Tworzenie i scalanie żądania podpisywania certyfikatu w Key Vault

Usługa Azure Key Vault obsługuje przechowywanie certyfikatów cyfrowych wystawionych przez dowolny urząd certyfikacji. Obsługuje tworzenie żądania podpisania certyfikatu (CSR) z parą kluczy prywatnych/publicznych. Csr może być podpisany przez dowolny urząd certyfikacji (wewnętrzny urząd certyfikacji przedsiębiorstwa lub zewnętrzny publiczny urząd certyfikacji). Żądanie podpisania certyfikatu (CSR) to komunikat wysyłany do urzędu certyfikacji w celu żądania certyfikatu cyfrowego.

Aby uzyskać więcej ogólnych informacji na temat certyfikatów, zobacz Azure Key Vault certificates (Certyfikaty usługi Azure Key Vault).

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Dodawanie certyfikatów w Key Vault wystawionych przez partnerowanych urzędów certyfikacji

Key Vault partnerów z następującymi urzędami certyfikacji w celu uproszczenia tworzenia certyfikatów.

Dostawca	Typ certyfikatu	Konfiguracja konfiguracji
DigiCert	Key Vault oferuje certyfikaty SSL OV lub EV z firmą DigiCert	Przewodnik integracji
GlobalSign	Key Vault oferuje certyfikaty SSL OV lub EV z globalsign	Przewodnik integracji

Dodawanie certyfikatów w Key Vault wystawionych przez urzędy certyfikacji nienależące do partnerów

Wykonaj następujące kroki, aby dodać certyfikat z urzędów certyfikacji, które nie są partnerem Key Vault. (Na przykład usługa GoDaddy nie jest zaufanym urzędem certyfikacji Key Vault).

Portal

1. Przejdź do magazynu kluczy, do którego chcesz dodać certyfikat.

2. Na stronie właściwości wybierz pozycję Certyfikaty.

3. Wybierz kartę Generuj/Importuj .

4. Na ekranie Tworzenie certyfikatu wybierz następujące wartości:

   • Metoda tworzenia certyfikatu: Generowanie.
   • Nazwa certyfikatu: ContosoManualCSRCertificate.
   • Typ urzędu certyfikacji: certyfikat wystawiony przez niezintegrowany urząd certyfikacji.
   • Temat: "CN=www.contosoHRApp.com".

   Uwaga

   Jeśli używasz względnej nazwy wyróżniającej (RDN), która ma przecinek (,) w wartości, zawijaj wartość zawierającą znak specjalny w cudzysłowach podwójnych.

   Przykładowy wpis do tematu: DC=Contoso,OU="Docs,Contoso",CN=www.contosoHRApp.com

   W tym przykładzie nazwa RDN OU zawiera wartość z przecinkiem w nazwie. Wynikowe dane wyjściowe to OUDocs, Contoso.

5. Wybierz inne wartości zgodnie z potrzebami, a następnie wybierz pozycję Utwórz , aby dodać certyfikat do listy Certyfikaty .

   

6. Na liście Certyfikaty wybierz nowy certyfikat. Bieżący stan certyfikatu jest wyłączony , ponieważ nie został jeszcze wystawiony przez urząd certyfikacji.

7. Na karcie Operacja certyfikatu wybierz pozycję Pobierz csr.

   

8. Urząd certyfikacji podpisze csr (csr).

9. Po podpisaniu żądania wybierz pozycję Scal podpisane żądanie na karcie Operacja certyfikatu, aby dodać podpisany certyfikat do Key Vault.

Żądanie certyfikatu zostało pomyślnie scalone.

Program PowerShell

1. Utwórz zasady certyfikatu. Ponieważ urząd certyfikacji wybrany w tym scenariuszu nie jest partnerem, wartość IssuerName jest ustawiona na Nieznany, a Key Vault nie rejestruje ani nie odnawia certyfikatu.

   $policy = New-AzKeyVaultCertificatePolicy -SubjectName "CN=www.contosoHRApp.com" -ValidityInMonths 1  -IssuerName Unknown
   

   Uwaga

   Jeśli używasz względnej nazwy wyróżniającej (RDN), która ma przecinek (,) w wartości, użyj pojedynczych cudzysłowów dla pełnej wartości lub zestawu wartości i zawijaj wartość zawierającą znak specjalny w cudzysłowach podwójnych.

   Przykładowy wpis na SubjectName: $policy = New-AzKeyVaultCertificatePolicy -SubjectName 'OU="Docs,Contoso",DC=Contoso,CN=www.contosoHRApp.com' -ValidityInMonths 1 -IssuerName Unknown. W tym przykładzie OU wartość jest odczytywana jako Docs, Contoso. Ten format działa dla wszystkich wartości zawierających przecinek.

   W tym przykładzie nazwa RDN OU zawiera wartość z przecinkiem w nazwie. Wynikowe dane wyjściowe to OUDocs, Contoso.

2. Utwórz csr.

   $csr = Add-AzKeyVaultCertificate -VaultName ContosoKV -Name ContosoManualCSRCertificate -CertificatePolicy $policy
   $csr.CertificateSigningRequest
   

3. Urząd certyfikacji podpisze csr. Jest $csr.CertificateSigningRequest to podstawowy kodowany csr dla certyfikatu. Ten obiekt blob można zrzucić do witryny internetowej żądania certyfikatu wystawcy. Ten krok różni się od urzędu certyfikacji do urzędu certyfikacji. Zapoznaj się z wytycznymi urzędu certyfikacji dotyczącymi wykonywania tego kroku. Możesz również użyć narzędzi, takich jak certreq lub openssl, aby uzyskać podpisany csr i ukończyć proces generowania certyfikatu.

4. Scal podpisane żądanie w Key Vault. Po podpisaniu żądania certyfikatu można scalić je z początkową parą kluczy prywatnych/publicznych utworzonych w usłudze Azure Key Vault.

   Import-AzKeyVaultCertificate -VaultName ContosoKV -Name ContosoManualCSRCertificate -FilePath C:\test\OutputCertificateFile.cer
   

Żądanie certyfikatu zostało pomyślnie scalone.

Dodawanie dodatkowych informacji do csr

Jeśli chcesz dodać więcej informacji podczas tworzenia csr, zdefiniuj je w polu SubjectName. Możesz dodać informacje, takie jak:

• Kraj/region
• Miasto/miejscowość
• Województwo
• Organizacja
• Jednostka organizacyjna

Przykład

SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US"

Uwaga

Jeśli żądasz certyfikatu weryfikacji domeny (DV) z dodatkowymi informacjami, urząd certyfikacji może odrzucić żądanie, jeśli nie może zweryfikować wszystkich informacji w żądaniu. Dodatkowe informacje mogą być bardziej odpowiednie, jeśli żądasz certyfikatu weryfikacji organizacji (OV).

Często zadawane pytania

• Jak mogę monitorować moją odpowiedzialność lub zarządzać nią?

  Zobacz Monitorowanie tworzenia certyfikatów i zarządzanie nim.

• Co zrobić, jeśli widzę typ błędu "Klucz publiczny certyfikatu jednostki końcowej w określonej zawartości certyfikatu X.509 nie jest zgodny z publiczną częścią określonego klucza prywatnego. Sprawdź, czy certyfikat jest prawidłowy?

  Ten błąd występuje, jeśli nie scalasz podpisanego żądania CSR z tym samym zainicjowanym żądaniem CSR. Każdy utworzony plik CSR ma klucz prywatny, który musi być zgodny podczas scalania podpisanego żądania.

• Czy po scaleniu csr scali cały łańcuch?

  Tak, scali cały łańcuch, pod warunkiem, że użytkownik przywróci plik p7b do scalenia.

• Co zrobić, jeśli wystawiony certyfikat jest w stanie wyłączonym w Azure Portal?

  Wyświetl kartę Operacja certyfikatu , aby przejrzeć komunikat o błędzie dla tego certyfikatu.

• Co zrobić, jeśli widzę typ błędu "Podana nazwa podmiotu nie jest prawidłową nazwą X500"?

  Ten błąd może wystąpić, jeśli nazwa PodmiotName zawiera znaki specjalne. Zobacz notatki w instrukcjach dotyczących Azure Portal i programu PowerShell.

• Typ błędu CSR użyty do pobrania certyfikatu został już użyty. Spróbuj wygenerować nowy certyfikat z nowym certyfikatem CSR. Przejdź do sekcji "Zasady zaawansowane" certyfikatu i sprawdź, czy opcja "ponowne użycie klucza podczas odnawiania" jest wyłączona.

---

Następne kroki

• Uwierzytelnianie, żądania i odpowiedzi
• Przewodnik dewelopera usługi Key Vault
• Dokumentacja interfejsu API REST usługi Azure Key Vault
• Magazyny — tworzenie lub aktualizowanie
• Magazyny — aktualizowanie zasad dostępu