Prise en main des certificats Key VaultGet started with Key Vault certificates

Les scénarios suivants décrivent plusieurs utilisations principales du service de gestion des certificats Key Vault, notamment les étapes supplémentaires requises pour créer votre premier certificat dans le coffre de clés.The following scenarios outline several of the primary usages of Key Vault’s certificate management service including the additional steps required for creating your first certificate in your key vault.

Les points suivants sont présentés :The following are outlined:

  • Création de votre premier certificat Key VaultCreating your first Key Vault certificate
  • Création d’un certificat auprès d’une autorité de certification associée à Key VaultCreating a certificate with a Certificate Authority that is partnered with Key Vault
  • Création d’un certificat auprès d’une autorité de certification non associée à Key VaultCreating a certificate with a Certificate Authority that is not partnered with Key Vault
  • Importation d’un certificatImport a certificate

Les certificats sont des objets complexesCertificates are complex objects

Les certificats sont composés de trois ressources reliées entre elles en tant que certificat Key Vault, métadonnées de certificat, clé et secret.Certificates are composed of three interrelated resources linked together as a Key Vault certificate; certificate metadata, a key, and a secret.

Les certificats sont complexes

Création de votre premier certificat Key VaultCreating your first Key Vault certificate

Pour pouvoir créer un certificat dans Key Vault, vous devez avoir effectué correctement les étapes 1 et 2, et un coffre de clés doit exister pour cet utilisateur/cette organisation.Before a certificate can be created in a Key Vault (KV), prerequisite steps 1 and 2 must be successfully accomplished and a key vault must exist for this user / organization.

Étape 1 : fournisseurs d’autorités de certificationStep 1 - Certificate Authority (CA) Providers

  • L’embarquement en tant qu’administrateur informatique, administrateur PKI ou toute personne assurant la gestion des comptes auprès des autorités de certification, pour une société donnée (par exempleOn-boarding as the IT Admin, PKI Admin or anyone managing accounts with CAs, for a given company (ex. Contoso) est une condition préalable requise pour utiliser des certificats Key Vault.Contoso) is a prerequisite to using Key Vault certificates.
    Les autorités de certification suivantes sont les fournisseurs actuels associés à Key Vault.The following CAs are the current partnered providers with Key Vault. Apprenez-en davantage ici.Learn more here
    • DigiCert : Key Vault propose des certificats TSL/SSL OV avec DigiCert.DigiCert - Key Vault offers OV TLS/SSL certificates with DigiCert.
    • GlobalSign : Key Vault propose des certificats TSL/SSL OV avec GlobalSign.GlobalSign - Key Vault offers OV TLS/SSL certificates with GlobalSign.

Étape 2 : un administrateur de compte d’un fournisseur d’autorité de certification crée des informations d’identification pouvant être utilisées par Key Vault pour inscrire, renouveler et utiliser des certificats TSL/SSL via Key Vault.Step 2 - An account admin for a CA provider creates credentials to be used by Key Vault to enroll, renew, and use TLS/SSL certificates via Key Vault.

Étape 3 : un administrateur Contoso, ainsi qu’un employé Contoso (utilisateur Key Vault) qui possède des certificats, dépendant de l’autorité de certification, peuvent obtenir un certificat auprès de l’administrateur ou directement à partir du compte avec l’autorité de certification.Step 3 - A Contoso admin, along with a Contoso employee (Key Vault user) who owns certificates, depending on the CA, can get a certificate from the admin or directly from the account with the CA.

  • Commencez par ajouter des informations d’identification dans un coffre de clés en configurant une ressource émettrice de certificat.Begin an add credential operation to a key vault by setting a certificate issuer resource. L’émetteur de certificat est une entité représentée dans Azure Key Vault (KV) en tant que ressource CertificateIssuer.A certificate issuer is an entity represented in Azure Key Vault (KV) as a CertificateIssuer resource. Il fournit des informations sur la source d’un certificat KV, ainsi que le nom de l’émetteur, le fournisseur, les informations d’identification et d’autres détails administratifs.It is used to provide information about the source of a KV certificate; issuer name, provider, credentials, and other administrative details.
    • Ex.Ex. MyDigiCertIssuerMyDigiCertIssuer

      • FournisseurProvider
      • Informations d’identification : informations d’identification du compte d’autorité de certification.Credentials – CA account credentials. Chaque autorité de certification possède ses propres données spécifiques.Each CA has its own specific data.

      Pour plus d’informations sur la création de comptes avec des fournisseurs d’autorités de certification, consultez le billet associé sur le blog Key Vault.For more information on creating accounts with CA Providers, see the related post on the Key Vault blog.

Étape 3.1 : configurez un contact de certificat pour les notifications.Step 3.1 - Set up certificate contacts for notifications. Il s’agit du contact de l’utilisateur Key Vault.This is the contact for the Key Vault user. Key Vault n’applique pas cette étape.Key Vault does not enforce this step.

Remarque : cette procédure (jusqu’à la fin de l’étape 3.1) est une opération unique.Note - This process, through step 3.1, is a onetime operation.

Création d’un certificat auprès d’une autorité de certification associée à Key VaultCreating a certificate with a CA partnered with Key Vault

Créer un certificat auprès d’une autorité de certification associée à Key Vault

Étape 4 : les descriptions suivantes correspondent aux étapes numérotées en vert dans le diagramme précédent.Step 4 - The following descriptions correspond to the green numbered steps in the preceding diagram.
(1) : dans le diagramme ci-dessus, votre application crée un certificat qui commence en interne par la création d’une clé dans votre coffre de clés.(1) - In the diagram above, your application is creating a certificate which internally begins by creating a key in your key vault.
(2) : Key Vault envoie une demande de certificat TSL/SSL à l’autorité de certification.(2) - Key Vault sends an TLS/SSL Certificate Request to the CA.
(3) : votre application interroge, dans un processus boucle et attente, votre instance Key Vault pour savoir si la création du certificat est terminée.(3) - Your application polls, in a loop and wait process, for your Key Vault for certificate completion. La création de certificats est terminée lorsque Key Vault reçoit la réponse de l’autorité de certification avec un certificat X509.The certificate creation is complete when Key Vault receives the CA’s response with x509 certificate.
(4) : l’autorité de certification répond à la demande de certificat TSL/SSL de Key Vault avec un certificat TSL/SSL X509.(4) - The CA responds to Key Vault's TLS/SSL Certificate Request with an X509 TLS/SSL Certificate.
(5) : la création de votre nouveau certificat se termine avec la fusion du certificat X509 pour l’autorité de certification.(5) - Your new certificate creation completes with the merger of the X509 Certificate for the CA.

Utilisateur Key Vault : crée un certificat en spécifiant une stratégie.Key Vault user – creates a certificate by specifying a policy

  • Répétition au besoinRepeat as needed

  • Contraintes de stratégiePolicy constraints

    • Propriétés X509X509 properties
    • Propriétés de la cléKey properties
    • Référence du fournisseur - > par exempleProvider reference - > ex. MyDigiCertIssureMyDigiCertIssure
    • Informations de renouvellement - > par exempleRenewal information - > ex. 90 jours avant l’expiration90 days before expiry
  • La création de certificat est généralement un processus asynchrone. Elle implique l’interrogation de votre coffre de clés pour connaître l’état de l’opération de création d’un certificat.A certificate creation process is usually an asynchronous process and involves polling your key vault for the state of the create certificate operation.
    Opération d’obtention du certificatGet certificate operation

    • État : terminé, en échec avec informations sur l’erreur ou annulé.Status: completed, failed with error information or, canceled
    • Une opération d’annulation peut être lancée en raison du délai de création.Because of the delay to create, a cancel operation can be initiated. L’annulation peut ou non être effective.The cancel may or may not be effective.

Stratégies de sécurité et d’accès réseau associées à l’autorité de certification intégréeNetwork security and access policies associated with integrated CA

Le service Key Vault envoie des demandes à l’autorité de certification (trafic sortant).Key Vault service sends requests to CA (outbound traffic). Par conséquent, il est entièrement compatible avec les coffres de clés qui se trouvent derrière un pare-feu.Therefore, it’s fully compatible with firewall enabled key vaults. Il ne partage pas de stratégies d’accès avec l’autorité de certification.The Key Vault does not share access policies with the CA. L’autorité de certification doit être configurée de façon à accepter indépendamment les demandes de signature.The CA must be configured to accept signing requests independently. Guide d’intégration de l’autorité de certification approuvéeGuide on integrating trusted CA

Importation d’un certificatImport a certificate

Vous pouvez également importer un certificat dans Key Vault : PFX ou PEM.Alternatively – a cert can be imported into Key Vault – PFX or PEM.

L’importation d’un certificat nécessite la présence d’un certificat PEM ou PFX sur le disque ainsi qu’une clé privée.Import certificate – requires a PEM or PFX to be on disk and have a private key.

  • Vous devez spécifier les noms du coffre et du certificat (la stratégie est facultative).You must specify: vault name and certificate name (policy is optional)

  • Les fichiers PEM/PFX contiennent des attributs que Key Vault peut analyser et utiliser pour remplir la stratégie de certificat.PEM / PFX files contains attributes that KV can parse and use to populate the certificate policy. Si une stratégie de certificat est déjà spécifiée, Key Vault essaie de faire correspondre les données des fichiers PEM/PFX.If a certificate policy is already specified, KV will try to match data from PFX / PEM file.

  • Une fois l’importation finalisée, les opérations ultérieures utilisent la nouvelle stratégie (nouvelles versions).Once the import is final, subsequent operations will use the new policy (new versions).

  • Si aucune opération ultérieure n’a lieu, l’instance Key Vault commence par envoyer un avis d’expiration.If there are no further operations, the first thing the Key Vault does is send an expiration notice.

  • L’utilisateur peut également modifier la stratégie qui est fonctionnelle au moment de l’importation, mais qui contient des erreurs, car aucune information n’a été spécifiée lors de l’importation.Also, the user can edit the policy, which is functional at the time of import but, contains defaults where no information was specified at import. Ex.Ex. Aucune information sur l’émetteur.no issuer info

Formats d’importation que nous prenons en chargeFormats of Import we support

Azure Key Vault prend en charge les fichiers de certificat .pem et .pfx pour l’importation de certificats dans le coffre de clés.Azure Key Vault supports .pem and .pfx certificate files for importing Certificates into Key vault. Nous prenons en charge le type d’importation suivant pour le format de fichier PEM.We support the following type of Import for PEM file format. Un seul certificat encodé en PEM avec une clé non chiffrée encodée en PKCS #8, avec les éléments suivantsA single PEM encoded certificate along with a PKCS#8 encoded, unencrypted key which has the following

-----BEGIN CERTIFICATE----- -----END CERTIFICATE----------BEGIN CERTIFICATE----- -----END CERTIFICATE-----

-----BEGIN PRIVATE KEY----- -----END PRIVATE KEY----------BEGIN PRIVATE KEY----- -----END PRIVATE KEY-----

Quand vous importez le certificat, vous devez vérifier que la clé est incluse dans le fichier.When you are importing the certificate, you need to ensure that the key is included in the file itself. Si vous avez la clé privée ailleurs et dans un autre format, vous devez associer la clé au certificat.If you have the private key separately in a different format, you would need to combine the key with the certificate. Certaines autorités de certification fournissent des certificats dans différents formats. Avant d’importer le certificat, vous devez donc vérifier qu’il est au format .pem ou .pfx.Some certificate authorities provide certificates in different formats, therefore before importing the certificate, make sure that they are either in .pem or .pfx format.

Formats de fusion de CSR que nous prenons en chargeFormats of Merge CSR we support

AKV prend en charge 2 formats basés sur PEM.AKV supports 2 PEM based formats. Vous pouvez fusionner un seul certificat encodé en PKCS#8 ou un fichier P7B encodé en Base64 (chaîne de certificats signés par l’autorité de certification).You can either merge a single PKCS#8 encoded certificate or a base64 encoded P7B (chain of certificates signed by CA)

-----BEGIN CERTIFICATE----- -----END CERTIFICATE----------BEGIN CERTIFICATE----- -----END CERTIFICATE-----

Création d’un certificat auprès d’une autorité de certification non associée à Key VaultCreating a certificate with a CA not partnered with Key Vault

Cette méthode permet d’avoir recours à d’autres autorités de certification que les fournisseurs associés à Key Vault. Autrement dit, votre organisation peut utiliser une autorité de certification de son choix.This method allows working with other CAs than Key Vault's partnered providers, meaning your organization can work with a CA of its choice.

Créer un certificat avec votre propre autorité de certification

Les descriptions suivantes correspondent aux étapes écrites en vert dans le diagramme précédent.The following step descriptions correspond to the green lettered steps in the preceding diagram.

(1) : dans le diagramme ci-dessus, votre application crée un certificat qui commence en interne par la création d’une clé dans votre coffre de clés.(1) - In the diagram above, your application is creating a certificate, which internally begins by creating a key in your key vault.

(2 ) : Key Vault retourne une demande de signature de certificat (CSR) à votre application.(2) - Key Vault returns to your application a Certificate Signing Request (CSR).

(3) : votre application transmet la demande CSR à l’autorité de certification que vous avez choisie.(3) - Your application passes the CSR to your chosen CA.

(4) : l’autorité de certification que vous avez choisie répond avec un certificat X509.(4) - Your chosen CA responds with an X509 Certificate.

(5) : votre application termine la création du certificat par le biais d’une fusion avec le certificat X509 provenant de votre autorité de certification.(5) - Your application completes the new certificate creation with a merger of the X509 Certificate from your CA.