Kom igång med Key Vault-certifikat

  • Artikel
  • 4 minuter för att läsa

I följande scenarier beskrivs flera av de primära användningsområdena för Key Vault certifikathanteringstjänst, inklusive de ytterligare steg som krävs för att skapa ditt första certifikat i nyckelvalvet.

Följande beskrivs:

  • Skapa ditt första Key Vault certifikat
  • Skapa ett certifikat med en certifikatutfärdare som är partner med Key Vault
  • Skapa ett certifikat med en certifikatutfärdare som inte är partner med Key Vault
  • Importera ett certifikat

Certifikat är komplexa objekt

Certifikat består av tre relaterade resurser som är sammankopplade som Key Vault certifikat. certifikatmetadata, en nyckel och en hemlighet.

Certifikat är komplexa

Skapa ditt första Key Vault certifikat

Innan ett certifikat kan skapas i en Key Vault (KV) måste nödvändiga steg 1 och 2 utföras och det måste finnas ett nyckelvalv för den här användaren/organisationen.

Steg 1 – Certifikatutfärdarproviders

  • Inpassning som IT-administratör, PKI-administratör eller någon som hanterar konton med kundadministratörer för ett visst företag (t.ex. Contoso) är en förutsättning för att kunna Key Vault certifikat.
    Följande CAs är de aktuella partnerproviders med Key Vault. Lär dig mer här
    • DigiCert – Key Vault erbjuder OV TLS/SSL-certifikat med DigiCert.
    • GlobalSign – Key Vault erbjuder OV TLS/SSL-certifikat med GlobalSign.

Steg 2 – En kontoadministratör för en CERTIFIKATutfärdare skapar autentiseringsuppgifter som ska användas av Key Vault för att registrera, förnya och använda TLS/SSL-certifikat via Key Vault.

Steg 3 – En Contoso-administratör, tillsammans med en Contoso-anställd (Key Vault-användare) som äger certifikat, beroende på certifikatutfärdaren, kan hämta ett certifikat från administratören eller direkt från kontot med certifikatutfärdaren.

  • Påbörja en åtgärd för att lägga till autentiseringsuppgifter i ett nyckelvalv genom att ange en resurs för certifikatutfärdaren. En certifikatutfärdare är en entitet som representeras i Azure Key Vault (KV) som en CertificateIssuer-resurs. Den används för att ge information om källan till ett KV-certifikat. utfärdarens namn, provider, autentiseringsuppgifter och annan administrativ information.

    • t.ex. MyDigiCertIssuer

      • Leverantör
      • Autentiseringsuppgifter – Autentiseringsuppgifter för CA-konto. Varje certifikatutfärdare har sina egna specifika data.

      Mer information om hur du skapar konton med CA-leverantörer finns i det relaterade inlägget på Key Vault blogg.

Steg 3.1 – Konfigurera certifikatkontakter för meddelanden. Det här är kontakten för Key Vault användaren. Key Vault framtvingar inte det här steget.

Obs! – Den här processen, i steg 3.1, är en enda åtgärd.

Skapa ett certifikat med en certifikatutfärdare som samarbetar med Key Vault

Skapa ett certifikat med en Key Vault partner-certifikatutfärdare

Steg 4 – Följande beskrivningar motsvarar de gröna numrerade stegen i föregående diagram.
(1) – I diagrammet ovan skapar ditt program ett certifikat som internt börjar med att skapa en nyckel i nyckelvalvet.
(2) – Key Vault skickar en TLS-/SSL-certifikatbegäran till certifikatutfärdaren.
(3) – Ditt program avsöker, i en loop- och vänteprocess, Key Vault certifikatet har slutförts. Skapandet av certifikat är klar när Key Vault tar emot certifikatutfärdarens svar med X.509-certifikat.
(4) – Certifikatutfärdaren svarar Key Vault TLS/SSL-certifikatbegäran med ett X509 TLS/SSL-certifikat.
(5) – Skapandet av det nya certifikatet slutförs i samband med sammanslagningen av X509-certifikatet för CA:n.

Key Vault – skapar ett certifikat genom att ange en princip

  • Upprepa efter behov

  • Principbegränsningar

    • X509-egenskaper
    • Nyckelegenskaper
    • Providerreferens – > exempel MyDigiCertIssure
    • Förnyelseinformation – > exempel 90 dagar innan förfallodatumet

  • En process för att skapa certifikat är vanligtvis en asynkron process och omfattar avsökning av nyckelvalvet för tillståndet för åtgärden skapa certifikat.
    Hämta certifikatåtgärd

    • Status: slutförd, misslyckades med felinformation eller avbruten
    • På grund av fördröjningen att skapa kan en avbryt-åtgärd initieras. Avbokningen kan komma att gälla eller inte.

Nätverkssäkerhets- och åtkomstprinciper som är associerade med integrerad CA

Key Vault skickar begäranden till certifikatutfärdaren (utgående trafik). Därför är den helt kompatibel med brandväggsaktiverade nyckelvalv. Åtkomstprinciperna Key Vault inte dela åtkomstprinciper med certifikatutfärdaren. Certifikatutfärdaren måste konfigureras för att godkänna signeringsbegäranden oberoende av varandra. Guide om att integrera betrodd certifikatutfärdare

Importera ett certifikat

Alternativt – ett certifikat kan importeras till Key Vault – PFX eller PEM.

Importera certifikat – kräver att en PEM eller PFX finns på disk och har en privat nyckel.

  • Du måste ange: valvnamn och certifikatnamn (principen är valfri)

  • PEM-/PFX-filer innehåller attribut som KV kan parsa och använda för att fylla i certifikatprincipen. Om en certifikatprincip redan har angetts försöker KV matcha data från PFX-/PEM-filen.

  • När importen är slutgiltig använder efterföljande åtgärder den nya principen (nya versioner).

  • Om det inte finns några ytterligare åtgärder är det första som Key Vault att skicka ett förfallomeddelande.

  • Användaren kan också redigera principen, som fungerar vid tidpunkten för importen, men som innehåller standardvärden där ingen information angavs vid importen. t.ex. ingen utfärdare info

Importformat som stöds

Azure Key Vault .pem- och .pfx-certifikatfiler för import av certifikat till Key Vault. Vi stöder följande typ av filformatet Import for PEM. Ett enda PEM-kodat certifikat tillsammans med en PKCS#8-kodad, okrypterad nyckel med följande

-----BEGIN CERTIFICATE----- -----END CERTIFICATE-----

-----BEGIN PRIVATE KEY----- -----END PRIVATE KEY-----

När du importerar certifikatet måste du se till att nyckeln ingår i själva filen. Om du har den privata nyckeln separat i ett annat format måste du kombinera nyckeln med certifikatet. Vissa certifikatutfärdare tillhandahåller certifikat i olika format, och innan du importerar certifikatet kontrollerar du att de antingen är i .pem- eller .pfx-format.

Anteckning

Se till att inga andra metadata finns i certifikatfilen och att den privata nyckeln inte visas som krypterad.

Format för sammanfognings-CSR som vi stöder

AKV stöder 2 PEM-baserade format. Du kan antingen slå samman ett enskilt PKCS#8-kodat certifikat eller ett base64-kodat P7B (kedja med certifikat som signerats av CA)

-----BEGIN CERTIFICATE----- -----END CERTIFICATE-----

Skapa ett certifikat med en certifikatutfärdare som inte är partner med Key Vault

Med den här metoden kan du arbeta med andra certifikatutfärdare än Key Vault partnerleverantörer, vilket innebär att din organisation kan arbeta med en valfri certifikatutfärdare.

Skapa ett certifikat med din egen certifikatutfärdare

Följande stegbeskrivningar motsvarar de gröna stegen i föregående diagram.

(1) – I diagrammet ovan skapar programmet ett certifikat som internt börjar med att skapa en nyckel i nyckelvalvet.

(2) – Key Vault returnerar en certifikatsigneringsförfrågan (CSR) till ditt program.

(3) – Ditt program skickar CSR till din valda certifikatutfärdare.

(4) – Din valda certifikatutfärdare svarar med ett X509-certifikat.

(5) – Ditt program slutför skapandet av det nya certifikatet med en sammanslagning av X509-certifikatet från certifikatutfärdaren.