Aan de slag gaan met Key Vault-certificaten

  • Artikel

In de volgende scenario's worden verschillende primaire gebruikstoepassingen van de certificaatbeheerservice van Key Vault beschreven, inclusief de aanvullende stappen die nodig zijn voor het maken van uw eerste certificaat in uw sleutelkluis.

Het volgende wordt beschreven:

  • Uw eerste Key Vault-certificaat maken
  • Een certificaat maken met een certificeringsinstantie die is gekoppeld aan Key Vault
  • Een certificaat maken met een certificeringsinstantie die niet is gekoppeld aan Key Vault
  • Certificaat importeren

Certificaten zijn complexe objecten

Certificaten bestaan uit drie onderling verbonden resources die zijn gekoppeld als een Key Vault certificaat: certificaatmetagegevens, een sleutel en een geheim.

Certificaten zijn complex

Uw eerste Key Vault-certificaat maken

Voordat een certificaat kan worden gemaakt in een Key Vault (KV), moeten de vereiste stappen 1 en 2 worden uitgevoerd en moet er een sleutelkluis bestaan voor deze gebruiker/organisatie.

Stap 1: Ca-providers (certificeringsinstantie)

  • Onboarding als de IT-Beheer, PKI-Beheer of iedereen die accounts met CA's beheert, voor een bepaald bedrijf (bijvoorbeeld Contoso) is een vereiste voor het gebruik van Key Vault certificaten.
    De volgende CA's zijn de huidige partnerproviders met Key Vault. Klik hier voor meer informatie
    • DigiCert : Key Vault biedt OV TLS/SSL-certificaten met DigiCert.
    • GlobalSign - Key Vault biedt OV TLS/SSL-certificaten met GlobalSign.

Stap 2: Een accountbeheerder voor een CA-provider maakt referenties die door Key Vault moeten worden gebruikt om TLS/SSL-certificaten via Key Vault in te schrijven, te vernieuwen en te gebruiken.

Stap 3a: Een Contoso-beheerder kan, samen met een Contoso-werknemer (Key Vault gebruiker) die eigenaar is van certificaten, afhankelijk van de CA, een certificaat ophalen van de beheerder of rechtstreeks van het account bij de CA.

  • Begin met het toevoegen van referenties aan een sleutelkluis door een certificaatverlenerresource in te stellen. Een certificaatverlener is een entiteit die in Azure Key Vault (KV) wordt weergegeven als een CertificateIssuer-resource. Het wordt gebruikt om informatie te verstrekken over de bron van een KV-certificaat; naam, provider, referenties en andere beheergegevens van de verlener.

    • Bijvoorbeeld MyDigiCertIssuer

      • Provider
      • Referenties: CA-accountreferenties. Elke CA heeft zijn eigen specifieke gegevens.

      Zie het gerelateerde bericht op de blog Key Vault voor meer informatie over het maken van accounts met CA-providers.

Stap 3b:Certificaatcontactpersonen instellen voor meldingen. Dit is de contactpersoon voor de Key Vault gebruiker. Key Vault dwingt deze stap niet af.

Opmerking: dit proces, via stap 3b, is een eenmalige bewerking.

Een certificaat maken met een CA die is gekoppeld aan Key Vault

Een certificaat maken met een Key Vault partnercertificaatinstantie

Stap 4: De volgende beschrijvingen komen overeen met de groene genummerde stappen in het voorgaande diagram.
(1) - In het bovenstaande diagram maakt uw toepassing een certificaat dat intern begint met het maken van een sleutel in uw sleutelkluis.
(2) - Key Vault verzendt een TLS/SSL-certificaataanvraag naar de CA.
(3) - Uw toepassing peilt in een lus- en wachtproces naar uw Key Vault voor het voltooien van het certificaat. Het maken van het certificaat is voltooid wanneer Key Vault de reactie van de certificeringsinstantie met x509-certificaat ontvangt.
(4) - De CA reageert op Key Vault TLS/SSL-certificaataanvraag met een X509 TLS/SSL-certificaat.
(5) - Het maken van het nieuwe certificaat wordt voltooid met de fusie van het X509-certificaat voor de CA.

Key Vault gebruiker: maakt een certificaat door een beleid op te geven

  • Herhaal dit indien nodig

  • Beleidsbeperkingen

    • X509-eigenschappen
    • Belangrijkste eigenschappen
    • Providerverwijzing - > bijvoorbeeld MyDigiCertIssure
    • Verlengingsinformatie - > bijvoorbeeld 90 dagen voor de vervaldatum

  • Een proces voor het maken van een certificaat is meestal een asynchroon proces en omvat het pollen van uw sleutelkluis voor de status van de bewerking voor het maken van het certificaat.
    Certificaatbewerking ophalen

    • Status: voltooid, mislukt met foutinformatie of geannuleerd
    • Vanwege de vertraging bij het maken kan een annuleringsbewerking worden gestart. De annulering kan al dan niet van kracht zijn.

Netwerkbeveiligings- en toegangsbeleid dat is gekoppeld aan geïntegreerde CA

Key Vault-service verzendt aanvragen naar CA (uitgaand verkeer). Daarom is het volledig compatibel met sleutelkluizen met firewall. De Key Vault deelt geen toegangsbeleid met de CA. De CA moet worden geconfigureerd om ondertekeningsaanvragen onafhankelijk te accepteren. Handleiding voor het integreren van vertrouwde CA

Certificaat importeren

U kunt ook een certificaat importeren in Key Vault PFX of PEM.

Certificaat importeren: vereist dat een PEM of PFX zich op een schijf bevindt en een persoonlijke sleutel heeft.

  • U moet opgeven: kluisnaam en certificaatnaam (beleid is optioneel)

  • PEM-/PFX-bestanden bevatten kenmerken die KV kan parseren en gebruiken om het certificaatbeleid te vullen. Als er al een certificaatbeleid is opgegeven, probeert KV de gegevens uit het PFX-/PEM-bestand te vinden.

  • Zodra het importeren is voltooid, gebruiken volgende bewerkingen het nieuwe beleid (nieuwe versies).

  • Als er geen verdere bewerkingen zijn, is het eerste dat de Key Vault doet een kennisgeving over de vervaldatum verzenden.

  • De gebruiker kan ook het beleid bewerken, dat functioneel is op het moment van importeren, maar standaardwaarden bevat waarbij geen informatie is opgegeven bij het importeren. Bijvoorbeeld geen informatie over verleners

Importindelingen die we ondersteunen

Azure Key Vault ondersteunt PEM- en PFX-certificaatbestanden voor het importeren van certificaten in Key Vault. We ondersteunen het volgende type import voor PEM-bestandsindeling. Een enkel PEM-gecodeerd certificaat samen met een PKCS#8 gecodeerde, niet-versleutelde sleutel met de volgende indeling:

-----BEGIN CERTIFICAAT-----

-----EIND CERTIFICAAT-----

-----BEGIN PRIVATE KEY-----

-----END PRIVATE KEY-----

Wanneer u het certificaat importeert, moet u ervoor zorgen dat de sleutel is opgenomen in het bestand zelf. Als u de persoonlijke sleutel afzonderlijk in een andere indeling hebt, moet u de sleutel combineren met het certificaat. Sommige certificeringsinstanties leveren certificaten in verschillende indelingen. Zorg er daarom voor dat ze de pem- of pfx-indeling hebben voordat u het certificaat importeert.

Notitie

Zorg ervoor dat er geen andere metagegevens aanwezig zijn in het certificaatbestand en dat de persoonlijke sleutel niet als versleuteld wordt weergegeven.

Indelingen van samenvoegings-CSR die we ondersteunen

AKV ondersteunt 2 PEM-indelingen. U kunt één PKCS#8 gecodeerd certificaat samenvoegen of een base64 gecodeerd P7B (keten van certificaten ondertekend door CA). Als u de indeling van de P7B wilt wijzigen in de ondersteunde indeling, kunt u certutil -encode gebruiken

-----BEGIN CERTIFICAAT-----

-----EIND CERTIFICAAT-----

Een certificaat maken met een CA die niet is gekoppeld aan Key Vault

Met deze methode kunt u werken met andere CA's dan de partnerproviders van Key Vault, wat betekent dat uw organisatie kan werken met een certificeringsinstantie van uw keuze.

Een certificaat maken met uw eigen certificeringsinstantie

De volgende stapbeschrijvingen komen overeen met de stappen met groene letters in het voorgaande diagram.

(1) - In het bovenstaande diagram maakt uw toepassing een certificaat, dat intern begint met het maken van een sleutel in uw sleutelkluis.

(2) - Key Vault retourneert een aanvraag voor certificaatondertekening (CSR) naar uw toepassing.

(3) - Uw toepassing geeft de CSR door aan de door u gekozen CA.

(4) - De gekozen CA reageert met een X509-certificaat.

(5) - Uw toepassing voltooit het maken van het nieuwe certificaat met een fusie van het X509-certificaat van uw CA.