Intégration de Key Vault à l’autorité de certification DigiCertIntegrating Key Vault with DigiCert Certificate Authority

Azure Key Vault vous permet de provisionner, gérer et déployer facilement des certificats numériques pour votre réseau et de sécuriser les communications pour les applications.Azure Key Vault allows you to easily provision, manage, and deploy digital certificates for your network and to enable secure communications for applications. Un certificat numérique correspond à des informations d’identification électroniques qui visent à établir une preuve d’identité dans une transaction électronique.A Digital certificate is an electronic credential to establish proof of identity in an electronic transaction.

Les utilisateurs d’Azure Key Vault peuvent générer des certificats DigiCert directement à partir de leur coffre de clé.Azure key vault users can generate DigiCert certificates directly from their Key Vault. Key Vault assure une gestion du cycle de vie des certificats de bout en bout pour les certificats émis par DigiCert à la faveur du partenariat de confiance établi entre Key Vault et l’autorité de certification DigiCert.Key Vault would ensure end-to-end certificate lifecycle management for those certificates issued by DigiCert through Key Vault’s trusted partnership with DigiCert Certificate Authority.

Pour plus d’informations générales sur les certificats, consultez Certificats Azure Key Vault.For more general information about Certificates, see Azure Key Vault Certificates.

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.If you don't have an Azure subscription, create a free account before you begin.

PrérequisPrerequisites

Pour suivre ce guide, vous avez besoin des ressources suivantes.To complete this guide, you must have the following resources.

Avant de commencerBefore you begin

Veillez à garder les informations suivantes à portée de main pour votre compte DigiCert CertCentral :Make sure you have the following information handy from your DigiCert CertCentral account:

  • ID de compte CertCentralCertCentral Account ID
  • ID d’organisationOrganization ID
  • Clé APIAPI key

Ajout d’une autorité de certification dans Key VaultAdding Certificate Authority in Key Vault

Après avoir récupéré les informations ci-dessus du compte DigiCert CertCentral, vous pouvez ajouter DigiCert à la liste des autorités de certification du coffre de clés.After gathering above information from DigiCert CertCentral account, you can now add DigiCert to Certificate Authority list in the key vault.

Portail AzureAzure portal

  1. Pour ajouter l’autorité de certification DigiCert, accédez au coffre de clés auquel vous voulez ajouter DigiCert.To add DigiCert certificate authority, navigate to the key vault you want to add DigiCert.

  2. Dans les pages des propriétés Key Vault, sélectionnez Certificats.On the Key Vault properties pages, select Certificates.

  3. Sélectionnez l’onglet Autorités de certification. sélectionner Autorités de certificationSelect Certificate Authorities tab. select certificate authorities

  4. Sélectionnez l’option Ajouter.Select Add option. ajouter des autorités de certificationadd certificate authorities

  5. Dans l’écran Créer une autorité de certification, choisissez les valeurs suivantes :On the Create a certificate Authority screen choose the following values:

    • Name : ajoutez un nom d’émetteur identifiable.Name: Add an identifiable Issuer name. Par exemple : DigicertCAExample DigicertCA
    • Fournisseur : sélectionnez DigiCert dans le menu.Provider: Select DigiCert from the menu.
    • Account ID (ID de compte) : entrez votre ID de compte DigiCert CertCentral.Account ID: Enter your DigiCert CertCentral Account ID
    • Mot de passe du compte : entrez la clé d’API que vous avez générée dans votre compte DigiCert CertCentral.Account Password: Enter the API key you generated in your DigiCert CertCentral Account
    • ID d’organisation : entrez l’OrgID récupéré à partir du compte DigiCert CertCentral.Organization ID: Enter OrgID gathered from DigiCert CertCentral Account
    • Cliquez sur Créer.Click Create.
  6. Vous pouvez alors observer que DigicertCA a bien été ajouté à la liste des autorités de certification.You will see that DigicertCA has now been added in Certificate Authorities list.

Azure PowerShellAzure PowerShell

Azure PowerShell vous permet de créer et gérer des ressources Azure à l’aide de commandes ou de scripts.Azure PowerShell is used to create and manage Azure resources using commands or scripts. Azure héberge Azure Cloud Shell, environnement d’interpréteur de commandes interactif que vous pouvez utiliser via le portail Azure dans le navigateur proprement dit.Azure hosts Azure Cloud Shell, an interactive shell environment that you can use through your Azure portal in the browser itself.

Si vous choisissez d’installer et d’utiliser PowerShell en local, ce tutoriel nécessite le module Azure PowerShell version 1.0.0 ou ultérieure.If you choose to install and use PowerShell locally, this tutorial requires Azure PowerShell module version 1.0.0 or later. Tapez $PSVersionTable.PSVersion pour connaître la version.Type $PSVersionTable.PSVersion to find the version. Si vous devez effectuer une mise à niveau, consultez Installer le module Azure PowerShell.If you need to upgrade, see Install Azure PowerShell module. Si vous exécutez PowerShell en local, vous devez également lancer Login-AzAccount pour créer une connexion avec Azure.If you are running PowerShell locally, you also need to run Login-AzAccount to create a connection with Azure.

Login-AzAccount
  1. Créer un groupe de ressourcesCreate a resource group

Créez un groupe de ressources Azure avec New-AzResourceGroup.Create an Azure resource group with New-AzResourceGroup. Un groupe de ressources est un conteneur logique dans lequel les ressources Azure sont déployées et gérées.A resource group is a logical container into which Azure resources are deployed and managed.

New-AzResourceGroup -Name ContosoResourceGroup -Location EastUS
  1. Créer un coffre de clésCreate a Key Vault

Vous devez utiliser un nom unique pour votre coffre de clés.You must use a unique name for your key vault. Ici, « Contoso-Vaultname » est le nom du coffre de clés utilisé dans ce guide.Here "Contoso-Vaultname" is the name for Key Vault throughout this guide.

  • Nom du coffre Contoso-Vaultname.Vault name Contoso-Vaultname.
  • Nom du groupe de ressources ContosoResourceGroup.Resource group name ContosoResourceGroup.
  • Emplacement USA Est.Location EastUS.
New-AzKeyVault -Name 'Contoso-Vaultname' -ResourceGroupName 'ContosoResourceGroup' -Location 'EastUS'
  1. Définissez des variables pour les informations récupérées à partir du compte DigiCert CertCentral.Define variables for information gathered from DigiCert CertCentral account.
  • Définissez la variable Account ID (ID de compte).Define Account ID variable
  • Définissez la variable Org ID (ID d’organisation).Define Org ID variable
  • Définissez la variable API Key (Clé d’API).Define API Key variable
$accountId = "myDigiCertCertCentralAccountID"
$org = New-AzKeyVaultCertificateOrganizationDetail -Id OrganizationIDfromDigiCertAccount
$secureApiKey = ConvertTo-SecureString DigiCertCertCentralAPIKey -AsPlainText –Force
  1. Définissez l’émetteur (Issuer).Set Issuer. Digicert est alors ajouté en tant qu’autorité de certification dans le coffre de clés.This will add Digicert as a Certificate Authority in the key vault. Pour en savoir plus sur les paramètres consultez les informations disponibles ici.To learn more about the parameters, read here
Set-AzKeyVaultCertificateIssuer -VaultName "Contoso-Vaultname" -Name "TestIssuer01" -IssuerProvider DigiCert -AccountId $accountId -ApiKey $secureApiKey -OrganizationDetails $org -PassThru
  1. Définissez une stratégie pour le certificat et émettez le certificat dans le coffre de clés directement à partir de DigiCert.Setting Policy for the certificate and issuing certificate from DigiCert directly inside Key Vault.
$Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "TestIssuer01" -ValidityInMonths 12 -RenewAtNumberOfDaysBeforeExpiry 60
Add-AzKeyVaultCertificate -VaultName "Contoso-Vaultname" -Name "ExampleCertificate" -CertificatePolicy $Policy

Du fait de cette intégration, le certificat est maintenant correctement émis par l’autorité de certification DigiCert dans le coffre de clés spécifié.Certificate has now been successfully issued by Digicert CA inside specified Key Vault through this integration.

DépannerTroubleshoot

Si le certificat émis est à l’état « désactivé » sur le portail Azure, examinez le message d’erreur DigiCert pour ce certificat dans Opération de certificat .If the certificate issued is in 'disabled' status in the Azure portal, proceed to view the Certificate Operation to review the DigiCert error message for that certificate.

Opération de certificat

Message d’erreur « Veuillez effectuer une fusion pour exécuter cette demande de certificat. »Error message 'Please perform a merge to complete this certificate request.' Vous devez fusionner la demande de signature de certificat signée par l’autorité de certification pour effectuer cette demande.You would need to merge the CSR signed by the CA to complete this request. Apprenez-en davantage ici.Learn more here

Pour plus d’informations, voir Informations de référence sur les opérations liées aux certificats dans l’API REST Key Vault.For more information, see the Certificate operations in the Key Vault REST API reference. Pour plus d’informations sur l’établissement d’autorisations, consultez Coffres : créer ou mettre à jour et Coffres : mettre à jour la stratégie d’accès.For information on establishing permissions, see Vaults - Create or Update and Vaults - Update Access Policy.

Forum aux questionsFrequently asked questions

  • Puis-je générer un certificat avec caractères génériques DigiCert par le biais de KeyVault ?Can I generate a digicert wildcard certificate through KeyVault? Oui.Yes. Cela dépend de la façon dont vous avez configuré votre compte DigiCert.It would depend upon how you have configured your digicert account.

  • Comment créer un certificat OV-SSL ou EV-SSL avec DigiCert ?How can I create OV-SSL or EV-SSL certificate with DigiCert? Key Vault prend en charge la création de certificats SSL OV et EV.Key vault supports creating OV and EV SSL certificates. Quand vous créez un certificat, cliquez sur Configuration de stratégie avancée, puis spécifiez le type de certificat.When creating a certificate, click on Advanced Policy Configuration, then specify the Certificate type. Les valeurs prises en charge sont les suivantes : OV-SSL, EV-SSLValues supported are : OV-SSL, EV-SSL

    Vous pouvez créer ce type de certificat dans un coffre de clés si votre compte DigiCert le permet.You would be able to create this type of certificate in key vault if your Digicert account allows. Pour ce type de certificat, la validation est effectuée par DigiCert, et son équipe de support peut vous accompagner au mieux avec la solution en cas d’échec de la validation.For this type of certificate, the validation is performed by DigiCert and their support team would be able to best help you with the solution, if validation fails. Lors de la création d’un certificat, vous pouvez ajouter des informations supplémentaires en les définissant dans subjectName.You can add additional information when creating a certificate by defining them in subjectName.

ExempleExample SubjectName="CN = docs.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US"

  • Y a-t-il un délai dans la création d’un certificat DigiCert à l’aide de l’intégration par rapport à l’acquisition d’un certificat directement par le biais de DigiCert ?Is there a time delay in creating digicert certificate through integration vs acquiring certificate through digicert directly? Non.No. Lors de la création d’un certificat, c’est le processus de vérification qui peut prendre du temps, et cette vérification dépend du processus suivi par DigiCert.When creating a certificate, it is the process of verification which may take time and that verification is dependent on process DigiCert follows.

Étapes suivantesNext steps