Integratie van Key Vault met geïntegreerde certificeringsinstanties
Met Azure Key Vault kunt u eenvoudig digitale certificaten voor uw netwerk inrichten, beheren en implementeren en beveiligde communicatie mogelijk maken voor toepassingen. Een digitaal certificaat is een elektronische referentie waarmee een bewijs van identiteit in een elektronische transactie wordt vastgesteld.
Azure Key Vault heeft een vertrouwd partnerschap met de volgende certificeringsinstanties:
Azure Key Vault-gebruikers kunnen DigiCert/GlobalSign-certificaten rechtstreeks vanuit hun sleutelkluizen genereren. de samenwerking van Key Vault zorgt voor end-to-end levenscyclusbeheer van certificaten die zijn uitgegeven door DigiCert.
Zie Azure Key Vault-certificaten voor meer algemene informatie over certificaten.
Als u geen Azure-abonnement hebt, maakt u een gratis account aan voordat u begint.
Vereisten
Als u de procedures in dit artikel wilt voltooien, hebt u het volgende nodig:
- Een sleutelkluis. U kunt een bestaande sleutelkluis gebruiken of een sleutelkluis maken door de stappen in een van deze quickstarts uit te voeren:
- Een geactiveerd DigiCert CertCentral-account. Registreer u voor uw CertCentral-account.
- Machtigingen op beheerdersniveau in uw accounts.
Voordat u begint
DigiCert
Zorg ervoor dat u de volgende gegevens van uw DigiCert CertCentral-account hebt:
- CertCentral-account-id
- Organisatie-id
- API-sleutel
- Account-id
- Accountwachtwoord
GlobalSign
Zorg ervoor dat u de volgende gegevens van uw Global Sign-account hebt:
- Account-id
- Accountwachtwoord
- Voornaam van beheerder
- Achternaam van beheerder
- E-mail van beheerder
- Telefoonnummer van de beheerder
De certificeringsinstantie toevoegen in Key Vault
Nadat u de voorgaande informatie van uw DigiCert CertCentral-account hebt verzameld, kunt u DigiCert toevoegen aan de lijst met certificeringsinstanties in de sleutelkluis.
Azure Portal (DigiCert)
Als u een DigiCert-certificeringsinstantie wilt toevoegen, gaat u naar de sleutelkluis waaraan u deze wilt toevoegen.
Selecteer certificaten op de eigenschappenpagina Key Vault.
Selecteer het tabblad Certificeringsinstanties :
Selecteer Toevoegen:
Voer onder Een certificeringsinstantie maken de volgende waarden in:
- Naam: een identificeerbare naam van de verlener. Bijvoorbeeld DigiCertCA.
- Provider: DigiCert.
- Account-id: uw DigiCert CertCentral-account-id.
- Accountwachtwoord: de API-sleutel die u hebt gegenereerd in uw DigiCert CertCentral-account.
- Organisatie-id: de organisatie-id van uw DigiCert CertCentral-account.
Selecteer Maken.
DigicertCA staat nu in de lijst met certificeringsinstanties.
Azure Portal (GlobalSign)
Als u een GlobalSign-certificeringsinstantie wilt toevoegen, gaat u naar de sleutelkluis waaraan u deze wilt toevoegen.
Selecteer certificaten op de eigenschappenpagina Key Vault.
Selecteer het tabblad Certificeringsinstanties :
Selecteer Toevoegen:
Voer onder Een certificeringsinstantie maken de volgende waarden in:
- Naam: een identificeerbare naam van de verlener. Bijvoorbeeld GlobalSignCA.
- Provider: GlobalSign.
- Account-id: uw GlobalSign-account-id.
- Accountwachtwoord: het wachtwoord van uw GlobalSign-account.
- Voornaam van beheerder: de voornaam van de beheerder van het Global Sign-account.
- Achternaam van beheerder: de achternaam van de beheerder van het Global Sign-account.
- E-mailadres van beheerder: het e-mailadres van de beheerder van het Global Sign-account.
- Telefoonnummer van beheerder: het telefoonnummer van de beheerder van het Global Sign-account.
Selecteer Maken.
GlobalSignCA staat nu in de lijst met certificeringsinstanties.
Azure PowerShell
U kunt Azure PowerShell gebruiken om Azure-resources te maken en te beheren met behulp van opdrachten of scripts. Azure host Azure Cloud Shell, een interactieve shell-omgeving die u via de Azure Portal in een browser kunt gebruiken.
Als u PowerShell lokaal wilt installeren en gebruiken, hebt u Azure AZ PowerShell-module 1.0.0 of hoger nodig om de procedures hier te voltooien. Typ $PSVersionTable.PSVersion
om de versie te bepalen. Zie Azure AZ PowerShell-module installeren als u een upgrade moet uitvoeren. Als u PowerShell lokaal uitvoert, moet u ook uitvoeren Connect-AzAccount
om verbinding te maken met Azure:
Connect-AzAccount
Maak een Azure-resourcegroep met behulp van New-AzResourceGroup. Een resourcegroep is een logische container waarin Azure-resources worden geïmplementeerd en beheerd.
New-AzResourceGroup -Name ContosoResourceGroup -Location EastUS
Maak een sleutelkluis met een unieke naam.
Contoso-Vaultname
Hier is de naam voor de sleutelkluis.- Kluisnaam:
Contoso-Vaultname
- Naam van resourcegroep:
ContosoResourceGroup
- Locatie:
EastUS
New-AzKeyVault -Name 'Contoso-Vaultname' -ResourceGroupName 'ContosoResourceGroup' -Location 'EastUS'
- Kluisnaam:
Definieer variabelen voor de volgende waarden uit uw DigiCert CertCentral-account:
- Account-id
- Organisatie-id
- API-sleutel
$accountId = "myDigiCertCertCentralAccountID" $org = New-AzKeyVaultCertificateOrganizationDetail -Id OrganizationIDfromDigiCertAccount $secureApiKey = ConvertTo-SecureString DigiCertCertCentralAPIKey -AsPlainText –Force
Stel de verlener in. Als u dit doet, wordt Digicert toegevoegd als certificeringsinstantie in de sleutelkluis. Meer informatie over de parameters.
Set-AzKeyVaultCertificateIssuer -VaultName "Contoso-Vaultname" -Name "TestIssuer01" -IssuerProvider DigiCert -AccountId $accountId -ApiKey $secureApiKey -OrganizationDetails $org -PassThru
Stel het beleid in voor het certificaat en het verlenen van het certificaat vanuit DigiCert rechtstreeks in Key Vault:
$Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "TestIssuer01" -ValidityInMonths 12 -RenewAtNumberOfDaysBeforeExpiry 60 Add-AzKeyVaultCertificate -VaultName "Contoso-Vaultname" -Name "ExampleCertificate" -CertificatePolicy $Policy
Het certificaat wordt nu uitgegeven door de DigiCert-certificeringsinstantie in de opgegeven sleutelkluis.
Problemen oplossen
Als het uitgegeven certificaat de status Uitgeschakeld heeft in de Azure Portal, bekijkt u de certificaatbewerking om het DigiCert-foutbericht voor het certificaat te bekijken:
Foutbericht: 'Voer een samenvoeging uit om deze certificaataanvraag te voltooien'.
Voeg de CSR samen die is ondertekend door de certificeringsinstantie om de aanvraag te voltooien. Zie Een CSR maken en samenvoegen voor meer informatie over het samenvoegen van een CSR.
Zie Certificaatbewerkingen in de naslaginformatie over Key Vault REST API voor meer informatie. Zie kluizen - maken of bijwerken en Kluizen - Toegangsbeleid bijwerken voor meer informatie over het instellen van machtigingen.