Creare e unire una richiesta di firma del certificato in Key Vault

Azure Key Vault supporta l'archiviazione di certificati digitali emessi da un'autorità di certificazione (CA). Supporta la creazione di una richiesta di firma del certificato (CSR) con una coppia di chiavi pubblica/privata. La richiesta CSR può essere firmata da qualsiasi CA (una CA aziendale interna oppure una pubblica esterna). Una richiesta di firma del certificato è un messaggio inviato a una CA allo scopo di richiedere un certificato digitale.

Per informazioni più generali sui certificati, vedere Certificati di Azure Key Vault.

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Aggiungere in Key Vault i certificati emessi da CA partner

Key Vault collabora con le autorità di certificazione seguenti per semplificare la creazione di certificati.

Provider	Tipo di certificato	Eseguire la configurazione
DigiCert	Key Vault offre certificati SSL OV o EV con DigiCert	Guida all'integrazione
GlobalSign	Key Vault offre certificati SSL OV o EV con GlobalSign	Guida all'integrazione

Aggiungere in Key Vault i certificati emessi da CA non partner

Seguire questi passaggi per aggiungere un certificato emesso da CA che non sono partner di Key Vault. Ad esempio, GoDaddy non è una CA considerata attendibile in Key Vault.

Portale

1. Passare all'insieme di credenziali delle chiavi in cui aggiungere il certificato.

2. Nella pagina delle proprietà selezionare Certificati.

3. Selezionare la scheda Genera/Importa.

4. Nella schermata che consente di creare un certificato scegliere i seguenti valori:

   • Metodo di creazione del certificato: Genera.
   • Nome del certificato: ContosoManualCSRCertificate.
   • Tipo di Autorità di certificazione: certificato rilasciato da un'autorità di certificazione non integrata.
   • Soggetto: "CN=www.contosoHRApp.com".

   Nota

   Se si usa un nome distinto relativo il cui valore contiene una virgola (,), racchiudere tra virgolette doppie il valore che contiene il carattere speciale.

   Voce di esempio per Soggetto: DC=Contoso,OU="Docs,Contoso",CN=www.contosoHRApp.com

   In questo esempio il nome distinto relativo OU contiene un valore con una virgola nel nome. L'output risultante per OU è Docs, Contoso.

5. Selezionare gli altri valori desiderati, quindi selezionare Crea per aggiungere il certificato all'elenco Certificati.

   

6. Nell'elenco Certificati selezionare il nuovo certificato. Lo stato corrente del certificato sarà disabilitato perché non è ancora stato emesso dall'autorità di certificazione.

7. Nella scheda Operazione relativa al certificato selezionare Scarica file CSR.

   

8. Chiedere alla CA di firmare la richiesta CSR (con estensione csr).

9. Dopo la firma della richiesta, selezionare Unisci la richiesta firmata nella scheda Operazione relativa al certificato per aggiungere il certificato firmato in Key Vault.

La richiesta di certificato è stata ora unita correttamente.

PowerShell

1. Creare criteri dei certificati. Poiché la CA scelta in questo scenario non è partner, IssuerName è impostato su Unknown e Key Vault non registra né rinnova il certificato.

   $policy = New-AzKeyVaultCertificatePolicy -SubjectName "CN=www.contosoHRApp.com" -ValidityInMonths 1  -IssuerName Unknown
   

   Nota

   Se si usa un nome distinto relativo il cui valore contiene una virgola (,), usare le virgolette singole per il valore o il set di valori completo e racchiudere tra virgolette doppie il valore che contiene il carattere speciale.

   Voce di esempio per SubjectName: $policy = New-AzKeyVaultCertificatePolicy -SubjectName 'OU="Docs,Contoso",DC=Contoso,CN=www.contosoHRApp.com' -ValidityInMonths 1 -IssuerName Unknown. In questo esempio, il valore OU viene letto come Docs, Contoso. Questo formato funziona per tutti i valori che contengono una virgola.

   In questo esempio il nome distinto relativo OU contiene un valore con una virgola nel nome. L'output risultante per OU è Docs, Contoso.

2. Creare la richiesta CSR.

   $csr = Add-AzKeyVaultCertificate -VaultName ContosoKV -Name ContosoManualCSRCertificate -CertificatePolicy $policy
   $csr.CertificateSigningRequest
   

3. Chiedere alla CA di firmare la richiesta CSR. $csr.CertificateSigningRequest corrisponde alla richiesta CSR con codifica di base per il certificato. È possibile eseguire il dump di questo BLOB nel sito Web della richiesta di certificato dell'autorità di certificazione. Questo passaggio varia da una CA all'altra. Per informazioni su come eseguirlo, vedere le linee guida della CA in uso. È anche possibile usare strumenti come certreq o openssl per ottenere la richiesta CSR firmata e completare il processo di generazione di un certificato.

4. Unire la richiesta firmata in Key Vault. Una volta firmata, è possibile unire la richiesta di certificato con la coppia di chiavi pubblica/privata creata in Azure Key Vault.

   Import-AzKeyVaultCertificate -VaultName ContosoKV -Name ContosoManualCSRCertificate -FilePath C:\test\OutputCertificateFile.cer
   

La richiesta di certificato è stata ora unita correttamente.

Aggiungere altre informazioni alla richiesta CSR

Se si vogliono aggiungere altre informazioni durante la creazione della CSR, definirle in SubjectName. Potrebbe essere necessario aggiungere informazioni come:

• Paese/area geografica
• Città/località
• Stato/provincia
• Organizzazione
• Unità organizzativa

Esempio

SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US"

Nota

Se si richiede un certificato di convalida del dominio con informazioni aggiuntive, la CA potrebbe rifiutare la richiesta se non è in grado di convalidare tutte le informazioni al suo interno. Le informazioni aggiuntive potrebbero essere più appropriate se si richiede un certificato di convalida dell'organizzazione.

Domande frequenti

• Come è possibile monitorare o gestire le richieste CSR?

  Vedere Monitorare e gestire la creazione di certificati.

• Perché viene visualizzato il messaggio Tipo di errore: 'La chiave pubblica del certificato di entità finale nel contenuto del certificato X. 509 specificato non corrisponde alla parte pubblica della chiave privata specificata. Assicurarsi che il certificato sia valido'?

  Questo errore si verifica se la richiesta CSR firmata non viene unita alla stessa richiesta CSR avviata. Ogni nuova richiesta CSR creata include una chiave privata, che deve corrispondere quando si unisce la richiesta firmata.

• Con l'unione di una richiesta CSR, viene unita l'intera catena?

  Sì, verrà unita l'intera catena, purché l'utente abbia recuperato un file p7b da unire.

• Cosa succede se il certificato emesso risulta disabilitato nel portale di Azure?

  Per esaminare il messaggio di errore relativo al certificato, visualizzare la scheda Operazione relativa al certificato.

• Perché viene visualizzato un messaggio analogo a Tipo di errore: 'Il nome soggetto specificato non è un nome X500 valido'?

  Questo errore può verificarsi se SubjectName include caratteri speciali. Vedere le note nel portale di Azure e le istruzioni di PowerShell.

• Tipo di errore La richiesta di firme del certificato usata per ottenere il certificato è già stata usata. Provare a generare un nuovo certificato con una nuova richiesta di firma del certificato. Passare alla sezione 'Criteri avanzati' del certificato e verificare se l'opzione 'Usare di nuovo la chiave in fase di rinnovo?' è disattivata.

---

Passaggi successivi

• Autenticazione, richieste e risposte
• Guida per gli sviluppatori all'insieme di credenziali delle chiavi
• Informazioni di riferimento sull'API REST di Azure Key Vault
• Insiemi di credenziali delle chiavi - Creare o aggiornare
• Insiemi di credenziali - Aggiornare i criteri di accesso