Kom igång med Key Vault-certifikat

  • Artikel

Den här riktlinjen hjälper dig att komma igång med certifikathantering i Key Vault.

Lista över scenarier som beskrivs här:

  • Skapa ditt första Key Vault-certifikat
  • Skapa ett certifikat med en certifikatutfärdare som samarbetar med Key Vault
  • Skapa ett certifikat med en certifikatutfärdare som inte samarbetar med Key Vault
  • Importera ett certifikat

Certifikat är komplexa objekt

Certifikat består av tre sammankopplade resurser som länkas samman som ett Key Vault-certifikat. certifikatmetadata, en nyckel och en hemlighet.

Certifikat är komplexa

Skapa ditt första Key Vault-certifikat

Innan ett certifikat kan skapas i ett Nyckelvalv (KV) måste nödvändiga steg 1 och 2 utföras och ett nyckelvalv måste finnas för den här användaren/organisationen.

Steg 1: Certifikatutfärdare (CA) Providers

  • On-boarding som IT-administratör, PKI-administratör eller alla som hanterar konton med certifikatutfärdare för ett visst företag (t.ex. Contoso) är en förutsättning för att använda Key Vault-certifikat.
    Följande certifikatutfärdare är de aktuella partnerleverantörerna med Key Vault. Läs mer här
    • DigiCert – Key Vault erbjuder OV TLS/SSL-certifikat med DigiCert.
    • GlobalSign – Key Vault erbjuder OV TLS/SSL-certifikat med GlobalSign.

Steg 2: En kontoadministratör för en CA-provider skapar autentiseringsuppgifter som ska användas av Key Vault för att registrera, förnya och använda TLS/SSL-certifikat via Key Vault.

Steg 3a: En Contoso-administratör, tillsammans med en Contoso-anställd (Key Vault-användare) som äger certifikat, beroende på certifikatutfärdaren, kan hämta ett certifikat från administratören eller direkt från kontot med certifikatutfärdaren.

  • Påbörja en åtgärd för att lägga till autentiseringsuppgifter i ett nyckelvalv genom att ange en certifikatutfärdarresurs . En certifikatutfärdare är en entitet som representeras i Azure Key Vault (KV) som en CertificateIssuer-resurs. Den används för att ge information om källan till ett KV-certifikat. utfärdarnamn, provider, autentiseringsuppgifter och annan administrativ information.

    • T.ex. MyDigiCertIssuer

      • Provider
      • Autentiseringsuppgifter – CA-kontoautentiseringsuppgifter. Varje certifikatutfärdarorganisation har sina egna specifika data.

      Mer information om hur du skapar konton med CA-leverantörer finns i det relaterade inlägget på Key Vault-bloggen.

Steg 3b: Konfigurera certifikatkontakter för meddelanden. Det här är kontakten för Key Vault-användaren. Key Vault tillämpar inte det här steget.

Obs! Den här processen, via steg 3b, är en engångsåtgärd.

Skapa ett certifikat med en certifikatutfärdare som samarbetar med Key Vault

Skapa ett certifikat med en Key Vault-partnercertifikatutfärdare

Steg 4: Följande beskrivningar motsvarar de gröna numrerade stegen i föregående diagram.
(1) – I diagrammet ovan skapar programmet ett certifikat som börjar internt genom att skapa en nyckel i nyckelvalvet.
(2) – Key Vault skickar en TLS/SSL-certifikatbegäran till certifikatutfärdare.
(3) – Programmet avsöker, i en loop och vänteprocess, för ditt Key Vault för att slutföra certifikatet. Skapandet av certifikat är klar när Key Vault tar emot certifikatutfärdarens svar med X.509-certifikat.
(4) – Certifikatutfärdare svarar på Key Vaults TLS/SSL-certifikatbegäran med ett X509 TLS/SSL-certifikat.
(5) – Ditt nya certifikat skapas i och med sammanslagningen av X509-certifikatet för certifikatutfärdare.

Key Vault-användare – skapar ett certifikat genom att ange en princip

  • Upprepa efter behov

  • Principbegränsningar

    • X509-egenskaper
    • Nyckelegenskaper
    • Providerreferens – > till ex. MyDigiCertIssure
    • Förnyelseinformation – > 90 dagar före förfallodatum

  • En process för att skapa certifikat är vanligtvis en asynkron process och omfattar avsökning av nyckelvalvet för tillståndet för åtgärden skapa certifikat.
    Hämta certifikatåtgärd

    • Status: slutförd, misslyckades med felinformation eller avbröts
    • På grund av fördröjningen att skapa kan en avbryt-åtgärd initieras. Avbokningen kanske eller kanske inte är effektiv.

Nätverkssäkerhets- och åtkomstprinciper som är associerade med integrerad CA

Key Vault-tjänsten skickar begäranden till CA (utgående trafik). Därför är den helt kompatibel med brandväggsaktiverade nyckelvalv. Key Vault delar inte åtkomstprinciper med ca:en. Certifikatet måste konfigureras för att acceptera signeringsbegäranden oberoende av varandra. Guide om integrering av betrodd ca

Importera ett certifikat

Alternativt – ett certifikat kan importeras till Key Vault – PFX eller PEM.

Importera certifikat – kräver att en PEM eller PFX finns på disken och har en privat nyckel.

  • Du måste ange: valvnamn och certifikatnamn (principen är valfri)

  • PEM/PFX-filer innehåller attribut som KV kan parsa och använda för att fylla i certifikatprincipen. Om en certifikatprincip redan har angetts försöker KV matcha data från PFX/PEM-filen.

  • När importen är klar använder efterföljande åtgärder den nya principen (nya versioner).

  • Om det inte finns några ytterligare åtgärder är det första som Key Vault gör att skicka ett förfallomeddelande.

  • Användaren kan också redigera principen, som fungerar vid tidpunkten för importen men som innehåller standardvärden där ingen information angavs vid importen. Till ex. ingen information om utfärdare

Importformat som vi stöder

Azure Key Vault stöder .pem- och .pfx-certifikatfiler för import av certifikat till Key Vault. Vi stöder följande typ av import för PEM-filformat. Ett enda PEM-kodat certifikat tillsammans med en PKCS#8-kodad, okrypterad nyckel som har följande format:

-----BEGIN-CERTIFIKAT-----

-----END CERTIFICATE-----

-----BEGIN PRIVATE KEY-----

-----END PRIVATE KEY-----

När du importerar certifikatet måste du se till att nyckeln ingår i själva filen. Om du har den privata nyckeln separat i ett annat format måste du kombinera nyckeln med certifikatet. Vissa certifikatutfärdare tillhandahåller certifikat i olika format, och innan du importerar certifikatet kontrollerar du därför att de antingen är i .pem- eller .pfx-format.

Kommentar

Kontrollera att inga andra metadata finns i certifikatfilen och att den privata nyckeln inte visas som krypterad.

Format för sammanslagning av CSR som vi stöder

Azure Key Vault stöder PKCS#8-kodat certifikat med rubrikerna nedan:

-----BEGIN-CERTIFIKAT-----

-----END CERTIFICATE-----

Kommentar

P7B(PKCS#7) signerad certifikatkedja, som ofta används av certifikatutfärdare (CA), stöds så länge som är base64-kodad. Du kan använda certutil -encode för att konvertera till format som stöds.

Skapa ett certifikat med en certifikatutfärdare som inte samarbetar med Key Vault

Med den här metoden kan du arbeta med andra certifikatutfärdare än Key Vaults partnerleverantörer, vilket innebär att din organisation kan arbeta med en certifikatutfärdare.

Skapa ett certifikat med din egen certifikatutfärdare

Följande stegbeskrivningar motsvarar de gröna bokstavsstegen i föregående diagram.

(1) – I diagrammet ovan skapar programmet ett certifikat som börjar internt genom att skapa en nyckel i nyckelvalvet.

(2) – Key Vault returnerar till ditt program en certifikatsigneringsbegäran (CSR).

(3) – Ditt program skickar CSR till din valda certifikatleverantör.

(4) – Din valda certifikatutfärdare svarar med ett X509-certifikat.

(5) – Ditt program slutför skapandet av det nya certifikatet med en sammanslagning av X509-certifikatet från din certifikatutfärdare.