Aan de slag gaan met Key Vault-certificaten

  • Artikel
  • 5 minuten om te lezen

In de volgende scenario's worden verschillende primaire gebruiksgegevens van de certificaatbeheerservice van Key Vault beschreven, inclusief de aanvullende stappen die nodig zijn voor het maken van uw eerste certificaat in uw sleutelkluis.

Het volgende wordt beschreven:

  • Uw eerste certificaat Key Vault maken
  • Een certificaat maken met een certificeringsinstantie die is partner met Key Vault
  • Een certificaat maken met een certificeringsinstantie die geen partner is met Key Vault
  • Certificaat importeren

Certificaten zijn complexe objecten

Certificaten bestaan uit drie gerelateerde resources die aan elkaar zijn gekoppeld als Key Vault certificaat; metagegevens van het certificaat, een sleutel en een geheim.

Certificaten zijn complex

Uw eerste certificaat Key Vault maken

Voordat een certificaat kan worden gemaakt in een Key Vault (KV), moeten vereiste stappen 1 en 2 worden uitgevoerd en moet er een sleutelkluis bestaan voor deze gebruiker/organisatie.

Stap 1: Providers van certificeringsinstantie (CA)

  • Instappen als IT-beheerder, PKI-beheerder of iemand die accounts met CAs beheert voor een bepaald bedrijf (bijvoorbeeld Contoso) is een vereiste voor het gebruik van Key Vault certificaten.
    De volgende CAs zijn de huidige partnerproviders met Key Vault. Klik hier voor meer informatie
    • DigiCert: Key Vault OV TLS/SSL-certificaten met DigiCert.
    • GlobalSign: Key Vault biedt OV TLS/SSL-certificaten aan met GlobalSign.

Stap 2: een accountbeheerder van een CA-provider maakt referenties die door Key Vault moeten worden gebruikt om TLS/SSL-certificaten in te schrijven, te vernieuwen en te gebruiken via Key Vault.

Stap 3: een Contoso-beheerder, samen met een Contoso-werknemer (Key Vault-gebruiker) die eigenaar is van certificaten, kan, afhankelijk van de CA, een certificaat van de beheerder verkrijgen of rechtstreeks vanuit het account met de CA.

  • Begin met het toevoegen van een referentiebewerking aan een sleutelkluis door een certificaatvergeverresource in te stellen. Een certificaatverkender is een entiteit die in Azure Key Vault (KV) wordt weergegeven als een CertificateIssuer-resource. Het wordt gebruikt om informatie te geven over de bron van een KV-certificaat; naam van verlener, provider, referenties en andere beheergegevens.

    • Bijvoorbeeld MyDigiCertIssuer

      • Provider
      • Referenties – ca-accountreferenties. Elke CA heeft zijn eigen specifieke gegevens.

      Zie voor meer informatie over het maken van accounts met CA-providers het gerelateerde bericht op de Key Vault blog.

Stap 3.1: certificaatcontactcontacten instellen voor meldingen. Dit is de contactpersoon voor de Key Vault gebruiker. Key Vault dwingt deze stap niet af.

Opmerking: dit proces, in stap 3.1, is een eentime-bewerking.

Een certificaat maken met een CA die is partner van Key Vault

Een certificaat maken met een Key Vault van een partnercertificaatinstantie

Stap 4: de volgende beschrijvingen komen overeen met de groene genummerde stappen in het voorgaande diagram.
(1) In het bovenstaande diagram maakt uw toepassing een certificaat dat intern begint met het maken van een sleutel in uw sleutelkluis.
(2) - Key Vault verzendt een TLS/SSL-certificaataanvraag naar de CA.
(3) - Uw toepassing pollt, in een lus- en wachtproces, totdat uw Key Vault certificaat is voltooid. Het maken van het certificaat is voltooid wanneer Key Vault de reactie van de certificeringsinstantie met x509-certificaat ontvangt.
(4) - De CA reageert op Key Vault TLS/SSL-certificaataanvraag met een X509 TLS/SSL-certificaat.
(5) - Het maken van een nieuw certificaat wordt voltooid met de fusie van het X509-certificaat voor de CA.

Key Vault: maakt een certificaat door een beleid op te geven

  • Herhaal dit naar behoefte

  • Beleidsbeperkingen

    • X509-eigenschappen
    • Belangrijkste eigenschappen
    • Providerverwijzing: > ex. MyDigiCertIssure
    • Vernieuwingsgegevens - > ex. 90 dagen vóór de vervaldatum

  • Een proces voor het maken van een certificaat is meestal een asynchroon proces en omvat het nasluizen van uw sleutelkluis voor de status van de certificaatbewerking.
    Certificaatbewerking verkrijgen

    • Status: voltooid, mislukt met foutgegevens of geannuleerd
    • Vanwege de vertraging bij het maken, kan een annuleringsbewerking worden gestart. De annulering kan al dan niet van kracht zijn.

Netwerkbeveiligings- en toegangsbeleid dat is gekoppeld aan geïntegreerde CA

Key Vault service verzendt aanvragen naar CA (uitgaand verkeer). Daarom is het volledig compatibel met sleutelkluizen die zijn ingeschakeld voor de firewall. De Key Vault deelt geen toegangsbeleid met de CA. De CA moet zodanig worden geconfigureerd dat ondertekeningsaanvragen onafhankelijk worden geaccepteerd. Handleiding voor het integreren van vertrouwde CA

Certificaat importeren

U kunt ook een certificaat importeren in Key Vault: PFX of PEM.

Certificaat importeren: vereist dat een PEM of PFX op de schijf staat en een persoonlijke sleutel heeft.

  • U moet opgeven: kluisnaam en certificaatnaam (beleid is optioneel)

  • PEM-/PFX-bestanden bevatten kenmerken die KV kan parseren en gebruiken om het certificaatbeleid te vullen. Als er al een certificaatbeleid is opgegeven, probeert KV de gegevens uit het PFX-/PEM-bestand te vinden.

  • Zodra het importeren is definitief, gebruiken volgende bewerkingen het nieuwe beleid (nieuwe versies).

  • Als er geen verdere bewerkingen zijn, is het eerste wat de Key Vault doet, een verloopbericht verzenden.

  • De gebruiker kan ook het beleid bewerken, dat functioneel is op het moment van importeren, maar standaardwaarden bevat waarin geen informatie is opgegeven bij het importeren. Bijvoorbeeld geen vereengevergegevens

Indelingen van importeren die worden ondersteund

Azure Key Vault ondersteunt PEM- en PFX-certificaatbestanden voor het importeren van certificaten in Key Vault. We ondersteunen het volgende type import voor PEM-bestandsindeling. Eén met PEM gecodeerd certificaat en een met PKCS#8 gecodeerde, niet-versleutelde sleutel met het volgende

-----BEGIN CERTIFICATE----- -----END CERTIFICATE-----

----- PERSOONLIJKE SLEUTEL----- -----END PERSOONLIJKE SLEUTEL-----

Wanneer u het certificaat importeert, moet u ervoor zorgen dat de sleutel is opgenomen in het bestand zelf. Als u de persoonlijke sleutel afzonderlijk in een andere indeling hebt, moet u de sleutel combineren met het certificaat. Sommige certificeringsinstanties bieden certificaten in verschillende indelingen, dus voordat u het certificaat importeert, moet u ervoor zorgen dat ze de INDELING .pem of .pfx hebben.

Notitie

Zorg ervoor dat er geen andere metagegevens aanwezig zijn in het certificaatbestand en dat de persoonlijke sleutel niet wordt weergegeven als versleuteld.

Indelingen van Csr samenvoegen die we ondersteunen

AKV ondersteunt twee PEM-indelingen. U kunt één met PKCS#8 gecodeerd certificaat samenvoegen of een met base64 gecodeerde P7B (keten van certificaten die zijn ondertekend door CA)

-----BEGIN CERTIFICATE----- -----END CERTIFICATE-----

Een certificaat maken met een CA die geen partner is van Key Vault

Met deze methode kunt u werken met andere CA's dan Key Vault partnerproviders van uw organisatie, wat betekent dat uw organisatie kan werken met een ca naar keuze.

Een certificaat maken met uw eigen certificeringsinstantie

De beschrijvingen van de volgende stappen komen overeen met de stappen met groene letters in het voorgaande diagram.

(1) In het bovenstaande diagram maakt uw toepassing een certificaat, dat intern begint met het maken van een sleutel in uw sleutelkluis.

(2) - Key Vault retourneert naar uw toepassing een Aanvraag voor certificaat ondertekenen (CSR).

(3) - Uw toepassing geeft de CSR door aan de gekozen CA.

(4) De gekozen CA reageert met een X509-certificaat.

(5) Uw toepassing voltooit het maken van het nieuwe certificaat met een fusie van het X509-certificaat van uw CA.