Rozpoczynanie pracy z certyfikatami usługi Key Vault

W poniższych scenariuszach przedstawiono kilka podstawowych przypadków użycia usługi zarządzania certyfikatami Key Vault, w tym dodatkowe kroki wymagane do utworzenia pierwszego certyfikatu w magazynie kluczy.

Poniżej opisano następujące kwestie:

  • Tworzenie pierwszego certyfikatu Key Vault
  • Tworzenie certyfikatu z urzędem certyfikacji, który jest partnerem Key Vault
  • Tworzenie certyfikatu z urzędem certyfikacji, który nie jest partnerem Key Vault
  • Importowanie certyfikatu

Certyfikaty są obiektami złożonymi

Certyfikaty składają się z trzech powiązanych zasobów połączonych razem jako certyfikat Key Vault; metadanych certyfikatu, klucza i wpisu tajnego.

Certificates are complex

Tworzenie pierwszego certyfikatu Key Vault

Aby można było utworzyć certyfikat w Key Vault (KV), należy pomyślnie wykonać kroki wymagań wstępnych 1 i 2, a magazyn kluczy musi istnieć dla tego użytkownika/organizacji.

Krok 1 . Dostawcy urzędu certyfikacji

  • Dołączanie jako administrator IT, administrator infrastruktury kluczy publicznych lub każda osoba zarządzająca kontami z urzędami certyfikacji dla danej firmy (np. Contoso) jest wymaganiem wstępnym do korzystania z certyfikatów Key Vault.
    Następujące urzędy certyfikacji są bieżącymi dostawcami partnerskimi z Key Vault. Więcej informacji można znaleźć tutaj
    • DigiCert — Key Vault oferuje certyfikaty TLS/SSL OV z firmą DigiCert.
    • GlobalSign — Key Vault oferuje certyfikaty TLS/SSL OV z globalsign.

Krok 2. Administrator konta dostawcy urzędu certyfikacji tworzy poświadczenia używane przez Key Vault do rejestrowania, odnawiania i używania certyfikatów TLS/SSL za pośrednictwem Key Vault.

Krok 3. Administrator firmy Contoso wraz z pracownikiem firmy Contoso (Key Vault użytkownikiem), który jest właścicielem certyfikatów, w zależności od urzędu certyfikacji, może uzyskać certyfikat od administratora lub bezpośrednio z konta z urzędem certyfikacji.

  • Rozpocznij operację dodawania poświadczeń do magazynu kluczy, ustawiając zasób wystawcy certyfikatów . Wystawca certyfikatu jest jednostką reprezentowaną w usłudze Azure Key Vault (KV) jako zasób CertificateIssuer. Służy do dostarczania informacji o źródle certyfikatu KV; nazwa wystawcy, dostawca, poświadczenia i inne szczegóły administracyjne.
    • Np. MyDigiCertIssuer

      • Dostawca
      • Poświadczenia — poświadczenia konta urzędu certyfikacji. Każdy urząd certyfikacji ma własne dane.

      Aby uzyskać więcej informacji na temat tworzenia kont z dostawcami urzędu certyfikacji, zobacz powiązany wpis na blogu Key Vault.

Krok 3.1 . Konfigurowanie kontaktów certyfikatów na potrzeby powiadomień. Jest to kontakt dla użytkownika Key Vault. Key Vault nie wymusza tego kroku.

Uwaga — ten proces, w kroku 3.1, jest jednorazową operacją.

Tworzenie certyfikatu z urzędem certyfikacji partnerem Key Vault

Create a certificate with a Key Vault partnered certificate authority

Krok 4 . Poniższe opisy odpowiadają zielonym numerom kroków na powyższym diagramie.
(1) — Na powyższym diagramie aplikacja tworzy certyfikat, który wewnętrznie rozpoczyna się od utworzenia klucza w magazynie kluczy.
(2) — Key Vault wysyła żądanie certyfikatu TLS/SSL do urzędu certyfikacji.
(3) — Aplikacja sonduje w pętli i procesie oczekiwania dla Key Vault ukończenia certyfikatu. Tworzenie certyfikatu kończy się, gdy usługa Key Vault otrzyma odpowiedź od urzędu certyfikacji z certyfikatem X.509.
(4) — urząd certyfikacji odpowiada na żądanie certyfikatu TLS/SSL Key Vault przy użyciu certyfikatu TLS/SSL X509.
(5) — Tworzenie nowego certyfikatu kończy się połączeniem certyfikatu X509 dla urzędu certyfikacji.

Key Vault użytkownika — tworzy certyfikat, określając zasady

  • Powtórz w razie potrzeby

  • Ograniczenia zasad

    • Właściwości X509
    • Kluczowe właściwości
    • Dokumentacja dostawcy — > np. MyDigiCertIssure
    • Informacje o odnowieniu — > np. 90 dni przed wygaśnięciem
  • Proces tworzenia certyfikatu jest zwykle procesem asynchronicznym i obejmuje sondowanie magazynu kluczy pod kątem stanu operacji tworzenia certyfikatu.
    Pobieranie operacji certyfikatu

    • Stan: ukończono, nie powiodło się z informacjami o błędzie lub anulowano
    • Ze względu na opóźnienie tworzenia można zainicjować operację anulowania. Anulowanie może lub nie jest skuteczne.

Zasady zabezpieczeń sieci i dostępu skojarzone ze zintegrowanym urzędem certyfikacji

usługa Key Vault wysyła żądania do urzędu certyfikacji (ruch wychodzący). W związku z tym jest ona w pełni zgodna z magazynami kluczy z włączoną zaporą. Key Vault nie udostępnia zasad dostępu do urzędu certyfikacji. Urząd certyfikacji musi być skonfigurowany do niezależnego akceptowania żądań podpisywania. Przewodnik dotyczący integrowania zaufanego urzędu certyfikacji

Importowanie certyfikatu

Alternatywnie — certyfikat można zaimportować do Key Vault — PFX lub PEM.

Importowanie certyfikatu — wymaga dysku PEM lub PFX i posiadania klucza prywatnego.

  • Musisz określić: nazwę magazynu i nazwę certyfikatu (zasady są opcjonalne)

  • Pliki PEM/PFX zawierają atrybuty, które KV mogą analizować i używać do wypełniania zasad certyfikatu. Jeśli zasady certyfikatów zostały już określone, narzędzie KV spróbuje dopasować dane z pliku PFX/PEM.

  • Po zakończeniu importowania kolejne operacje będą używać nowych zasad (nowych wersji).

  • Jeśli nie ma żadnych dalszych operacji, pierwszą rzeczą, którą Key Vault wykonuje, jest wysłanie powiadomienia o wygaśnięciu.

  • Ponadto użytkownik może edytować zasady, które działają w momencie importowania, ale zawiera wartości domyślne, w których nie określono żadnych informacji podczas importowania. Np. brak informacji o wystawcy

Obsługiwane formaty importu

Usługa Azure Key Vault obsługuje pliki certyfikatów pem i pfx do importowania certyfikatów do magazynu kluczy. Obsługujemy następujący typ importu dla formatu pliku PEM. Jeden certyfikat zakodowany za pomocą standardu PEM wraz z zakodowanym kluczem PKCS#8, niezaszyfrowany klucz, który ma następujące elementy

CERTYFIKAT -----BEGIN----- -----END CERTIFICATE-----

-----BEGIN PRIVATE KEY----- -----END PRIVATE KEY-----

Podczas importowania certyfikatu należy upewnić się, że klucz jest uwzględniony w samym pliku. Jeśli klucz prywatny jest oddzielnie w innym formacie, należy połączyć klucz z certyfikatem. Niektóre urzędy certyfikacji udostępniają certyfikaty w różnych formatach, dlatego przed zaimportowaniem certyfikatu upewnij się, że są w formacie pem lub pfx.

Uwaga

Upewnij się, że żadne inne metadane nie są obecne w pliku certyfikatu i że klucz prywatny nie jest wyświetlany jako zaszyfrowany.

Obsługiwane formaty scalania CSR

Usługa AKV obsługuje 2 formaty oparte na modelu PEM. Można scalić jeden certyfikat zakodowany za pomocą protokołu PKCS#8 lub zakodowany w formacie Base64 P7B (łańcuch certyfikatów podpisanych przez urząd certyfikacji). Jeśli chcesz ukryć format P7B w obsługiwanym formacie, możesz użyć narzędzia certutil -encode

CERTYFIKAT -----BEGIN----- -----END CERTIFICATE-----

Tworzenie certyfikatu z urzędem certyfikacji, który nie jest partnerem Key Vault

Ta metoda umożliwia pracę z innymi urzędami certyfikacji niż dostawcy partnerów Key Vault, co oznacza, że organizacja może pracować z wybranym urzędem certyfikacji.

Create a certificate with your own certificate authority

Poniższe opisy kroków odpowiadają zielonym literom kroków na powyższym diagramie.

(1) — Na powyższym diagramie aplikacja tworzy certyfikat, który wewnętrznie rozpoczyna się od utworzenia klucza w magazynie kluczy.

(2) — Key Vault powróci do aplikacji żądanie podpisania certyfikatu (CSR).

(3) — Aplikacja przekazuje żądanie CSR do wybranego urzędu certyfikacji.

(4) — Wybrany urząd certyfikacji odpowiada certyfikatem X509.

(5) — Aplikacja kończy tworzenie nowego certyfikatu z połączeniem certyfikatu X509 z urzędu certyfikacji.