Tanúsítvány-aláírási kérelem létrehozása és egyesítése a Key Vault

Az Azure Key Vault támogatja bármely hitelesítésszolgáltató (CA) által kibocsátott digitális tanúsítványok tárolását. Támogatja a tanúsítvány-aláíró kérelem (CSR) létrehozását privát/nyilvános kulcspárokkal. A CSR-t bármely hitelesítésszolgáltató (belső vállalati hitelesítésszolgáltató vagy külső nyilvános hitelesítésszolgáltató) aláírhatja. A tanúsítvány-aláírási kérés (CSR) egy üzenet, amelyet a hitelesítésszolgáltatónak küld digitális tanúsítvány igényléséhez.

A tanúsítványokkal kapcsolatos általános információkért lásd: Azure Key Vault-tanúsítványok.

Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.

Tanúsítványok hozzáadása a partneralapú hitelesítésszolgáltatók által kibocsátott Key Vault

Key Vault a következő hitelesítésszolgáltatókkal rendelkező partnereket a tanúsítványlétrehozás egyszerűsítése érdekében.

Szolgáltató	Tanúsítvány típusa	Konfiguráció beállítása
DigiCert	Key Vault OV- vagy EV SSL-tanúsítványokat kínál a DigiCerttel	Integrációs útmutató
Globalsign	Key Vault OV- vagy EV SSL-tanúsítványokat kínál a GlobalSign használatával	Integrációs útmutató

Nem partneri hitelesítésszolgáltatók által kibocsátott tanúsítványok hozzáadása Key Vault

Az alábbi lépésekkel olyan tanúsítványt vehet fel a hitelesítésszolgáltatóktól, amelyek nem Key Vault partneri kapcsolatban vannak. (A GoDaddy például nem megbízható Key Vault hitelesítésszolgáltató.)

Portál

1. Nyissa meg azt a kulcstartót, amelyhez hozzá szeretné adni a tanúsítványt.

2. A tulajdonságok lapon válassza a Tanúsítványok lehetőséget.

3. Válassza a Létrehozás/importálás lapot.

4. A Tanúsítvány létrehozása képernyőn válassza a következő értékeket:

   • Tanúsítvány létrehozásának módja: Létrehozás.
   • Tanúsítvány neve: ContosoManualCSRCertificate.
   • Hitelesítésszolgáltató (CA) típusa: Nem integrált hitelesítésszolgáltató által kibocsátott tanúsítvány.
   • Tárgy: "CN=www.contosoHRApp.com".

   Megjegyzés

   Ha olyan relatív megkülönböztető nevet (RDN) használ, amely vesszővel (,) rendelkezik az értékben, csomagolja be a speciális karaktert tartalmazó értéket dupla idézőjelekbe.

   Példa a Tárgy bejegyzésre: DC=Contoso,OU="Docs,Contoso",CN=www.contosoHRApp.com

   Ebben a példában az RDN OU egy vesszővel ellátott értéket tartalmaz a névben. Az eredmény a OUDocs, Contoso lesz.

5. Válassza ki a kívánt többi értéket, majd a Létrehozás gombra kattintva adja hozzá a tanúsítványt a Tanúsítványok listához.

   

6. A Tanúsítványok listában válassza ki az új tanúsítványt. A tanúsítvány aktuális állapota le van tiltva , mert a hitelesítésszolgáltató még nem állította ki.

7. A Tanúsítványművelet lapon válassza a CSR letöltése lehetőséget.

   

8. A hitelesítésszolgáltató írja alá a CSR-t (.csr).

9. Miután aláírta a kérést, válassza az Aláírt kérelem egyesítése lehetőséget a Tanúsítványművelet lapon az aláírt tanúsítvány Key Vault való hozzáadásához.

A tanúsítványkérelmet sikeresen egyesítette.

PowerShell

1. Hozzon létre egy tanúsítványszabályzatot. Mivel az ebben a forgatókönyvben kiválasztott hitelesítésszolgáltató nem partner, az IssuerName értéke Ismeretlen, és Key Vault nem regisztrálja vagy újítja meg a tanúsítványt.

   $policy = New-AzKeyVaultCertificatePolicy -SubjectName "CN=www.contosoHRApp.com" -ValidityInMonths 1  -IssuerName Unknown
   

   Megjegyzés

   Ha relatív megkülönböztető nevet (RDN) használ, amely vesszővel (,) rendelkezik az értékben, használjon egyetlen idézőjelet a teljes értékhez vagy értékkészlethez, és csomagolja be a speciális karaktert tartalmazó értéket dupla idézőjelekbe.

   Példa a SubjectName bejegyzésre: $policy = New-AzKeyVaultCertificatePolicy -SubjectName 'OU="Docs,Contoso",DC=Contoso,CN=www.contosoHRApp.com' -ValidityInMonths 1 -IssuerName Unknown. Ebben a példában az OU érték Docs, Contoso néven olvasható. Ez a formátum minden olyan értéknél működik, amely vesszőt tartalmaz.

   Ebben a példában az RDN OU egy vesszővel ellátott értéket tartalmaz a névben. Az eredmény a OUDocs, Contoso lesz.

2. Hozza létre a CSR-t.

   $csr = Add-AzKeyVaultCertificate -VaultName ContosoKV -Name ContosoManualCSRCertificate -CertificatePolicy $policy
   $csr.CertificateSigningRequest
   

3. Írja alá a hitelesítésszolgáltatót a CSR-nek. A $csr.CertificateSigningRequest a tanúsítvány alapkódolt CSR-je. Ezt a blobot a kiállító tanúsítványkérési webhelyére is kiadhatja. Ez a lépés hitelesítésszolgáltatóról hitelesítésszolgáltatóra változik. Tekintse meg a hitelesítésszolgáltató útmutatását a lépés végrehajtásához. Olyan eszközöket is használhat, mint a certreq vagy az openssl, hogy aláírja a CSR-et, és befejezze a tanúsítvány létrehozásának folyamatát.

4. Egyesítse az aláírt kérést Key Vault. Miután aláírta a tanúsítványkérelmet, egyesítheti azt az Azure Key Vault létrehozott kezdeti privát/nyilvános kulcspárjával.

   Import-AzKeyVaultCertificate -VaultName ContosoKV -Name ContosoManualCSRCertificate -FilePath C:\test\OutputCertificateFile.cer
   

A tanúsítványkérelmet sikeresen egyesítette.

További információ hozzáadása a CSR-hez

Ha további információkat szeretne hozzáadni a CSR létrehozásakor, definiálja azt a SubjectName mezőben. Előfordulhat, hogy olyan információkat szeretne hozzáadni, mint például:

• Ország/régió
• Város/helység
• Állam/megye
• Szervezet
• Szervezeti egység

Példa

SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US"

Megjegyzés

Ha további információkkal rendelkező tartományérvényesítési (DV) tanúsítványt kér, a hitelesítésszolgáltató elutasíthatja a kérést, ha nem tudja érvényesíteni a kérelemben szereplő összes információt. A további információk megfelelőbbek lehetnek, ha szervezetérvényesítési (OV) tanúsítványt kér.

Gyakori kérdések

• Hogyan a CSR monitorozását vagy kezelését?

  Lásd: Tanúsítványlétrehozás figyelése és kezelése.

• Mi a teendő, ha a következő hibaüzenet jelenik meg: "A végfelhasználói tanúsítvány nyilvános kulcsa a megadott X.509-tanúsítványtartalomban nem egyezik meg a megadott titkos kulcs nyilvános részével. Ellenőrizze, hogy a tanúsítvány érvényes-e?

  Ez a hiba akkor fordul elő, ha nem egyesíti az aláírt CSR-t ugyanazzal a CSR-kéréssel, amelyet kezdeményezett. Minden létrehozott új CSR rendelkezik egy titkos kulccsal, amelynek egyeznie kell az aláírt kérelem egyesítésekor.

• A CSR egyesítésekor egyesíteni fogja a teljes láncot?

  Igen, egyesíti a teljes láncot, feltéve, hogy a felhasználó visszahozott egy .p7b fájlt az egyesítéshez.

• Mi a teendő, ha a kiállított tanúsítvány letiltott állapotban van a Azure Portal?

  Tekintse meg a Tanúsítványművelet lapot a tanúsítvány hibaüzenetének áttekintéséhez.

• Mi a teendő, ha a következő hibaüzenet jelenik meg: "A megadott tulajdonosnév nem érvényes X500-név"?

  Ez a hiba akkor fordulhat elő, ha a SubjectName speciális karaktereket tartalmaz. Tekintse meg a jegyzeteket a Azure Portal és a PowerShell-utasításokban.

• Hibatípus : A tanúsítvány lekéréséhez használt CSR már használatban van. Próbáljon meg új tanúsítványt létrehozni egy új CSR-sel. Nyissa meg a tanúsítvány "Speciális szabályzat" szakaszát, és ellenőrizze, hogy ki van-e kapcsolva az "újrahasználati kulcs megújításkor" lehetőség.

---

Következő lépések

• Hitelesítés, kérések és válaszok
• Key Vault fejlesztői útmutató
• Azure Key Vault REST API-referencia
• Tárolók – Létrehozás vagy frissítés
• Tárolók – Hozzáférési szabályzat frissítése