Rozpoczynanie pracy z certyfikatami usługi Key Vault
W poniższych scenariuszach przedstawiono kilka podstawowych użycia usługi zarządzania certyfikatami Key Vault, w tym dodatkowe kroki wymagane do utworzenia pierwszego certyfikatu w magazynie kluczy.
Opisano następujące kwestie:
- Tworzenie pierwszego certyfikatu Key Vault
- Tworzenie certyfikatu z urzędem certyfikacji, który jest partnerem Key Vault
- Tworzenie certyfikatu z urzędem certyfikacji, który nie jest partnerem Key Vault
- Importowanie certyfikatu
Certyfikaty są obiektami złożonymi
Certyfikaty składają się z trzech powiązanych zasobów połączonych razem jako certyfikatu Key Vault, metadanych certyfikatu, klucza i wpisu tajnego.
Tworzenie pierwszego certyfikatu Key Vault
Przed utworzeniem certyfikatu w Key Vault (KV) należy pomyślnie wykonać kroki wymagań wstępnych 1 i 2, a magazyn kluczy musi istnieć dla tego użytkownika/organizacji.
Krok 1: Dostawcy urzędu certyfikacji
- Dołączanie jako Administracja IT, Administracja PKI lub każda osoba zarządzająca kontami w urzędach certyfikacji, dla danej firmy (np. Contoso) jest wymaganiem wstępnym do korzystania z certyfikatów Key Vault.
Następujące urzędy certyfikacji to obecni dostawcy partnerów z Key Vault. Więcej informacji można znaleźć tutaj- DigiCert — Key Vault oferuje certyfikaty TLS/SSL OV z firmą DigiCert.
- GlobalSign — Key Vault oferuje certyfikaty TLS/SSL OV z globalsign.
Krok 2: Administrator konta dostawcy urzędu certyfikacji tworzy poświadczenia używane przez Key Vault do rejestrowania, odnawiania i używania certyfikatów TLS/SSL za pośrednictwem Key Vault.
Krok 3a: Administrator firmy Contoso wraz z pracownikiem firmy Contoso (Key Vault użytkownikiem), który jest właścicielem certyfikatów, w zależności od urzędu certyfikacji, może uzyskać certyfikat od administratora lub bezpośrednio z konta z urzędem certyfikacji.
- Rozpocznij operację dodawania poświadczeń do magazynu kluczy, ustawiając zasób wystawcy certyfikatu . Wystawca certyfikatu to jednostka reprezentowana w usłudze Azure Key Vault (KV) jako zasób CertificateIssuer. Służy do przekazywania informacji o źródle certyfikatu KV; nazwa wystawcy, dostawca, poświadczenia i inne szczegóły administracyjne.
Np. MyDigiCertIssuer
- Dostawca
- Poświadczenia — poświadczenia konta urzędu certyfikacji. Każdy urząd certyfikacji ma własne określone dane.
Aby uzyskać więcej informacji na temat tworzenia kont z dostawcami urzędu certyfikacji, zobacz powiązany wpis na blogu Key Vault.
Krok 3b: Skonfiguruj kontakty certyfikatów dla powiadomień. Jest to kontakt dla użytkownika Key Vault. Key Vault nie wymusza tego kroku.
Uwaga — ten proces, w kroku 3b, jest jednorazową operacją.
Tworzenie certyfikatu z urzędem certyfikacji partnerem Key Vault
Krok 4: Poniższe opisy odpowiadają zielonym numerom kroków na powyższym diagramie.
(1) — Na powyższym diagramie aplikacja tworzy certyfikat, który wewnętrznie rozpoczyna się od utworzenia klucza w magazynie kluczy.
(2) — Key Vault wysyła żądanie certyfikatu TLS/SSL do urzędu certyfikacji.
(3) — Aplikacja sonduje w pętli i procesie oczekiwania, aby Key Vault ukończenia certyfikatu. Tworzenie certyfikatu kończy się, gdy usługa Key Vault otrzyma odpowiedź od urzędu certyfikacji z certyfikatem X.509.
(4) — urząd certyfikacji odpowiada na żądanie certyfikatu TLS/SSL Key Vault za pomocą certyfikatu TLS/SSL X509.
(5) — Tworzenie nowego certyfikatu kończy się połączeniem certyfikatu X509 urzędu certyfikacji.
Key Vault użytkownik — tworzy certyfikat, określając zasady
Powtórz zgodnie z potrzebami
Ograniczenia zasad
- Właściwości X509
- Kluczowe właściwości
- Dokumentacja dostawcy — > np. MyDigiCertIssure
- Informacje o odnowieniu — > np. 90 dni przed wygaśnięciem
Proces tworzenia certyfikatu jest zwykle procesem asynchronicznym i obejmuje sondowanie magazynu kluczy pod kątem stanu operacji tworzenia certyfikatu.
Pobieranie operacji certyfikatu- Stan: ukończono, nie powiodło się z informacjami o błędzie lub anulowano
- Ze względu na opóźnienie tworzenia można zainicjować operację anulowania. Anulowanie może lub nie może być skuteczne.
Zasady zabezpieczeń sieci i dostępu skojarzone ze zintegrowanym urzędem certyfikacji
usługa Key Vault wysyła żądania do urzędu certyfikacji (ruch wychodzący). W związku z tym jest ona w pełni zgodna z magazynami kluczy z włączoną zaporą. Key Vault nie udostępnia zasad dostępu do urzędu certyfikacji. Urząd certyfikacji musi być skonfigurowany do samodzielnego akceptowania żądań podpisywania. Przewodnik dotyczący integrowania zaufanego urzędu certyfikacji
Importowanie certyfikatu
Alternatywnie — certyfikat można zaimportować do Key Vault — PFX lub PEM.
Importowanie certyfikatu — wymaga, aby PEM lub PFX był na dysku i ma klucz prywatny.
Należy określić: nazwa magazynu i nazwa certyfikatu (zasady są opcjonalne)
Pliki PEM / PFX zawierają atrybuty, które KV mogą analizować i używać do wypełniania zasad certyfikatu. Jeśli określono już zasady certyfikatu, klucz KV spróbuje dopasować dane z pliku PFX /PEM.
Po zakończeniu importowania kolejne operacje będą używać nowych zasad (nowych wersji).
Jeśli nie ma żadnych dalszych operacji, pierwszą rzeczą Key Vault jest wysłanie powiadomienia o wygaśnięciu.
Ponadto użytkownik może edytować zasady, które działają w momencie importowania, ale zawiera wartości domyślne, w których nie określono żadnych informacji podczas importowania. Np. brak informacji o wystawcy
Obsługiwane formaty importu
Usługa Azure Key Vault obsługuje pliki certyfikatów pem i pfx do importowania certyfikatów do magazynu kluczy. Obsługujemy następujący typ importu dla formatu pliku PEM. Pojedynczy certyfikat zakodowany za pomocą protokołu PEM wraz z zakodowanym kluczem PKCS#8 o następującym formacie:
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
Podczas importowania certyfikatu należy upewnić się, że klucz jest uwzględniony w samym pliku. Jeśli klucz prywatny jest oddzielnie w innym formacie, należy połączyć klucz z certyfikatem. Niektóre urzędy certyfikacji udostępniają certyfikaty w różnych formatach, dlatego przed zaimportowaniem certyfikatu upewnij się, że są one w formacie pem lub pfx.
Uwaga
Upewnij się, że żadne inne metadane nie są obecne w pliku certyfikatu i że klucz prywatny nie jest wyświetlany jako zaszyfrowany.
Obsługiwane formaty scalania CSR
Aplikacja AKV obsługuje 2 formaty oparte na PEM. Można scalić pojedynczy certyfikat zakodowany za pomocą protokołu PKCS#8 lub zakodowany w formacie base64 P7B (łańcuch certyfikatów podpisanych przez urząd certyfikacji). Jeśli musisz ukryć format P7B do obsługiwanego, możesz użyć narzędzia certutil -encode
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
Tworzenie certyfikatu z urzędem certyfikacji, który nie jest partnerem Key Vault
Ta metoda umożliwia pracę z innymi urzędami certyfikacji niż dostawcy partnerów Key Vault, co oznacza, że organizacja może pracować z wybranym urzędem certyfikacji.
Poniższe opisy kroków odpowiadają zielonym literom kroków na powyższym diagramie.
(1) — Na powyższym diagramie aplikacja tworzy certyfikat, który wewnętrznie rozpoczyna się od utworzenia klucza w magazynie kluczy.
(2) — Key Vault powraca do aplikacji żądanie podpisania certyfikatu (CSR).
(3) — Aplikacja przekazuje csr do wybranego urzędu certyfikacji.
(4) — Wybrany urząd certyfikacji odpowiada za pomocą certyfikatu X509.
(5) — Aplikacja kończy tworzenie nowego certyfikatu z połączeniem certyfikatu X509 z urzędu certyfikacji.