Integratie van Key Vault met geïntegreerde certificeringsinstanties

Met Azure Key Vault kunt u eenvoudig digitale certificaten voor uw netwerk inrichten, beheren en implementeren en beveiligde communicatie mogelijk maken voor toepassingen. Een digitaal certificaat is een elektronische referentie waarmee een bewijs van identiteit in een elektronische transactie wordt vastgesteld.

Azure Key Vault heeft een vertrouwd partnerschap met de volgende certificeringsinstanties:

• DigiCert
• GlobalSign

Azure Key Vault-gebruikers kunnen DigiCert/GlobalSign-certificaten rechtstreeks vanuit hun sleutelkluizen genereren. de samenwerking van Key Vault zorgt voor end-to-end levenscyclusbeheer van certificaten die zijn uitgegeven door DigiCert.

Zie Azure Key Vault-certificaten voor meer algemene informatie over certificaten.

Als u geen Azure-abonnement hebt, maakt u een gratis account aan voordat u begint.

Vereisten

Als u de procedures in dit artikel wilt voltooien, hebt u het volgende nodig:

• Een sleutelkluis. U kunt een bestaande sleutelkluis gebruiken of een sleutelkluis maken door de stappen in een van deze quickstarts uit te voeren:
  • Een sleutelkluis maken met behulp van de Azure CLI
  • Een sleutelkluis maken met behulp van Azure PowerShell
  • Een sleutelkluis maken met behulp van de Azure Portal
• Een geactiveerd DigiCert CertCentral-account. Registreer u voor uw CertCentral-account.
• Machtigingen op beheerdersniveau in uw accounts.

Voordat u begint

DigiCert

Zorg ervoor dat u de volgende gegevens van uw DigiCert CertCentral-account hebt:

• CertCentral-account-id
• Organisatie-id
• API-sleutel
• Account-id
• Accountwachtwoord

GlobalSign

Zorg ervoor dat u de volgende gegevens van uw Global Sign-account hebt:

• Account-id
• Accountwachtwoord
• Voornaam van beheerder
• Achternaam van beheerder
• E-mail van beheerder
• Telefoonnummer van de beheerder

De certificeringsinstantie toevoegen in Key Vault

Nadat u de voorgaande informatie van uw DigiCert CertCentral-account hebt verzameld, kunt u DigiCert toevoegen aan de lijst met certificeringsinstanties in de sleutelkluis.

Azure Portal (DigiCert)

1. Als u een DigiCert-certificeringsinstantie wilt toevoegen, gaat u naar de sleutelkluis waaraan u deze wilt toevoegen.

2. Selecteer certificaten op de eigenschappenpagina Key Vault.

3. Selecteer het tabblad Certificeringsinstanties :

4. Selecteer Toevoegen:

5. Voer onder Een certificeringsinstantie maken de volgende waarden in:

   • Naam: een identificeerbare naam van de verlener. Bijvoorbeeld DigiCertCA.
   • Provider: DigiCert.
   • Account-id: uw DigiCert CertCentral-account-id.
   • Accountwachtwoord: de API-sleutel die u hebt gegenereerd in uw DigiCert CertCentral-account.
   • Organisatie-id: de organisatie-id van uw DigiCert CertCentral-account.

6. Selecteer Maken.

DigicertCA staat nu in de lijst met certificeringsinstanties.

Azure Portal (GlobalSign)

1. Als u een GlobalSign-certificeringsinstantie wilt toevoegen, gaat u naar de sleutelkluis waaraan u deze wilt toevoegen.

2. Selecteer certificaten op de eigenschappenpagina Key Vault.

3. Selecteer het tabblad Certificeringsinstanties :

4. Selecteer Toevoegen:

5. Voer onder Een certificeringsinstantie maken de volgende waarden in:

   • Naam: een identificeerbare naam van de verlener. Bijvoorbeeld GlobalSignCA.
   • Provider: GlobalSign.
   • Account-id: uw GlobalSign-account-id.
   • Accountwachtwoord: het wachtwoord van uw GlobalSign-account.
   • Voornaam van beheerder: de voornaam van de beheerder van het Global Sign-account.
   • Achternaam van beheerder: de achternaam van de beheerder van het Global Sign-account.
   • E-mailadres van beheerder: het e-mailadres van de beheerder van het Global Sign-account.
   • Telefoonnummer van beheerder: het telefoonnummer van de beheerder van het Global Sign-account.

6. Selecteer Maken.

GlobalSignCA staat nu in de lijst met certificeringsinstanties.

Azure PowerShell

U kunt Azure PowerShell gebruiken om Azure-resources te maken en te beheren met behulp van opdrachten of scripts. Azure host Azure Cloud Shell, een interactieve shell-omgeving die u via de Azure Portal in een browser kunt gebruiken.

Als u PowerShell lokaal wilt installeren en gebruiken, hebt u Azure AZ PowerShell-module 1.0.0 of hoger nodig om de procedures hier te voltooien. Typ $PSVersionTable.PSVersion om de versie te bepalen. Zie Azure AZ PowerShell-module installeren als u een upgrade moet uitvoeren. Als u PowerShell lokaal uitvoert, moet u ook uitvoeren Connect-AzAccount om verbinding te maken met Azure:

Connect-AzAccount

1. Maak een Azure-resourcegroep met behulp van New-AzResourceGroup. Een resourcegroep is een logische container waarin Azure-resources worden geïmplementeerd en beheerd.

   New-AzResourceGroup -Name ContosoResourceGroup -Location EastUS
   

2. Maak een sleutelkluis met een unieke naam. Contoso-Vaultname Hier is de naam voor de sleutelkluis.

   • Kluisnaam: Contoso-Vaultname
   • Naam van resourcegroep: ContosoResourceGroup
   • Locatie: EastUS

   New-AzKeyVault -Name 'Contoso-Vaultname' -ResourceGroupName 'ContosoResourceGroup' -Location 'EastUS'
   

3. Definieer variabelen voor de volgende waarden uit uw DigiCert CertCentral-account:

   • Account-id
   • Organisatie-id
   • API-sleutel

   $accountId = "myDigiCertCertCentralAccountID"
   $org = New-AzKeyVaultCertificateOrganizationDetail -Id OrganizationIDfromDigiCertAccount
   $secureApiKey = ConvertTo-SecureString DigiCertCertCentralAPIKey -AsPlainText –Force
   

4. Stel de verlener in. Als u dit doet, wordt Digicert toegevoegd als certificeringsinstantie in de sleutelkluis. Meer informatie over de parameters.

   Set-AzKeyVaultCertificateIssuer -VaultName "Contoso-Vaultname" -Name "TestIssuer01" -IssuerProvider DigiCert -AccountId $accountId -ApiKey $secureApiKey -OrganizationDetails $org -PassThru
   

5. Stel het beleid in voor het certificaat en het verlenen van het certificaat vanuit DigiCert rechtstreeks in Key Vault:

   $Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "TestIssuer01" -ValidityInMonths 12 -RenewAtNumberOfDaysBeforeExpiry 60
   Add-AzKeyVaultCertificate -VaultName "Contoso-Vaultname" -Name "ExampleCertificate" -CertificatePolicy $Policy
   

Het certificaat wordt nu uitgegeven door de DigiCert-certificeringsinstantie in de opgegeven sleutelkluis.

Problemen oplossen

Als het uitgegeven certificaat de status Uitgeschakeld heeft in de Azure Portal, bekijkt u de certificaatbewerking om het DigiCert-foutbericht voor het certificaat te bekijken:

Foutbericht: 'Voer een samenvoeging uit om deze certificaataanvraag te voltooien'.

Voeg de CSR samen die is ondertekend door de certificeringsinstantie om de aanvraag te voltooien. Zie Een CSR maken en samenvoegen voor meer informatie over het samenvoegen van een CSR.

Zie Certificaatbewerkingen in de naslaginformatie over Key Vault REST API voor meer informatie. Zie kluizen - maken of bijwerken en Kluizen - Toegangsbeleid bijwerken voor meer informatie over het instellen van machtigingen.

Volgende stappen

• Veelgestelde vragen: Key Vault integreren met geïntegreerde certificeringsinstanties
• Verificatie, aanvragen en antwoorden
• Gids voor Key Vault-ontwikkelaars