Rozpoczynanie pracy z certyfikatami usługi Key VaultGet started with Key Vault certificates

Poniższe scenariusze przedstawiają kilka podstawowych zastosowań usługi zarządzania certyfikatami firmy Key Vault, w tym dodatkowe kroki wymagane do utworzenia pierwszego certyfikatu w magazynie kluczy.The following scenarios outline several of the primary usages of Key Vault’s certificate management service including the additional steps required for creating your first certificate in your key vault.

Poniżej opisano następujące kwestie:The following are outlined:

  • Tworzenie pierwszego certyfikatu Key Vault aplikacjiCreating your first Key Vault certificate
  • Tworzenie certyfikatu z urzędu certyfikacji, który jest współpracuje z Key VaultCreating a certificate with a Certificate Authority that is partnered with Key Vault
  • Tworzenie certyfikatu z urzędu certyfikacji, który nie jest partnerem Key VaultCreating a certificate with a Certificate Authority that is not partnered with Key Vault
  • Importowanie certyfikatuImport a certificate

Certyfikaty są obiektami złożonymiCertificates are complex objects

Certyfikaty składają się z trzech powiązanych zasobów połączonych ze sobą Key Vault certyfikatu; metadane certyfikatu, klucz i klucz tajny.Certificates are composed of three interrelated resources linked together as a Key Vault certificate; certificate metadata, a key, and a secret.

Certyfikaty są złożone

Tworzenie pierwszego certyfikatu Key Vault aplikacjiCreating your first Key Vault certificate

Aby można było utworzyć certyfikat w magazynie usługi Key Vault (KV), należy pomyślnie wykonać kroki 1 i 2 wymagań wstępnych, a dla tego użytkownika/organizacji musi istnieć magazyn kluczy.Before a certificate can be created in a Key Vault (KV), prerequisite steps 1 and 2 must be successfully accomplished and a key vault must exist for this user / organization.

Krok 1 — Dostawcy urzędu certyfikacjiStep 1 - Certificate Authority (CA) Providers

  • On-boarding as the IT Admin, PKI Admin or anyone managing accounts with CAs, for a given company (np.On-boarding as the IT Admin, PKI Admin or anyone managing accounts with CAs, for a given company (ex. Contoso) to wymaganie wstępne dotyczące używania Key Vault certyfikatów.Contoso) is a prerequisite to using Key Vault certificates.
    Następujące dostawcy są bieżącymi dostawcami partnerskimi z Key Vault.The following CAs are the current partnered providers with Key Vault. Więcej informacji można znaleźć tutajLearn more here
    • DigiCert — Key Vault certyfikaty OV TLS/SSL za pomocą firmy DigiCert.DigiCert - Key Vault offers OV TLS/SSL certificates with DigiCert.
    • GlobalSign — Key Vault oferuje certyfikaty OV TLS/SSL z globalsign.GlobalSign - Key Vault offers OV TLS/SSL certificates with GlobalSign.

Krok 2 . Administrator konta dostawcy urzędu certyfikacji tworzy poświadczenia, które będą używane przez usługę Key Vault do rejestrowania, odnawiania i używania certyfikatów TLS/SSL za pośrednictwem Key Vault.Step 2 - An account admin for a CA provider creates credentials to be used by Key Vault to enroll, renew, and use TLS/SSL certificates via Key Vault.

Krok 3 — administrator firmy Contoso wraz z pracownikiem firmy Contoso (użytkownikiem Key Vault), który jest właścicielem certyfikatów, w zależności od urzędu certyfikacji, może uzyskać certyfikat od administratora lub bezpośrednio z konta urzędu certyfikacji.Step 3 - A Contoso admin, along with a Contoso employee (Key Vault user) who owns certificates, depending on the CA, can get a certificate from the admin or directly from the account with the CA.

  • Rozpocznij operację dodawania poświadczeń do magazynu kluczy, ustawiając zasób wystawcy certyfikatu.Begin an add credential operation to a key vault by setting a certificate issuer resource. Wystawca certyfikatu to jednostka reprezentowana w Azure Key Vault (KV) jako zasób CertificateIssuer.A certificate issuer is an entity represented in Azure Key Vault (KV) as a CertificateIssuer resource. Służy do podania informacji o źródle certyfikatu KV; nazwa wystawcy, dostawca, poświadczenia i inne szczegóły administracyjne.It is used to provide information about the source of a KV certificate; issuer name, provider, credentials, and other administrative details.
    • Np.Ex. MyDigiCertIssuerMyDigiCertIssuer

      • DostawcaProvider
      • Poświadczenia — poświadczenia konta urzędu certyfikacji.Credentials – CA account credentials. Każdy urząd certyfikacji ma własne dane.Each CA has its own specific data.

      Aby uzyskać więcej informacji na temat tworzenia kont z dostawcami urzędu certyfikacji, zobacz powiązany wpis w Key Vault blogu.For more information on creating accounts with CA Providers, see the related post on the Key Vault blog.

Krok 3.1 . Konfigurowanie kontaktów dotyczących certyfikatów do powiadomień.Step 3.1 - Set up certificate contacts for notifications. Jest to kontakt dla Key Vault użytkownika.This is the contact for the Key Vault user. Key Vault nie wymusza tego kroku.Key Vault does not enforce this step.

Uwaga: ten proces, w kroku 3.1, jest operacją czasową.Note - This process, through step 3.1, is a onetime operation.

Tworzenie certyfikatu z urzędu certyfikacji współpracuje z Key VaultCreating a certificate with a CA partnered with Key Vault

Tworzenie certyfikatu za pomocą Key Vault partnerskiego urzędu certyfikacji

Krok 4. Poniższe opisy odpowiadają zielonym krokom numerowanych na powyższym diagramie.Step 4 - The following descriptions correspond to the green numbered steps in the preceding diagram.
(1) — na powyższym diagramie aplikacja tworzy certyfikat, który wewnętrznie rozpoczyna się od utworzenia klucza w magazynie kluczy.(1) - In the diagram above, your application is creating a certificate which internally begins by creating a key in your key vault.
(2) — Key Vault wysyła żądanie certyfikatu TLS/SSL do urzędu certyfikacji.(2) - Key Vault sends an TLS/SSL Certificate Request to the CA.
(3) — aplikacja sonduje w procesie pętli i oczekiwania, aby Key Vault uzupełniania certyfikatów.(3) - Your application polls, in a loop and wait process, for your Key Vault for certificate completion. Tworzenie certyfikatu kończy się, gdy usługa Key Vault otrzyma odpowiedź od urzędu certyfikacji z certyfikatem X.509.The certificate creation is complete when Key Vault receives the CA’s response with x509 certificate.
(4) — urząd certyfikacji odpowiada na Key Vault certyfikatu TLS/SSL za pomocą certyfikatu X509 TLS/SSL.(4) - The CA responds to Key Vault's TLS/SSL Certificate Request with an X509 TLS/SSL Certificate.
(5) — tworzenie nowego certyfikatu kończy się scalenie certyfikatu X509 urzędu certyfikacji.(5) - Your new certificate creation completes with the merger of the X509 Certificate for the CA.

Key Vault użytkownika — tworzy certyfikat przez określenie zasadKey Vault user – creates a certificate by specifying a policy

  • Powtarzaj zgodnie z potrzebamiRepeat as needed

  • Ograniczenia zasadPolicy constraints

    • Właściwości X509X509 properties
    • Kluczowe właściwościKey properties
    • Odwołanie do dostawcy — > przykładProvider reference - > ex. MyDigiCertIssureMyDigiCertIssure
    • Informacje dotyczące odnawiania — > np.Renewal information - > ex. 90 dni przed wygaśnięciem90 days before expiry
  • Proces tworzenia certyfikatu jest zwykle procesem asynchronicznym i obejmuje sondowanie magazynu kluczy pod celu sprawdzania stanu operacji tworzenia certyfikatu.A certificate creation process is usually an asynchronous process and involves polling your key vault for the state of the create certificate operation.
    Operacja pobierz certyfikatGet certificate operation

    • Stan: ukończone, zakończone niepowodzeniem z informacjami o błędzie lub anulowaneStatus: completed, failed with error information or, canceled
    • Z powodu opóźnienia tworzenia można zainicjować operację anulowania.Because of the delay to create, a cancel operation can be initiated. Anulowanie może, ale nie musi, być skuteczne.The cancel may or may not be effective.

Zasady zabezpieczeń sieci i dostępu skojarzone ze zintegrowanym dostępem urzędu certyfikacjiNetwork security and access policies associated with integrated CA

Key Vault wysyła żądania do urzędu certyfikacji (ruch wychodzący).Key Vault service sends requests to CA (outbound traffic). W związku z tym jest w pełni zgodna z magazynami kluczy z włączoną zaporą.Therefore, it’s fully compatible with firewall enabled key vaults. Certyfikat Key Vault nie współużytkuje zasad dostępu z dostępem urzędu certyfikacji.The Key Vault does not share access policies with the CA. Urząd certyfikacji musi być skonfigurowany do niezależnego akceptowania żądań podpisywania.The CA must be configured to accept signing requests independently. Przewodnik po integracji zaufanego urzędu certyfikacjiGuide on integrating trusted CA

Importowanie certyfikatuImport a certificate

Alternatywnie — certyfikat można zaimportować do Key Vault — PFX lub PEM.Alternatively – a cert can be imported into Key Vault – PFX or PEM.

Certyfikat importu — wymaga, aby certyfikat PEM lub PFX był na dysku i miał klucz prywatny.Import certificate – requires a PEM or PFX to be on disk and have a private key.

  • Należy określić: nazwę magazynu i nazwę certyfikatu (zasady są opcjonalne)You must specify: vault name and certificate name (policy is optional)

  • Pliki PEM/PFX zawierają atrybuty, których KV może analizujeć i używać do wypełniania zasad certyfikatów.PEM / PFX files contains attributes that KV can parse and use to populate the certificate policy. Jeśli zasady certyfikatów są już określone, KV spróbuje dopasować dane z pliku PFX/PEM.If a certificate policy is already specified, KV will try to match data from PFX / PEM file.

  • Po zakończeniu importowania kolejne operacje będą używać nowych zasad (nowych wersji).Once the import is final, subsequent operations will use the new policy (new versions).

  • Jeśli nie ma żadnych dalszych operacji, pierwszą rzeczą, którą Key Vault, jest wysłanie powiadomienia o wygaśnięciu.If there are no further operations, the first thing the Key Vault does is send an expiration notice.

  • Ponadto użytkownik może edytować zasady, które działają w momencie importowania, ale zawierają wartości domyślne, w których podczas importowania nie określono żadnych informacji.Also, the user can edit the policy, which is functional at the time of import but, contains defaults where no information was specified at import. Np.Ex. brak informacji o wystawcyno issuer info

Formaty importów, które obsługujemyFormats of Import we support

Azure Key Vault obsługuje pliki certyfikatów pem i pfx w celu importowania certyfikatów do magazynu kluczy.Azure Key Vault supports .pem and .pfx certificate files for importing Certificates into Key vault. Obsługujemy następujący typ importu dla formatu pliku PEM.We support the following type of Import for PEM file format. Pojedynczy certyfikat zakodowany w formacie PEM wraz z kluczem niezaszyfrowanym PKCS#8, który ma następujące elementy:A single PEM encoded certificate along with a PKCS#8 encoded, unencrypted key which has the following

-----BEGIN CERTIFICATE----- -----END CERTIFICATE----------BEGIN CERTIFICATE----- -----END CERTIFICATE-----

-----BEGIN PRIVATE KEY----- -----END PRIVATE KEY (KLUCZ PRYWATNY ----- -----BEGIN----------BEGIN PRIVATE KEY----- -----END PRIVATE KEY-----

Podczas importowania certyfikatu należy się upewnić, że klucz znajduje się w samym pliku.When you are importing the certificate, you need to ensure that the key is included in the file itself. Jeśli klucz prywatny jest używany oddzielnie w innym formacie, należy połączyć klucz z certyfikatem.If you have the private key separately in a different format, you would need to combine the key with the certificate. Niektóre urzędy certyfikacji zapewniają certyfikaty w różnych formatach, dlatego przed zaimportowaniem certyfikatu upewnij się, że są one w formacie pem lub pfx.Some certificate authorities provide certificates in different formats, therefore before importing the certificate, make sure that they are either in .pem or .pfx format.

Uwaga

Upewnij się, że w pliku certyfikatu nie ma żadnych innych metadanych i że klucz prywatny nie jest pokazywany jako zaszyfrowany.Ensure that no other meta data is present in the certificate file and that the private key not showing as encrypted.

Formaty scalania csr, które obsługujemyFormats of Merge CSR we support

AkV obsługuje 2 formaty oparte na PEM.AKV supports 2 PEM based formats. Możesz scalić pojedynczy certyfikat zakodowany w formacie PKCS#8 lub certyfikat P7B zakodowany w formacie base64 (łańcuch certyfikatów podpisanych przez urząd certyfikacji)You can either merge a single PKCS#8 encoded certificate or a base64 encoded P7B (chain of certificates signed by CA)

-----BEGIN CERTIFICATE----- -----END CERTIFICATE----------BEGIN CERTIFICATE----- -----END CERTIFICATE-----

Tworzenie certyfikatu z urzędu certyfikacji nie współpracuje z Key VaultCreating a certificate with a CA not partnered with Key Vault

Ta metoda umożliwia pracę z innymi Key Vault niż dostawcy Key Vault, co oznacza, że Twoja organizacja może współpracować z wybranego urzędu certyfikacji.This method allows working with other CAs than Key Vault's partnered providers, meaning your organization can work with a CA of its choice.

Tworzenie certyfikatu przy użyciu własnego urzędu certyfikacji

Poniższe opisy kroków odpowiadają krokom z zielonymi literami na poprzednim diagramie.The following step descriptions correspond to the green lettered steps in the preceding diagram.

(1) — Na powyższym diagramie aplikacja tworzy certyfikat, który wewnętrznie rozpoczyna się od utworzenia klucza w magazynie kluczy.(1) - In the diagram above, your application is creating a certificate, which internally begins by creating a key in your key vault.

(2) — Key Vault do aplikacji żądanie podpisania certyfikatu (CSR).(2) - Key Vault returns to your application a Certificate Signing Request (CSR).

(3) — Aplikacja przekazuje zgłoszenie do wybranego urzędu certyfikacji.(3) - Your application passes the CSR to your chosen CA.

(4) — wybrany urząd certyfikacji odpowiada certyfikatem X509.(4) - Your chosen CA responds with an X509 Certificate.

(5) — Aplikacja kończy tworzenie nowego certyfikatu przez połączenie certyfikatu X509 z urzędu certyfikacji.(5) - Your application completes the new certificate creation with a merger of the X509 Certificate from your CA.