicitação de assinatura de certificado no Cofre da Chave
O Azure Key Vault dá suporte ao armazenamento de certificados digitais emitidos por qualquer autoridade de certificação (CA). Ele suporta a criação de uma solicitação de assinatura de certificado (CSR) com um par de chaves privadas/públicas. O CSR pode ser assinado por qualquer autoridade de certificação (uma autoridade de certificação corporativa interna ou uma autoridade de certificação pública externa). Uma solicitação de assinatura de certificado (CSR) é uma mensagem que você envia a uma autoridade de certificação para solicitar um certificado digital.
Para obter mais informações gerais sobre certificados, consulte Certificados do Cofre da Chave do Azure.
Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.
Adicionar certificados no Cofre de Chaves emitidos por CAs parceiras
O Key Vault faz parceria com as seguintes autoridades de certificação para simplificar a criação de certificados.
Provider | Tipo de certificado | Configuração |
---|---|---|
DigiCert | Key Vault oferece certificados SSL OV ou EV com DigiCert | Guia de integração |
GlobalSign | O Key Vault oferece certificados SSL OV ou EV com a GlobalSign | Guia de integração |
Adicionar certificados no Cofre da Chave emitidos por autoridades de certificação não parceiras
Siga estas etapas para adicionar um certificado de autoridades de certificação que não são parceiras do Cofre de Chaves. (Por exemplo, a GoDaddy não é uma autoridade de certificação confiável do Cofre de Chaves.)
Vá para o cofre de chaves ao qual você deseja adicionar o certificado.
Na página de propriedades, selecione Certificados.
Selecione a guia Gerar/Importar .
Na tela Criar um certificado, escolha os seguintes valores:
- Método de Criação de Certificados: Gerar.
- Nome do certificado: ContosoManualCSRCertificate.
- Tipo de autoridade de certificação (CA): certificado emitido por uma autoridade de certificação não integrada.
- Assunto:
"CN=www.contosoHRApp.com"
.
Nota
Se você estiver usando um RDN (Nome Distinto Relativo) que tenha uma vírgula (,) no valor, envolva o valor que contém o caractere especial entre aspas duplas.
Exemplo de entrada para Assunto:
DC=Contoso,OU="Docs,Contoso",CN=www.contosoHRApp.com
Neste exemplo, o RDN
OU
contém um valor com uma vírgula no nome. A saída resultante paraOU
é Docs, Contoso.Selecione os outros valores conforme desejado e, em seguida, selecione Criar para adicionar o certificado à lista Certificados .
Na lista Certificados, selecione o novo certificado. O estado atual do certificado está desativado porque ainda não foi emitido pela autoridade de certificação.
Na guia Operação de certificado, selecione Baixar CSR.
Peça à autoridade de certificação que assine o CSR (.csr).
Depois que a solicitação for assinada, selecione Mesclar solicitação assinada na guia Operação de certificado para adicionar o certificado assinado ao Cofre da Chave.
A solicitação de certificado foi mesclada com êxito.
Adicionar mais informações ao CSR
Se você quiser adicionar mais informações ao criar o CSR, defina-o em SubjectName. Você pode querer adicionar informações como:
- País/Região
- Cidade/localidade
- Distrito
- Organization
- Unidade organizacional
Exemplo
SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US"
Nota
Se você estiver solicitando um certificado de Validação de Domínio (DV) com informações adicionais, a autoridade de certificação poderá rejeitar a solicitação se não puder validar todas as informações da solicitação. As informações adicionais podem ser mais apropriadas se você estiver solicitando um certificado de Validação da Organização (OV).
FAQs
Como posso monitorizar ou gerir a minha RSE?
E se eu vir o tipo de erro 'A chave pública do certificado de entidade final no conteúdo do certificado X.509 especificado não corresponde à parte pública da chave privada especificada. Por favor, verifique se o certificado é válido'?
Este erro ocorre se você não estiver mesclando o CSR assinado com a mesma solicitação CSR que você iniciou. Cada nova CSR que você cria tem uma chave privada, que deve corresponder quando você mescla a solicitação assinada.
Quando uma RSE é fundida, irá fundir toda a cadeia?
Sim, ele irá mesclar toda a cadeia, desde que o usuário tenha trazido de volta um arquivo .p7b para mesclar.
E se o certificado emitido estiver no status desabilitado no portal do Azure?
Exiba a guia Operação do certificado para revisar a mensagem de erro desse certificado.
E se eu vir o tipo de erro 'O nome do assunto fornecido não é um nome X500 válido'?
Este erro pode ocorrer se SubjectName incluir caracteres especiais. Consulte as notas no portal do Azure e nas instruções do PowerShell.
Tipo de erro O CSR usado para obter seu certificado já foi usado. Tente gerar um novo certificado com um novo CSR. Vá para a seção 'Política avançada' do certificado e verifique se a opção 'chave de reutilização na renovação' está desativada.