Share via

A Key Vault integrálása az integrált hitelesítésszolgáltatókkal

  • Cikk

Az Azure Key Vault lehetővé teszi a hálózat digitális tanúsítványainak egyszerű kiépítését, kezelését és üzembe helyezését, valamint az alkalmazások biztonságos kommunikációjának engedélyezését. A digitális tanúsítvány olyan elektronikus hitelesítő adat, amely egy elektronikus tranzakcióban igazolja a személyazonosságát.

Az Azure Key Vault megbízható partneri viszonyban áll a következő hitelesítésszolgáltatókkal:

Az Azure Key Vault felhasználók közvetlenül a kulcstartókból hozhatnak létre DigiCert-/GlobalSign-tanúsítványokat. Key Vault partnersége biztosítja a DigiCert által kibocsátott tanúsítványok teljes körű tanúsítványéletciklus-kezelését.

A tanúsítványokkal kapcsolatos általános információkért lásd: Azure Key Vault-tanúsítványok.

Ha nem rendelkezik Azure-előfizetéssel, a kezdés előtt hozzon létre egy ingyenes fiókot .

Előfeltételek

A cikkben ismertetett eljárások elvégzéséhez a következőket kell elvégeznie:

Előkészületek

DigiCert

Győződjön meg arról, hogy rendelkezik a DigiCert CertCentral-fiókjából származó alábbi információkkal:

  • CertCentral-fiók azonosítója
  • Szervezet azonosítója
  • API-kulcs
  • Fiókazonosító
  • Fiók jelszava

Globalsign

Győződjön meg arról, hogy rendelkezik a következő információkkal a globális bejelentkezési fiókjából:

  • Fiókazonosító
  • Fiók jelszava
  • A rendszergazda utóneve
  • A rendszergazda vezetékneve
  • A rendszergazda e-mail-címe
  • A rendszergazda telefonszáma

A hitelesítésszolgáltató hozzáadása a Key Vault

Miután összegyűjtötte a fenti adatokat a DigiCert CertCentral-fiókjából, hozzáadhatja a DigiCertet a hitelesítésszolgáltatói listához a kulcstartóban.

Azure Portal (DigiCert)

  1. A DigiCert tanúsítványszolgáltató hozzáadásához lépjen arra a kulcstartóra, amelyhez hozzá szeretné adni.

  2. A Key Vault tulajdonságlapon válassza a Tanúsítványok lehetőséget.

  3. Válassza a Hitelesítésszolgáltatók lapot: Képernyőkép a Hitelesítésszolgáltatók lap kiválasztásáról.

  4. Válassza a Hozzáadás: Képernyőkép lehetőséget, amely a Hitelesítésszolgáltatók lapon a Hozzáadás gombot jeleníti meg.

  5. A Hitelesítésszolgáltató létrehozása területen adja meg az alábbi értékeket:

    • Név: Azonosítható kiállító neve. Például : DigiCertCA.
    • Szolgáltató: DigiCert.
    • Fiókazonosító: A DigiCert CertCentral-fiók azonosítója.
    • Fiók jelszava: A DigiCert CertCentral-fiókban létrehozott API-kulcs.
    • Szervezeti azonosító: A DigiCert CertCentral-fiók szervezeti azonosítója.

  6. Válassza a Létrehozás lehetőséget.

A DigicertCA már szerepel a hitelesítésszolgáltatói listában.

Azure Portal (GlobalSign)

  1. A GlobalSign tanúsítványszolgáltató hozzáadásához lépjen arra a kulcstartóra, amelyhez hozzá szeretné adni.

  2. A Key Vault tulajdonságlapon válassza a Tanúsítványok lehetőséget.

  3. Válassza a Hitelesítésszolgáltatók lapot: Képernyőkép a Hitelesítésszolgáltatók lap kiválasztásáról.

  4. Válassza a Hozzáadás: Képernyőkép lehetőséget, amelyen a Globális aláíró hitelesítésszolgáltatók lap Hozzáadás gombja látható.

  5. A Hitelesítésszolgáltató létrehozása területen adja meg az alábbi értékeket:

    • Név: Azonosítható kiállító neve. Például : GlobalSignCA.
    • Szolgáltató: GlobalSign.
    • Fiókazonosító: A GlobalSign-fiók azonosítója.
    • Fiókjelszó: A GlobalSign-fiók jelszava.
    • A rendszergazda utóneve: A globális bejelentkezési fiók rendszergazdájának utóneve.
    • A rendszergazda vezetékneve: A globális bejelentkezési fiók rendszergazdájának vezetékneve.
    • A rendszergazda e-mail-címe: A globális bejelentkezési fiók rendszergazdájának e-mail-címe.
    • A rendszergazda telefonszáma: A globális bejelentkezési fiók rendszergazdájának telefonszáma.

  6. Válassza a Létrehozás lehetőséget.

A GlobalSignCA mostantól szerepel a hitelesítésszolgáltatói listában.

Azure PowerShell

A Azure PowerShell parancsokkal vagy szkriptekkel hozhat létre és kezelhet Azure-erőforrásokat. Az Azure üzemelteti az Azure Cloud Shell interaktív rendszerhéj-környezetet, amelyet a böngészőben a Azure Portal keresztül használhat.

Ha a PowerShell helyi telepítését és használatát választja, az itt ismertetett eljárások elvégzéséhez az Azure AZ PowerShell 1.0.0-s vagy újabb modulja szükséges. A verzió meghatározásához írja be $PSVersionTable.PSVersion a következőt: . Ha frissítenie kell, tekintse meg az Azure AZ PowerShell-modul telepítését ismertető cikket. Ha helyileg futtatja a PowerShellt, az Azure-ral való kapcsolat létrehozásához is futnia Connect-AzAccount kell:

Connect-AzAccount

  1. Hozzon létre egy Azure-erőforráscsoportot a New-AzResourceGroup használatával. Az erőforráscsoport olyan logikai tároló, amelybe a rendszer üzembe helyezi és kezeli az Azure-erőforrásokat.

    New-AzResourceGroup -Name ContosoResourceGroup -Location EastUS

  2. Hozzon létre egy egyedi nevű kulcstartót. Contoso-Vaultname Itt található a kulcstartó neve.

    • Tároló neve: Contoso-Vaultname
    • Erőforráscsoport neve: ContosoResourceGroup
    • Hely: EastUS
    New-AzKeyVault -Name 'Contoso-Vaultname' -ResourceGroupName 'ContosoResourceGroup' -Location 'EastUS'

  3. Definiáljon változókat a DigiCert CertCentral-fiók következő értékeihez:

    • Fiókazonosító
    • Szervezet azonosítója
    • API-kulcs
    $accountId = "myDigiCertCertCentralAccountID"
$org = New-AzKeyVaultCertificateOrganizationDetail -Id OrganizationIDfromDigiCertAccount
$secureApiKey = ConvertTo-SecureString DigiCertCertCentralAPIKey -AsPlainText –Force

  4. Állítsa be a kiállítót. Ezzel hozzáadja a Digicertet hitelesítésszolgáltatóként a kulcstartóhoz. További információ a paraméterekről.

    Set-AzKeyVaultCertificateIssuer -VaultName "Contoso-Vaultname" -Name "TestIssuer01" -IssuerProvider DigiCert -AccountId $accountId -ApiKey $secureApiKey -OrganizationDetails $org -PassThru

  5. Állítsa be a tanúsítványra vonatkozó szabályzatot, és állítson ki tanúsítványt a DigiCertből közvetlenül a Key Vault:

    $Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "TestIssuer01" -ValidityInMonths 12 -RenewAtNumberOfDaysBeforeExpiry 60
Add-AzKeyVaultCertificate -VaultName "Contoso-Vaultname" -Name "ExampleCertificate" -CertificatePolicy $Policy

A tanúsítványt a DigiCert hitelesítésszolgáltató állítja ki a megadott kulcstartóban.

Hibaelhárítás

Ha a kibocsátott tanúsítvány le van tiltva az Azure Portal, tekintse meg a tanúsítványműveletet a tanúsítvány DigiCert-hibaüzenetének áttekintéséhez:

Képernyőkép a Tanúsítványművelet lapról.

Hibaüzenet: "Egyesítés végrehajtásával fejezze be ezt a tanúsítványkérelmet."

A kérelem befejezéséhez egyesítse a hitelesítésszolgáltató által aláírt CSR-t. A CSR egyesítéséről további információt a CSR létrehozása és egyesítése című témakörben talál.

További információ: Tanúsítványműveletek a Key Vault REST API-referenciában. Az engedélyek létrehozásával kapcsolatos információkért lásd: Tárolók – Létrehozás vagy frissítés és Tárolók – Frissítési hozzáférési szabályzat.

Következő lépések