Certificate creation methods

  • Cikk

A Kulcstartó (KV) tanúsítvány létrehozható vagy importálható egy kulcstartóba. KV-tanúsítvány létrehozásakor a titkos kulcs a kulcstartóban jön létre, és soha nem lesz kitéve a tanúsítvány tulajdonosának. A következő módokon hozhat létre tanúsítványt a Key Vaultban:

  • Önaláírt tanúsítvány létrehozása: Hozzon létre egy nyilvános-privát kulcspárt, és társítsa egy tanúsítvánnyal. A tanúsítványt a saját kulcsa fogja aláírni.

  • Hozzon létre manuálisan egy új tanúsítványt: Hozzon létre egy nyilvános-privát kulcspárt, és hozzon létre egy X.509-tanúsítvány-aláírási kérelmet. Az aláírási kérelmet a regisztrációs hatóság vagy a hitelesítésszolgáltató is aláírhatja. Az aláírt x509-tanúsítvány egyesíthető a függőben lévő kulcspárral a KV-tanúsítvány Key Vaultban való befejezéséhez. Bár ez a módszer több lépést igényel, nagyobb biztonságot nyújt, mivel a titkos kulcs a Key Vaultban jön létre, és a kulcstartóra korlátozódik.

Create a certificate with your own certificate authority

Az alábbi leírások az előző diagram zöld betűs lépéseinek felelnek meg.

  1. A diagramon az alkalmazás létrehoz egy tanúsítványt, amely belsőleg egy kulcs létrehozásával kezdődik a kulcstartóban.
  2. A Key Vault egy tanúsítvány-aláírási kérést (CSR) ad vissza az alkalmazásnak
  3. Az alkalmazás a választott CA-nak adja tovább a CSR-t.
  4. A kiválasztott hitelesítésszolgáltató X509-tanúsítvánnyal válaszol.
  5. Az alkalmazás befejezi az új tanúsítvány létrehozását az X509-tanúsítvány hitelesítésszolgáltatótól való egyesülésével.
  • Hozzon létre egy tanúsítványt egy ismert kiállítószolgáltatóval: Ez a módszer megköveteli, hogy egyszeri feladattal hozzon létre egy kiállítóobjektumot. Miután létrehozott egy kiállítóobjektumot a kulcstartóban, a neve a KV-tanúsítvány szabályzatában hivatkozhat rá. Egy ilyen KV-tanúsítvány létrehozására irányuló kérés létrehoz egy kulcspárt a tárolóban, és a hivatkozott kiállító objektum információi alapján kommunikál a kiállító szolgáltatójával egy x509-tanúsítvány lekéréséhez. A rendszer lekéri az x509-tanúsítványt a kiállító szolgáltatásból, és a KV-tanúsítvány létrehozásának befejezéséhez egyesül a kulcspárral.

Create a certificate with a Key Vault partnered certificate authority

Az alábbi leírások az előző diagram zöld betűs lépéseinek felelnek meg.

  1. A diagramon az alkalmazás létrehoz egy tanúsítványt, amely belsőleg egy kulcs létrehozásával kezdődik a kulcstartóban.
  2. A Key Vault TLS-/SSL-tanúsítványkérelmet küld a hitelesítésszolgáltatónak.
  3. Az alkalmazás ciklikus lekérdezéseket végezve várja meg, hogy a kulcstartó elkészítse a tanúsítványt. A tanúsítvány létrehozása akkor ér véget, amikor a kulcstartó megkapja a CA válaszát az X.509-tanúsítvánnyal.
  4. A hitelesítésszolgáltató TLS/SSL-tanúsítványkérelemre válaszol TLS/SSL X.509-tanúsítvánnyal.
  5. Az új tanúsítvány létrehozása a hitelesítésszolgáltató TLS/SSL X.509 tanúsítványának összevonásával fejeződik be.

Aszinkron folyamat

A KV-tanúsítvány létrehozása aszinkron folyamat. Ez a művelet létrehoz egy KV-tanúsítványkérelemet, és egy 202-ből (elfogadott) http-állapotkódot ad vissza. A kérés állapota nyomon követhető a művelet által létrehozott függőben lévő objektum lekérdezésével. A függőben lévő objektum teljes URI-ja a LOCATION fejlécben lesz visszaadva.

Amikor egy KV-tanúsítvány létrehozására irányuló kérés befejeződik, a függőben lévő objektum állapota "befejezve" állapotúra változik a "folyamatban" állapotról, és létrejön a KV-tanúsítvány új verziója. Ez lesz az aktuális verzió.

Első létrehozás

Amikor első alkalommal hoz létre KV-tanúsítványt, egy címezhető kulcs és titkos kulcs is létrejön a tanúsítvány nevével megegyező néven. Ha a név már használatban van, a művelet a 409-ben megadott HTTP-állapotkóddal meghiúsul (ütközés). A címezhető kulcs és a titkos kód a KV-tanúsítvány attribútumaiból szerzi be az attribútumokat. Az így létrehozott címezhető kulcs és titkos kulcs felügyelt kulcsként és titkos kulcsként van megjelölve, amelynek élettartamát a Key Vault felügyeli. A felügyelt kulcsok és titkos kódok írásvédettek. Megjegyzés: Ha egy KV-tanúsítvány lejár vagy le van tiltva, a megfelelő kulcs és titkos kód működésképtelenné válik.

Ha ez az első művelet a KV-tanúsítvány létrehozásához, szabályzatra van szükség. A szabályzatok egymást követő létrehozási műveletekkel is elláthatók a szabályzaterőforrás helyére. Ha nincs megadva szabályzat, akkor a szolgáltatás szabályzaterőforrásával jön létre a KV-tanúsítvány következő verziója. Amíg a következő verzió létrehozására vonatkozó kérés folyamatban van, az aktuális KV-tanúsítvány, valamint a megfelelő címezhető kulcs és titkos kulcs változatlan marad.

Önkibocsátó tanúsítvány

Önkibocsátó tanúsítvány létrehozásához állítsa be a kiállító nevét "Önálló" értékre a tanúsítványszabályzatban, ahogyan az a tanúsítványszabályzat következő kódrészletében látható.

"issuer": {  
       "name": "Self"  
    }

Ha a kiállító neve nincs megadva, akkor a kiállító neve "Ismeretlen" értékre van állítva. Ha a kiállító "Ismeretlen", a tanúsítvány tulajdonosának manuálisan le kell szereznie egy x509-tanúsítványt a választott kiállítótól, majd egyesítenie kell a nyilvános x509-tanúsítványt a függőben lévő kulcstartó-tanúsítvánnyal a tanúsítvány létrehozásának befejezéséhez.

"issuer": {  
       "name": "Unknown"  
    }

Partneri hitelesítésszolgáltató

A tanúsítvány létrehozása manuálisan vagy "Ön" kiállítóval is elvégezhető. A Key Vault bizonyos kiállítószolgáltatókkal is együttműködik a tanúsítványok létrehozásának egyszerűsítése érdekében. A kulcstartóhoz a következő típusú tanúsítványok rendelhetők meg ezekkel a partnerkibocsátó szolgáltatókkal.

Provider Tanúsítvány típusa Konfiguráció beállítása
DigiCert A Key Vault OV- vagy EV SSL-tanúsítványokat kínál a DigiCerttel Integrációs útmutató
Globalsign A Key Vault OV- vagy EV SSL-tanúsítványokat kínál a GlobalSign használatával Integrációs útmutató

A tanúsítványkibocsátó egy, az Azure Key Vaultban (KV) a CertificateIssuer-erőforrásként képviselt entitás. A KV-tanúsítvány forrásával kapcsolatos információk megadására szolgál; kiállító neve, szolgáltató, hitelesítő adatok és egyéb rendszergazdai adatok.

Amikor egy megrendelést a kiállító szolgáltatónál ad le, a tanúsítvány típusa alapján tiszteletben tarthatja vagy felülbírálhatja az x509-tanúsítványkiterjesztéseket és a tanúsítvány érvényességi időtartamát.

Engedélyezés: A tanúsítványokhoz/létrehozási engedélyhez van szükség.

Kapcsolódó információk