Začínáme s certifikáty služby Key Vault

  • Článek

Následující scénáře popisují několik primárních použití služby správy certifikátů Key Vault, včetně dalších kroků potřebných k vytvoření prvního certifikátu v trezoru klíčů.

Jsou uvedeny následující informace:

  • Vytvoření prvního certifikátu Key Vault
  • Vytvoření certifikátu s certifikační autoritou, která je partnerem Key Vault
  • Vytvoření certifikátu s certifikační autoritou, která není partnerem Key Vault
  • Import certifikátu

Certifikáty jsou složité objekty.

Certifikáty se skládají ze tří vzájemně propojených prostředků propojených jako Key Vault certifikát: metadata certifikátu, klíč a tajný klíč.

Certifikáty jsou složité

Vytvoření prvního certifikátu Key Vault

Před vytvořením certifikátu v Key Vault (KV) je nutné úspěšně provést požadované kroky 1 a 2 a pro tohoto uživatele nebo organizaci musí existovat trezor klíčů.

Krok 1: Zprostředkovatelé certifikační autority (CA)

  • Předpokladem pro používání certifikátů Key Vault je onboarding it Správa, pki Správa nebo kohokoli, kdo spravuje účty certifikační autority pro danou společnost (např. Contoso).
    Následující certifikační autority jsou aktuální partneři s Key Vault. Další informace najdete tady.
    • DigiCert – Key Vault nabízí certifikáty OV TLS/SSL s DigiCert.
    • GlobalSign – Key Vault nabízí certifikáty TLS/SSL OV s GlobalSign.

Krok 2: Správce účtu pro poskytovatele certifikační autority vytvoří přihlašovací údaje, které budou Key Vault používat k registraci, prodloužení platnosti a používání certifikátů TLS/SSL prostřednictvím Key Vault.

Krok 3a: Správce společnosti Contoso spolu se zaměstnancem společnosti Contoso (Key Vault uživatelem), který vlastní certifikáty, může v závislosti na certifikační autoritě získat certifikát od správce nebo přímo z účtu certifikační autority.

  • Zahajte operaci přidání přihlašovacích údajů do trezoru klíčů nastavením prostředku vystavitele certifikátu . Vystavitel certifikátu je entita reprezentovaná v Azure Key Vault (KV) jako prostředek CertificateIssuer. Slouží k poskytování informací o zdroji certifikátu KV; jméno vystavitele, zprostředkovatele, přihlašovací údaje a další podrobnosti pro správu.

    • Například MyDigiCertIssuer

      • Poskytovatel
      • Přihlašovací údaje – přihlašovací údaje účtu certifikační autority. Každá certifikační autorita má svá vlastní specifická data.

      Další informace o vytváření účtů s poskytovateli certifikační autority najdete v souvisejícím příspěvku na blogu Key Vault.

Krok 3b: Nastavte kontakty certifikátů pro oznámení. Toto je kontakt pro uživatele Key Vault. Key Vault tento krok nevynucuje.

Poznámka: Tento proces, až do kroku 3b, je jednorázová operace.

Vytvoření certifikátu s certifikační autoritou ve spolupráci s Key Vault

Vytvoření certifikátu s Key Vault partnerskou certifikační autoritou

Krok 4: Následující popisy odpovídají zeleným číslovaným krokům v předchozím diagramu.
(1) – Ve výše uvedeném diagramu vaše aplikace vytváří certifikát, který interně začíná vytvořením klíče v trezoru klíčů.
(2) – Key Vault odešle žádost o certifikát TLS/SSL certifikační autoritě.
(3) – Vaše aplikace se ve smyčce a čekacím procesu dotazuje na Key Vault dokončení certifikátu. Vytvoření certifikátu je dokončeno, když Key Vault obdrží odpověď certifikační autority s certifikátem X.509.
(4) – Certifikační autorita odpoví na žádost Key Vault o certifikát TLS/SSL pomocí certifikátu TLS/SSL X509.
(5) Vytvoření nového certifikátu se dokončí sloučením certifikátu X509 pro certifikační autoritu.

Key Vault uživatel – vytvoří certifikát zadáním zásady.

  • Podle potřeby opakujte

  • Omezení zásad

    • X509 – vlastnosti
    • Základní vlastnosti
    • Referenční informace o poskytovateli – > např. MyDigiCertIssure
    • Informace o prodloužení – > např. 90 dní před vypršením platnosti

  • Proces vytvoření certifikátu je obvykle asynchronní proces a zahrnuje dotazování trezoru klíčů na stav operace vytvoření certifikátu.
    Operace získání certifikátu

    • Stav: dokončeno, selhání s informacemi o chybě nebo zrušeno
    • Kvůli zpoždění při vytvoření je možné zahájit operaci zrušení. Zrušení může nebo nemusí být účinné.

Zásady zabezpečení sítě a přístupu přidružené k integrované certifikační autoritě

Key Vault služba odesílá požadavky certifikační autoritě (odchozí provoz). Proto je plně kompatibilní s trezory klíčů s povolenou bránou firewall. Key Vault nesdílí zásady přístupu s certifikační autoritou. Certifikační autorita musí být nakonfigurovaná tak, aby přijímala žádosti o podepsání nezávisle. Průvodce integrací důvěryhodné certifikační autority

Import certifikátu

Případně můžete certifikát importovat do Key Vault – PFX nebo PEM.

Import certifikátu – vyžaduje, aby byl PEM nebo PFX na disku a měl privátní klíč.

  • Musíte zadat název trezoru a název certifikátu (zásada je volitelná).

  • Soubory PEM/PFX obsahují atributy, které může KV analyzovat a používat k naplnění zásad certifikátů. Pokud už je zásada certifikátu zadaná, pokusí se KV spárovat data ze souboru PFX/PEM.

  • Po dokončení importu budou následující operace používat nové zásady (nové verze).

  • Pokud neexistují žádné další operace, první věcí, kterou Key Vault provede, je odeslání oznámení o vypršení platnosti.

  • Uživatel také může upravit zásadu, která je funkční v době importu, ale obsahuje výchozí hodnoty, kde při importu nebyly zadány žádné informace. Např. žádné informace o vydavateli

Formáty importu, které podporujeme

Azure Key Vault podporuje soubory certifikátů .pem a .pfx pro import certifikátů do trezoru klíčů. Podporujeme následující typ importu pro formát souboru PEM. Jeden zakódovaný certifikát PEM spolu s nezašifrovaným klíčem PKCS#8, který má následující formát:

-----ZAČÁTEK CERTIFIKÁTU-----

-----KONEC CERTIFIKÁTU-----

-----ZAČÁTEK PRIVÁTNÍHO KLÍČE-----

-----KONEC PRIVÁTNÍHO KLÍČE-----

Při importu certifikátu je potřeba zajistit, aby byl klíč zahrnutý v samotném souboru. Pokud máte privátní klíč samostatně v jiném formátu, budete muset klíč zkombinovat s certifikátem. Některé certifikační autority poskytují certifikáty v různých formátech, proto se před importem certifikátu ujistěte, že jsou ve formátu .pem nebo .pfx.

Poznámka

Ujistěte se, že soubor certifikátu neobsahuje žádná další metadata a že se privátní klíč nezobrazuje jako šifrovaný.

Formáty csr sloučení, které podporujeme

AKV podporuje 2 formáty založené na PEM. Můžete buď sloučit jeden zakódovaný certifikát PKCS#8, nebo base64 kódovaný P7B (řetěz certifikátů podepsaných certifikační autoritou). Pokud potřebujete překrýt formát P7B do podporovaného formátu, můžete použít certutil -encode.

-----ZAČÁTEK CERTIFIKÁTU-----

-----KONEC CERTIFIKÁTU-----

Vytvoření certifikátu s certifikační autoritou, která není partnerem Key Vault

Tato metoda umožňuje pracovat s jinými certifikačními autoritami než partnerskými poskytovateli Key Vault, což znamená, že vaše organizace může pracovat s certifikační autoritou podle svého výběru.

Vytvoření certifikátu s vlastní certifikační autoritou

Následující popisy kroků odpovídají krokům se zelenými písmeny v předchozím diagramu.

(1) – Ve výše uvedeném diagramu vaše aplikace vytváří certifikát, který interně začíná vytvořením klíče v trezoru klíčů.

(2) – Key Vault vrátí vaší aplikaci žádost o podepsání certifikátu (CSR).

(3) – Vaše aplikace předá csr zvolené certifikační autoritě.

(4) – Zvolená certifikační autorita odpoví certifikátem X509.

(5) – Vaše aplikace dokončí vytvoření nového certifikátu sloučením certifikátu X509 z vaší certifikační autority.