Integrera Key Vault med integrerade certifikatutfärdare
Med Azure Key Vault kan du enkelt etablera, hantera och distribuera digitala certifikat för nätverket och aktivera säker kommunikation för program. Ett digitalt certifikat är en elektronisk autentiseringsuppgift som upprättar identitetsbevis i en elektronisk transaktion.
Azure Key Vault har ett betrott partnerskap med följande certifikatutfärdare:
Azure Key Vault-användare kan generera DigiCert/GlobalSign-certifikat direkt från sina nyckelvalv. Key Vaults partnerskap säkerställer livscykelhantering från slutpunkt till slutpunkt för certifikat som utfärdats av DigiCert.
Mer allmän information om certifikat finns i Azure Key Vault-certifikat.
Om du inte har en Azure-prenumeration skapar du ett kostnadsfritt konto innan du börjar.
Förutsättningar
För att slutföra procedurerna i den här artikeln måste du ha:
- Ett nyckelvalv. Du kan använda ett befintligt nyckelvalv eller skapa ett genom att utföra stegen i någon av dessa snabbstarter:
- Ett aktiverat DigiCert CertCentral-konto. Registrera dig för ditt CertCentral-konto.
- Behörigheter på administratörsnivå i dina konton.
Innan du börjar
DigiCert
Kontrollera att du har följande information från ditt DigiCert CertCentral-konto:
- CertCentral-konto-ID
- Organisations-ID
- API key
- Konto-ID
- Kontolösenord
GlobalSign
Kontrollera att du har följande information från ditt Global Sign-konto:
- Konto-ID
- Kontolösenord
- Administratörens förnamn
- Administratörens efternamn
- E-post till administratör
- Telefonnummer för administratör
Lägga till certifikatutfärdare i Key Vault
När du har samlat in föregående information från ditt DigiCert CertCentral-konto kan du lägga till DigiCert i listan över certifikatutfärdare i nyckelvalvet.
Azure-portalen (DigiCert)
Om du vill lägga till DigiCert-certifikatutfärdare går du till det nyckelvalv som du vill lägga till det i.
På egenskapssidan För Key Vault väljer du Certifikat.
Välj fliken Certifikatutfärdare :
Välj Lägg till:
Under Skapa en certifikatutfärdare anger du följande värden:
- Namn: Ett identifierbart utfärdarnamn. Till exempel DigiCertCA.
- Provider: DigiCert.
- Konto-ID: Ditt DigiCert CertCentral-konto-ID.
- Kontolösenord: API-nyckeln som du genererade i ditt DigiCert CertCentral-konto.
- Organisations-ID: Organisations-ID:t från ditt DigiCert CertCentral-konto.
Välj Skapa.
DigicertCA finns nu i listan över certifikatutfärdare.
Azure-portalen (GlobalSign)
Om du vill lägga till GlobalSign-certifikatutfärdare går du till det nyckelvalv som du vill lägga till det i.
På egenskapssidan För Key Vault väljer du Certifikat.
Välj fliken Certifikatutfärdare :
Välj Lägg till:
Under Skapa en certifikatutfärdare anger du följande värden:
- Namn: Ett identifierbart utfärdarnamn. Till exempel GlobalSignCA.
- Provider: GlobalSign.
- Konto-ID: Ditt GlobalSign-konto-ID.
- Kontolösenord: Ditt GlobalSign-kontolösenord.
- Förnamn för administratör: Förnamnet på administratören för det globala signeringskontot.
- Administratörens efternamn: Efternamnet på administratören för det globala signeringskontot.
- E-post till administratör: E-postmeddelandet till administratören för det globala signeringskontot.
- Telefonnummer till administratör: Telefonnumret till administratören för det globala signeringskontot.
Välj Skapa.
GlobalSignCA finns nu i listan över certifikatutfärdare.
Azure PowerShell
Du kan använda Azure PowerShell för att skapa och hantera Azure-resurser med hjälp av kommandon eller skript. Azure är värd för Azure Cloud Shell, en interaktiv gränssnittsmiljö som du kan använda via Azure-portalen i en webbläsare.
- Om du väljer att använda Azure PowerShell lokalt:
- Installera den senaste versionen av Az PowerShell-modulen.
- Anslut till ditt Azure-konto med hjälp av cmdleten Connect-AzAccount .
- Om du väljer att använda Azure Cloud Shell:
Skapa en Azure-resursgrupp med hjälp av New-AzResourceGroup. En resursgrupp är en logisk container där Azure-resurser distribueras och hanteras.
New-AzResourceGroup -Name ContosoResourceGroup -Location EastUSSkapa ett nyckelvalv som har ett unikt namn.
Contoso-VaultnameHär är namnet på nyckelvalvet.- Valvnamn:
Contoso-Vaultname - Namn på resursgrupp:
ContosoResourceGroup - Plats:
EastUS
New-AzKeyVault -Name 'Contoso-Vaultname' -ResourceGroupName 'ContosoResourceGroup' -Location 'EastUS'- Valvnamn:
Definiera variabler för följande värden från ditt DigiCert CertCentral-konto:
- Konto-ID
- Organisations-ID
- API-nyckel
$accountId = "myDigiCertCertCentralAccountID" $org = New-AzKeyVaultCertificateOrganizationDetail -Id OrganizationIDfromDigiCertAccount $secureApiKey = ConvertTo-SecureString DigiCertCertCentralAPIKey -AsPlainText –ForceAnge utfärdaren. Om du gör det läggs Digicert till som certifikatutfärdare i nyckelvalvet. Läs mer om parametrarna.
Set-AzKeyVaultCertificateIssuer -VaultName "Contoso-Vaultname" -Name "TestIssuer01" -IssuerProvider DigiCert -AccountId $accountId -ApiKey $secureApiKey -OrganizationDetails $org -PassThruAnge principen för certifikatet och utfärda certifikatet från DigiCert direkt i Key Vault:
$Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "TestIssuer01" -ValidityInMonths 12 -RenewAtNumberOfDaysBeforeExpiry 60 Add-AzKeyVaultCertificate -VaultName "Contoso-Vaultname" -Name "ExampleCertificate" -CertificatePolicy $Policy
Certifikatet utfärdas nu av DigiCert-certifikatutfärdare i det angivna nyckelvalvet.
Felsöka
Om certifikatet som utfärdats har inaktiverats i Azure-portalen visar du certifikatåtgärden för att granska DigiCert-felmeddelandet för certifikatet:
Felmeddelande: "Utför en sammanslagning för att slutföra den här certifikatbegäran."
Slå samman den CSR som signerats av certifikatutfärdaren för att slutföra begäran. Information om hur du sammanfogar en CSR finns i Skapa och sammanfoga en CSR.
Mer information finns i Certifikatåtgärder i KEY Vault REST API-referensen. Information om hur du upprättar behörigheter finns i Valv – Skapa eller uppdatera och Valv – Uppdatera åtkomstprincip.