Créer et fusionner une demande de signature de certificat dans Key Vault

  • Article

Azure Key Vault prend en charge le stockage de certificats numériques émis par une autorité de certification. La solution prend en charge la création d’une demande de signature de certificat avec une paire de clés privée/publique. Cette demande peut être signée par une autorité de certification (interne d’entreprise ou publique externe). Une demande de signature de certificat est un message que vous envoyez à une autorité de certification pour demander un certificat numérique.

Pour plus d’informations générales sur les certificats, consultez Certificats Azure Key Vault.

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Ajouter des certificats dans Key Vault émis par des autorités de certification partenaires

Key Vault s’associe aux autorités de certification suivantes pour simplifier la création de certificats.

Fournisseur Type de certificat Configuration
DigiCert Key Vault propose des certificats SSL OV ou EV avec DigiCert Guide d’intégration
GlobalSign Key Vault propose des certificats SSL OV ou EV avec GlobalSign Guide d’intégration

Ajouter des certificats dans Key Vault émis par des autorités de certification non partenaires

Effectuez ces étapes pour ajouter un certificat issu d’autorités de certification qui ne sont pas associées à Key Vault. (Par exemple, GoDaddy n’est pas une autorité de certification Key Vault approuvée.)

  1. Accédez au coffre de clés auquel vous voulez ajouter le certificat.

  2. Dans la page Propriétés, sélectionnez Certificats.

  3. Sélectionnez l’onglet Générer/Importer.

  4. Dans l’écran Créer un certificat, choisissez les valeurs suivantes :

    • Méthode de création de certificat : Générer.
    • Nom du certificat : ContosoManualCSRCertificate.
    • Type d’autorité de certification : Certificat émis par une autorité de certification non intégrée.
    • Objet : "CN=www.contosoHRApp.com".

    Notes

    Si vous utilisez un nom unique relatif qui comporte une virgule (,) dans la valeur, mettez la valeur qui contient le caractère spécial entre guillemets doubles.

    Exemple d’entrée pour Objet : DC=Contoso,OU="Docs,Contoso",CN=www.contosoHRApp.com

    Dans cet exemple, le nom unique relatif OU contient une valeur qui comporte une virgule dans son nom. La sortie obtenue pour OU est Docs, Contoso.

  5. Sélectionnez les autres valeurs selon vos besoins, puis sélectionnez Créer pour ajouter le certificat à la liste Certificats.

    Capture d’écran des propriétés du certificat

  6. Dans la liste Certificats, sélectionnez le nouveau certificat. L’état actuel du certificat est désactivé, car il n’a pas encore été émis par l’autorité de certification.

  7. Cliquez sur l’onglet Opération de certificat et sélectionnez Télécharger CSR.

    Capture d’écran mettant en évidence le bouton Télécharger CSR.

  8. Demandez à l’autorité de certification de signer la demande de signature de certificat (.csr).

  9. Une fois la demande signée, sélectionnez Fusionner la demande signée sous l’onglet Opération de certificat pour ajouter le certificat signé à Key Vault.

La demande de certificat est maintenant correctement fusionnée.

Ajouter d’autres informations à la demande de signature de certificat

Si vous voulez ajouter des informations supplémentaires lors de la création de la demande de signature de certificat, définissez-les dans SubjectName. Vous pouvez éventuellement des informations comme celles-ci :

  • Pays/région
  • Ville/Localité
  • État/Province
  • Organisation
  • Unité d'organisation

Exemple

SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US"

Notes

Si vous demandez un certificat de validation de domaine (DV) avec des informations supplémentaires, l’autorité de certification peut rejeter la demande si elle ne parvient pas à valider toutes les informations contenues dans la demande. Les informations supplémentaires sont peut-être plus appropriées si vous demandez un certificat de validation d’organisation (OV).

Foire aux questions

  • Comment surveiller ou gérer ma demande de signature de certificat ?

    Consultez Surveiller et gérer la création de certificats.

  • Que se passe-t-il si je vois Type d’erreur « La clé publique du certificat d’entité finale dans le contenu du certificat X.509 spécifié ne correspond pas à la partie publique de la clé privée spécifiée. Vérifiez que le certificat est valide. » ?

    Cette erreur se produit si vous ne fusionnez pas la demande de signature de certificat signée avec la même demande de signature de certificat que celle que vous avez lancée. Chaque nouvelle demande de signature de certificat que vous créez a une clé privée, qui doit correspondre quand vous fusionnez la demande signée.

  • Quand une demande de signature de certificat est fusionnée, est-ce que la chaîne entière est fusionnée ?

    Oui, l’ensemble de la chaîne est fusionné, à condition que l’utilisateur ait remis un fichier .p7b à fusionner.

  • Que se passe-t-il si le certificat émis présente l’état désactivé dans le portail Azure ?

    Affichez l’onglet Opération de certificat pour consulter le message d’erreur de ce certificat.

  • Que se passe-t-il si je vois Type d’erreur « Le nom d’objet fourni n’est pas un nom X500 valide » ?

    Cette erreur peut se produire si SubjectName contient des caractères spéciaux. Consultez les remarques dans les instructions du portail Azure et PowerShell.

  • Type d’erreur La demande de signature de certificat utilisée pour obtenir votre certificat a déjà été utilisée. Essayez de générer un nouveau certificat avec une nouvelle demande de signature de certificat. Consultez la section « Stratégie avancée » du certificat et vérifiez si l’option « Réutiliser la clé lors du renouvellement » est désactivée.

Étapes suivantes