A Key Vault integrálása az integrált hitelesítésszolgáltatókkal
Az Azure Key Vault lehetővé teszi a hálózat digitális tanúsítványainak egyszerű kiépítését, kezelését és üzembe helyezését, valamint az alkalmazások biztonságos kommunikációjának engedélyezését. A digitális tanúsítvány olyan elektronikus hitelesítő adat, amely egy elektronikus tranzakcióban igazolja a személyazonosságát.
Az Azure Key Vault megbízható partneri viszonyban áll a következő hitelesítésszolgáltatókkal:
Az Azure Key Vault felhasználók közvetlenül a kulcstartókból hozhatnak létre DigiCert-/GlobalSign-tanúsítványokat. Key Vault partnersége biztosítja a DigiCert által kibocsátott tanúsítványok teljes körű tanúsítványéletciklus-kezelését.
A tanúsítványokkal kapcsolatos általános információkért lásd: Azure Key Vault-tanúsítványok.
Ha nem rendelkezik Azure-előfizetéssel, a kezdés előtt hozzon létre egy ingyenes fiókot .
Előfeltételek
A cikkben ismertetett eljárások elvégzéséhez a következőket kell elvégeznie:
- Egy kulcstartó. Használhat egy meglévő kulcstartót, vagy létrehozhat egyet az alábbi rövid útmutatók egyikének végrehajtásával:
- Aktivált DigiCert CertCentral-fiók. Regisztráljon a CertCentral-fiókjára.
- Rendszergazdai szintű engedélyek a fiókokban.
Előkészületek
DigiCert
Győződjön meg arról, hogy rendelkezik a DigiCert CertCentral-fiókjából származó alábbi információkkal:
- CertCentral-fiók azonosítója
- Szervezet azonosítója
- API-kulcs
- Fiókazonosító
- Fiók jelszava
Globalsign
Győződjön meg arról, hogy rendelkezik a következő információkkal a globális bejelentkezési fiókjából:
- Fiókazonosító
- Fiók jelszava
- A rendszergazda utóneve
- A rendszergazda vezetékneve
- A rendszergazda e-mail-címe
- A rendszergazda telefonszáma
A hitelesítésszolgáltató hozzáadása a Key Vault
Miután összegyűjtötte a fenti adatokat a DigiCert CertCentral-fiókjából, hozzáadhatja a DigiCertet a hitelesítésszolgáltatói listához a kulcstartóban.
Azure Portal (DigiCert)
A DigiCert tanúsítványszolgáltató hozzáadásához lépjen arra a kulcstartóra, amelyhez hozzá szeretné adni.
A Key Vault tulajdonságlapon válassza a Tanúsítványok lehetőséget.
Válassza a Hitelesítésszolgáltatók lapot:
Válassza a Hozzáadás:
A Hitelesítésszolgáltató létrehozása területen adja meg az alábbi értékeket:
- Név: Azonosítható kiállító neve. Például : DigiCertCA.
- Szolgáltató: DigiCert.
- Fiókazonosító: A DigiCert CertCentral-fiók azonosítója.
- Fiók jelszava: A DigiCert CertCentral-fiókban létrehozott API-kulcs.
- Szervezeti azonosító: A DigiCert CertCentral-fiók szervezeti azonosítója.
Válassza a Létrehozás lehetőséget.
A DigicertCA már szerepel a hitelesítésszolgáltatói listában.
Azure Portal (GlobalSign)
A GlobalSign tanúsítványszolgáltató hozzáadásához lépjen arra a kulcstartóra, amelyhez hozzá szeretné adni.
A Key Vault tulajdonságlapon válassza a Tanúsítványok lehetőséget.
Válassza a Hitelesítésszolgáltatók lapot:
Válassza a Hozzáadás:
A Hitelesítésszolgáltató létrehozása területen adja meg az alábbi értékeket:
- Név: Azonosítható kiállító neve. Például : GlobalSignCA.
- Szolgáltató: GlobalSign.
- Fiókazonosító: A GlobalSign-fiók azonosítója.
- Fiókjelszó: A GlobalSign-fiók jelszava.
- A rendszergazda utóneve: A globális bejelentkezési fiók rendszergazdájának utóneve.
- A rendszergazda vezetékneve: A globális bejelentkezési fiók rendszergazdájának vezetékneve.
- A rendszergazda e-mail-címe: A globális bejelentkezési fiók rendszergazdájának e-mail-címe.
- A rendszergazda telefonszáma: A globális bejelentkezési fiók rendszergazdájának telefonszáma.
Válassza a Létrehozás lehetőséget.
A GlobalSignCA mostantól szerepel a hitelesítésszolgáltatói listában.
Azure PowerShell
A Azure PowerShell parancsokkal vagy szkriptekkel hozhat létre és kezelhet Azure-erőforrásokat. Az Azure üzemelteti az Azure Cloud Shell interaktív rendszerhéj-környezetet, amelyet a böngészőben a Azure Portal keresztül használhat.
Ha a PowerShell helyi telepítését és használatát választja, az itt ismertetett eljárások elvégzéséhez az Azure AZ PowerShell 1.0.0-s vagy újabb modulja szükséges. A verzió meghatározásához írja be $PSVersionTable.PSVersion
a következőt: . Ha frissítenie kell, tekintse meg az Azure AZ PowerShell-modul telepítését ismertető cikket. Ha helyileg futtatja a PowerShellt, az Azure-ral való kapcsolat létrehozásához is futnia Connect-AzAccount
kell:
Connect-AzAccount
Hozzon létre egy Azure-erőforráscsoportot a New-AzResourceGroup használatával. Az erőforráscsoport olyan logikai tároló, amelybe a rendszer üzembe helyezi és kezeli az Azure-erőforrásokat.
New-AzResourceGroup -Name ContosoResourceGroup -Location EastUS
Hozzon létre egy egyedi nevű kulcstartót.
Contoso-Vaultname
Itt található a kulcstartó neve.- Tároló neve:
Contoso-Vaultname
- Erőforráscsoport neve:
ContosoResourceGroup
- Hely:
EastUS
New-AzKeyVault -Name 'Contoso-Vaultname' -ResourceGroupName 'ContosoResourceGroup' -Location 'EastUS'
- Tároló neve:
Definiáljon változókat a DigiCert CertCentral-fiók következő értékeihez:
- Fiókazonosító
- Szervezet azonosítója
- API-kulcs
$accountId = "myDigiCertCertCentralAccountID" $org = New-AzKeyVaultCertificateOrganizationDetail -Id OrganizationIDfromDigiCertAccount $secureApiKey = ConvertTo-SecureString DigiCertCertCentralAPIKey -AsPlainText –Force
Állítsa be a kiállítót. Ezzel hozzáadja a Digicertet hitelesítésszolgáltatóként a kulcstartóhoz. További információ a paraméterekről.
Set-AzKeyVaultCertificateIssuer -VaultName "Contoso-Vaultname" -Name "TestIssuer01" -IssuerProvider DigiCert -AccountId $accountId -ApiKey $secureApiKey -OrganizationDetails $org -PassThru
Állítsa be a tanúsítványra vonatkozó szabályzatot, és állítson ki tanúsítványt a DigiCertből közvetlenül a Key Vault:
$Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "TestIssuer01" -ValidityInMonths 12 -RenewAtNumberOfDaysBeforeExpiry 60 Add-AzKeyVaultCertificate -VaultName "Contoso-Vaultname" -Name "ExampleCertificate" -CertificatePolicy $Policy
A tanúsítványt a DigiCert hitelesítésszolgáltató állítja ki a megadott kulcstartóban.
Hibaelhárítás
Ha a kibocsátott tanúsítvány le van tiltva az Azure Portal, tekintse meg a tanúsítványműveletet a tanúsítvány DigiCert-hibaüzenetének áttekintéséhez:
Hibaüzenet: "Egyesítés végrehajtásával fejezze be ezt a tanúsítványkérelmet."
A kérelem befejezéséhez egyesítse a hitelesítésszolgáltató által aláírt CSR-t. A CSR egyesítéséről további információt a CSR létrehozása és egyesítése című témakörben talál.
További információ: Tanúsítványműveletek a Key Vault REST API-referenciában. Az engedélyek létrehozásával kapcsolatos információkért lásd: Tárolók – Létrehozás vagy frissítés és Tárolók – Frissítési hozzáférési szabályzat.