Creare e unire una richiesta di firma del certificato nel Vault delle chiavi


Passaggi successivi

Il Vault delle chiavi di Azure supporta l'archiviazione di certificati digitali emessi da qualsiasi autorità di certificazione (CA). Supporta la creazione di una richiesta di firma del certificato (CSR) con una coppia di chiavi privata/pubblica. La csr può essere firmata da qualsiasi CA (una CA dell'organizzazione interna o una CA pubblica esterna). Una richiesta di firma del certificato è un messaggio inviato a un'autorità di certificazione per richiedere un certificato digitale.

Per informazioni più generali sui certificati, vedere Certificati dell'insieme di credenziali delle chiavi di Azure.

Se non si ha un abbonamento ad Azure, creare un account gratuito prima di iniziare.

Aggiungere certificati nel Vault delle chiavi emessi da CA partner

Il Vault delle chiavi collabora con le autorità di certificazione seguenti per semplificare la creazione dei certificati.

Provider Tipo di certificato Configurazione della configurazione
DigiCert Key Vault offre certificati SSL OV o EV con DigiCert Guida all'integrazione
GlobalSign Il Vault delle chiavi offre certificati SSL OV o EV con GlobalSign Guida all'integrazione

Aggiungere certificati nel Vault delle chiavi emessi da CA non partner

Seguire questa procedura per aggiungere un certificato da CA non associate al Vault delle chiavi. Ad esempio, GoDaddy non è una CA attendibile del Vault delle chiavi.

  1. Passare all'insieme di credenziali delle chiavi a cui si vuole aggiungere il certificato.

  2. Nella pagina delle proprietà selezionare Certificati.

  3. Selezionare la scheda Genera/Importa.

  4. Nella schermata Crea certificato scegliere i valori seguenti:

    • Metodo di creazione certificato: Genera.
    • Nome certificato:ContosoManualCSRCertificate.
    • Tipo di autorità di certificazione (CA):certificato emesso da una CA non integrata.
    • Oggetto: .

    Nota

    Se si usa un nome distinto relativo (RDN) che contiene una virgola (,) nel valore, racchiudere il valore che contiene il carattere speciale tra virgolette doppie.

    Voce di esempio in Oggetto:

    In questo esempio, rdn OU contiene un valore con una virgola nel nome. L'output risultante OU per è OU.

  5. Selezionare gli altri valori desiderati e quindi scegliere Crea per aggiungere il certificato all'elenco Certificati.

    Screenshot of the certificate properties

  6. Nell'elenco Certificati selezionare il nuovo certificato. Lo stato corrente del certificato è disabilitato perché non è ancora stato emesso dalla CA.

  7. Nella scheda Certificate Operation selezionare Download CSR.

    Screenshot that highlights the Download CSR button.

  8. Fare in modo che l'autorità di certificazione firmi il csr (csr).

  9. Dopo la firma della richiesta, selezionare Unisci richiesta firmata nella scheda Operazione certificato per aggiungere il certificato firmato al Vault delle chiavi.

La richiesta di certificato è stata unita correttamente.

Aggiungere altre informazioni alla RSI

Se si vogliono aggiungere altre informazioni durante la creazione della RSI, definirla in SubjectName. È consigliabile aggiungere informazioni come:

  • Paese
  • Città/città
  • Stato/provincia
  • Organizzazione
  • Unità organizzativa

Esempio

SubjectName="CN = docs.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US"

Nota

Se si richiede un certificato DV (Domain Validation) con informazioni aggiuntive, la CA potrebbe rifiutare la richiesta se non è in grado di convalidare tutte le informazioni nella richiesta. Le informazioni aggiuntive potrebbero essere più appropriate se si richiede un certificato OV (Organization Validation).

Domande frequenti

  • Come si monitora o si gestisce la RSI?

    Vedere Monitorare e gestire la creazione di certificati.

  • Cosa succede se viene visualizzato il tipo di errore "La chiave pubblica del certificato dell'entità finale nel contenuto del certificato X.509 specificato non corrisponde alla parte pubblica della chiave privata specificata. Verificare se il certificato è valido?

    Questo errore si verifica se non si sta unendo la csr firmata con la stessa richiesta csr avviata. Ogni nuovo csr creato ha una chiave privata, che deve corrispondere quando si unisce la richiesta firmata.

  • Quando una RSI viene unita, unirà l'intera catena?

    Sì, unirà l'intera catena, a condizione che l'utente abbia riportato un file P7B da unire.

  • Cosa succede se il certificato emesso è disabilitato nel portale di Azure?

    Visualizzare la scheda Operazione certificato per esaminare il messaggio di errore per il certificato.

  • Cosa succede se viene visualizzato il tipo di errore "Il nome dell'oggetto fornito non è un nome X500 valido"?

    Questo errore può verificarsi se SubjectName include caratteri speciali. Vedere le note nel portale di Azure e nelle istruzioni di PowerShell.

  • Tipo di errore Il csr usato per ottenere il certificato è già stato usato. Provare a generare un nuovo certificato con un nuovo csr. Passare alla sezione "Criteri avanzati" del certificato e verificare se l'opzione "Riutilizza chiave al rinnovo" è disattivata.