Kom igång med Key Vault-certifikat

  • Artikel

I följande scenarier beskrivs flera av de primära användningarna för Key Vault certifikathanteringstjänst, inklusive de ytterligare steg som krävs för att skapa ditt första certifikat i nyckelvalvet.

Följande beskrivs:

  • Skapa ditt första Key Vault certifikat
  • Skapa ett certifikat med en certifikatutfärdare som samarbetar med Key Vault
  • Skapa ett certifikat med en certifikatutfärdare som inte samarbetar med Key Vault
  • Importera ett certifikat

Certifikat är komplexa objekt

Certifikat består av tre sammanlänkade resurser som länkas samman som ett Key Vault certifikat, certifikatmetadata, en nyckel och en hemlighet.

Certifikat är komplexa

Skapa ditt första Key Vault certifikat

Innan ett certifikat kan skapas i en Key Vault (KV) måste nödvändiga steg 1 och 2 slutföras och ett nyckelvalv måste finnas för den här användaren/organisationen.

Steg 1: Certifikatutfärdare (CA)

  • Registrering som IT-Admin, PKI-Admin eller någon annan som hanterar konton med certifikatutfärdare för ett visst företag (t.ex. Contoso) är en förutsättning för att använda Key Vault certifikat.
    Följande certifikatutfärdare är de aktuella partnerleverantörerna med Key Vault. Lär dig mer här
    • DigiCert – Key Vault erbjuder OV TLS/SSL-certifikat med DigiCert.
    • GlobalSign – Key Vault erbjuder OV TLS/SSL-certifikat med GlobalSign.

Steg 2: En kontoadministratör för en CA-provider skapar autentiseringsuppgifter som ska användas av Key Vault för att registrera, förnya och använda TLS/SSL-certifikat via Key Vault.

Steg 3a: En Contoso-administratör, tillsammans med en Contoso-anställd (Key Vault användare) som äger certifikat, beroende på certifikatutfärdaren, kan hämta ett certifikat från administratören eller direkt från kontot med certifikatutfärdaren.

  • Påbörja en åtgärd för att lägga till autentiseringsuppgifter i ett nyckelvalv genom att ange en certifikatutfärdarresurs . En certifikatutfärdare är en entitet som representeras i Azure Key Vault (KV) som en CertificateIssuer-resurs. Den används för att tillhandahålla information om källan till ett KV-certifikat; utfärdarnamn, provider, autentiseringsuppgifter och annan administrativ information.

    • t.ex. MyDigiCertIssuer

      • Leverantör
      • Autentiseringsuppgifter – CA-kontoautentiseringsuppgifter. Varje certifikatutfärdarorganisation har sina egna specifika data.

      Mer information om hur du skapar konton med CA-providrar finns i det relaterade inlägget på Key Vault blogg.

Steg 3b: Konfigurera certifikatkontakter för meddelanden. Det här är kontakten för den Key Vault användaren. Key Vault framtvingar inte det här steget.

Obs! – Den här processen, via steg 3b, är en engångsåtgärd.

Skapa ett certifikat med en certifikatutfärdare som samarbetar med Key Vault

Skapa ett certifikat med en Key Vault partnercertifikatutfärdare

Steg 4: Följande beskrivningar motsvarar de gröna numrerade stegen i föregående diagram.
(1) – I diagrammet ovan skapar ditt program ett certifikat som börjar internt genom att skapa en nyckel i ditt nyckelvalv.
(2) – Key Vault skickar en TLS/SSL-certifikatbegäran till certifikatutfärdare.
(3) – Ditt program avsöker i en loop och en väntetidsprocess för din Key Vault för att slutföra certifikatet. Skapandet av certifikat är klar när Key Vault tar emot certifikatutfärdarens svar med X.509-certifikat.
(4) – Certifikatutfärdare svarar på Key Vault:s TLS/SSL-certifikatbegäran med ett X509 TLS/SSL-certifikat.
(5) - Ditt nya certifikat skapas i och med sammanslagningen av X509-certifikatet för certifikatutfärdare.

Key Vault användare – skapar ett certifikat genom att ange en princip

  • Upprepa efter behov

  • Principbegränsningar

    • X509-egenskaper
    • Nyckelegenskaper
    • Providerreferens – > till exempel MyDigiCertIssure
    • Förnyelseinformation – > till exempel 90 dagar före förfallodatum

  • En process för att skapa certifikat är vanligtvis en asynkron process och omfattar avsökning av nyckelvalvet för tillståndet för åtgärden skapa certifikat.
    Hämta certifikatåtgärd

    • Status: slutförd, misslyckad med felinformation eller avbruten
    • På grund av fördröjningen för att skapa kan en avbruten åtgärd initieras. Avbokningen kanske eller kanske inte är effektiv.

Nätverkssäkerhets- och åtkomstprinciper som är associerade med integrerad ca

Key Vault-tjänsten skickar begäranden till CA (utgående trafik). Därför är den helt kompatibel med brandväggsaktiverade nyckelvalv. Key Vault delar inte åtkomstprinciper med ca:en. Ca:en måste konfigureras för att acceptera signeringsbegäranden oberoende av varandra. Guide om att integrera betrodd ca

Importera ett certifikat

Alternativt – ett certifikat kan importeras till Key Vault – PFX eller PEM.

Importera certifikat – kräver att en PEM eller PFX finns på disken och har en privat nyckel.

  • Du måste ange: valvnamn och certifikatnamn (principen är valfri)

  • PEM-/PFX-filer innehåller attribut som KV kan parsa och använda för att fylla i certifikatprincipen. Om en certifikatprincip redan har angetts försöker KV matcha data från PFX-/PEM-filen.

  • När importen är klar använder efterföljande åtgärder den nya principen (nya versioner).

  • Om det inte finns några ytterligare åtgärder är det första Key Vault gör att skicka ett förfallomeddelande.

  • Användaren kan också redigera principen, som fungerar vid tidpunkten för importen men som innehåller standardvärden där ingen information angavs vid importen. Till exempel ingen information om utfärdare

Importformat som vi stöder

Azure Key Vault stöder .pem- och .pfx-certifikatfiler för import av certifikat till Key Vault. Vi stöder följande typ av import för PEM-filformat. Ett enda PEM-kodat certifikat tillsammans med en PKCS#8-kodad, okrypterad nyckel som har följande format:

-----BEGIN-CERTIFIKAT-----

-----END CERTIFICATE-----

-----BEGIN PRIVATE KEY-----

-----END PRIVATE KEY-----

När du importerar certifikatet måste du se till att nyckeln ingår i själva filen. Om du har den privata nyckeln separat i ett annat format måste du kombinera nyckeln med certifikatet. Vissa certifikatutfärdare tillhandahåller certifikat i olika format. Innan du importerar certifikatet kontrollerar du därför att de antingen har formatet .pem eller .pfx.

Anteckning

Kontrollera att inga andra metadata finns i certifikatfilen och att den privata nyckeln inte visas som krypterad.

Format för CSR för sammanslagning som vi stöder

AKV stöder 2 PEM-baserade format. Du kan antingen slå samman ett enda PKCS#8-kodat certifikat eller en base64-kodad P7B (kedja av certifikat som signerats av CA). Om du behöver täcka P7B-formatet till det format som stöds kan du använda certutil -encode

-----BEGIN-CERTIFIKAT-----

-----END CERTIFICATE-----

Skapa ett certifikat med en certifikatutfärdare som inte samarbetar med Key Vault

Med den här metoden kan du arbeta med andra certifikatutfärdare än Key Vault partnerleverantörer, vilket innebär att din organisation kan arbeta med valfri certifikatutfärdare.

Skapa ett certifikat med din egen certifikatutfärdare

Följande stegbeskrivningar motsvarar de gröna bokstavsstegen i föregående diagram.

(1) – I diagrammet ovan skapar programmet ett certifikat, som börjar internt med att skapa en nyckel i ditt nyckelvalv.

(2) – Key Vault returnerar en certifikatsigneringsförfrågan (CSR) till ditt program.

(3) – Ditt program skickar CSR till din valda certifikatleverantör.

(4) – Din valda certifikatutfärdare svarar med ett X509-certifikat.

(5) – Ditt program slutför skapandet av det nya certifikatet med en sammanslagning av X509-certifikatet från din certifikatutfärdare.