整合 Key Vault 與 DigiCert 憑證授權單位單位

Azure Key Vault 可讓您輕鬆地布建、管理及部署網路的數位憑證,以及啟用應用程式的安全通訊。 數位憑證是一種電子認證,可在電子交易中建立身分識別證明。

Azure Key Vault 使用者可以直接從其金鑰保存庫產生 DigiCert 憑證。 Key Vault 與 DigiCert 憑證授權單位單位有信任的合作關係。 此合作關係可確保 DigiCert 所發行之憑證的端對端憑證生命週期管理。

如需更多有關憑證的一般資訊,請參閱 Azure Key Vault 憑證

如果您沒有 Azure 訂用帳戶,請在開始前建立 免費帳戶

必要條件

若要完成本文中的程式,您必須具備:

開始之前

請確定您有來自 DigiCert CertCentral 帳戶的下列資訊:

  • CertCentral 帳戶識別碼
  • 組織識別碼
  • API 金鑰

在 Key Vault 中新增憑證授權單位單位

從您的 DigiCert CertCentral 帳戶收集上述資訊之後,您可以將 DigiCert 新增至金鑰保存庫中的憑證授權單位單位清單。

Azure 入口網站

  1. 若要新增 DigiCert 憑證授權單位單位,請移至您想要新增的金鑰保存庫。

  2. 在 [Key Vault] 屬性頁上,選取 [ 憑證]。

  3. 選取 [憑證授權單位 單位] 索引標籤: 顯示選取 [憑證授權單位單位] 索引標籤的

  4. 選取 [ 新增 顯示 [憑證授權單位單位] 索引標籤上 [新增] 按鈕的螢幕擷取畫面。

  5. 在 [ 建立憑證授權單位 單位] 下,輸入下列值:

    • 名稱:可識別的簽發者名稱。 例如, DigiCertCA
    • 提供者DigiCert
    • 帳戶識別碼:您的 DigiCert CERTCENTRAL 帳戶識別碼。
    • 帳戶密碼:您在 DigiCert CertCentral 帳戶中產生的 API 金鑰。
    • 組織識別碼:來自您 DigiCert CertCentral 帳戶的組織識別碼。
  6. 選取 [建立]。

DigicertCA 現在位於 [憑證授權單位單位] 清單中。

Azure PowerShell

您可以使用 Azure PowerShell,透過命令或腳本來建立和管理 Azure 資源。 Azure 主機 Azure Cloud Shell,您可以在瀏覽器中透過 Azure 入口網站使用的互動式 Shell 環境。

如果您選擇在本機安裝和使用 PowerShell,您需要 Azure AZ PowerShell 模組1.0.0 或更新版本,才能完成此處的程式。 輸入 $PSVersionTable.PSVersion 以判斷版本。 如果您需要升級,請參閱 安裝 AZURE AZ PowerShell 模組。 如果您在本機執行 PowerShell,則也需要執行 Login-AzAccount 以建立與 Azure 的連線:

Login-AzAccount
  1. 使用 >new-azresourcegroup建立 Azure 資源群組。 資源群組是在其中部署與管理 Azure 資源的邏輯容器。

    New-AzResourceGroup -Name ContosoResourceGroup -Location EastUS
    
  2. 建立具有唯一名稱的金鑰保存庫。 在這裡, Contoso-Vaultname 是金鑰保存庫的名稱。

    • 保存 庫名稱Contoso-Vaultname
    • 資源組名ContosoResourceGroup
    • 位置EastUS
    New-AzKeyVault -Name 'Contoso-Vaultname' -ResourceGroupName 'ContosoResourceGroup' -Location 'EastUS'
    
  3. 從您的 DigiCert CertCentral 帳戶定義下列值的變數:

    • 帳戶識別碼
    • 組織識別碼
    • API 金鑰
    $accountId = "myDigiCertCertCentralAccountID"
    $org = New-AzKeyVaultCertificateOrganizationDetail -Id OrganizationIDfromDigiCertAccount
    $secureApiKey = ConvertTo-SecureString DigiCertCertCentralAPIKey -AsPlainText –Force
    
  4. 設定簽發者。 這麼做會將 Digicert 新增為金鑰保存庫中的憑證授權單位單位。 深入瞭解參數。

    Set-AzKeyVaultCertificateIssuer -VaultName "Contoso-Vaultname" -Name "TestIssuer01" -IssuerProvider DigiCert -AccountId $accountId -ApiKey $secureApiKey -OrganizationDetails $org -PassThru
    
  5. 在 Key Vault 中直接設定憑證的原則,並從 DigiCert 發出憑證:

    $Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "TestIssuer01" -ValidityInMonths 12 -RenewAtNumberOfDaysBeforeExpiry 60
    Add-AzKeyVaultCertificate -VaultName "Contoso-Vaultname" -Name "ExampleCertificate" -CertificatePolicy $Policy
    

憑證現在是由指定的金鑰保存庫中的 DigiCert 憑證授權單位單位所發出。

疑難排解

如果在 Azure 入口網站中發出的憑證處於停用狀態,請查看憑證作業以檢查憑證的 DigiCert 錯誤訊息:

顯示 [憑證操作] 索引標籤的螢幕擷取畫面。

錯誤訊息:「請執行合併以完成此憑證要求」。

合併憑證授權單位單位所簽署的 CSR 以完成要求。 如需有關合併 CSR 的詳細資訊,請參閱 建立和合併 csr

如需詳細資訊,請參閱 Key Vault REST API 參考中的憑證作業。 如需建立許可權的相關資訊,請參閱保存 庫-建立或更新 和保存 庫-更新存取原則

常見問題集

  • 我可以使用 Key Vault 來產生 DigiCert 萬用字元憑證嗎?

    是的,但這取決於您設定 DigiCert 帳戶的方式。

  • 如何使用 DigiCert 來建立 OV SSL 或 EV SSL 憑證?

    Key Vault 支援建立 OV 和 EV SSL 憑證。 當您建立憑證時,請選取 [ Advanced Policy Configuration ],然後指定憑證類型。 支援的值: OV SSL、EV SSL

    如果您的 DigiCert 帳戶允許,您可以在 Key Vault 中建立這種類型的憑證。 針對此類型的憑證,DigiCert 會執行驗證。 如果驗證失敗,DigiCert 支援小組可以提供協助。 您可以在中定義資訊,以在建立憑證時新增資訊 subjectName

    例如, SubjectName="CN = docs.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US"

  • 透過整合來建立 DigiCert 憑證需要較長的時間,而不是直接從 DigiCert 取得?

    否。 當您建立憑證時,驗證程式可能需要一些時間。 DigiCert 可處理的控制項。

後續步驟