Поделиться через

Начало работы с сертификатами Key Vault

Это руководство поможет вам приступить к управлению сертификатами в Key Vault.

Список сценариев, описанных здесь:

  • Создание первого сертификата Key Vault
  • Создание сертификата с центром сертификации, который сотрудничает с Key Vault
  • Создание сертификата с центром сертификации, который не связан с Key Vault
  • Импорт сертификата

Сертификаты являются сложными объектами

Сертификаты состоят из трех взаимосвязанных ресурсов, связанных вместе в качестве сертификата Key Vault; метаданные сертификата, ключ и секрет.

Сертификаты являются сложными

Создание первого сертификата Key Vault

Перед созданием сертификата в Key Vault (KV) необходимо выполнить необходимые действия 1 и 2, а хранилище ключей должно существовать для этого пользователя или организации.

Шаг 1. Поставщики центра сертификации (ЦС)

  • Регистрация в качестве ИТ-администратора, администратора PKI или лица, управляющего учетными записями в ЦС, для определенной компании (например, Contoso) является предварительным условием использования сертификатов Key Vault.
    Следующие ЦС являются текущими партнерскими поставщиками с Key Vault. Для получения дополнительной информации см. Сотрудничающие поставщики ЦС.
    • DigiCert — Key Vault предлагает OV TLS/SSL-сертификаты с digiCert.
    • GlobalSign — Key Vault предлагает OV TLS/SSL-сертификаты с помощью GlobalSign.

Шаг 2. Администратор учетной записи для поставщика ЦС создает учетные данные, которые будут использоваться Key Vault для регистрации, продления и использования TLS/SSL-сертификатов через Key Vault.

Шаг 3a. Администратор Contoso, а также сотрудник Contoso (пользователь Key Vault), который владеет сертификатами в зависимости от ЦС, может получить сертификат от администратора или непосредственно из учетной записи с ЦС.

  • Начните операцию добавления учетных данных в хранилище ключей, задав ресурс издателя сертификата . Издатель сертификата — это сущность, представленная в Azure Key Vault (KV) в качестве ресурса CertificateIssuer. Он используется для предоставления сведений об источнике сертификата KV: имя издателя, поставщик, учетные данные и другие административные сведения.

    • Например, MyDigiCertIssuer

      • Поставщик
      • Учетные данные — учетные данные учетной записи УЦ. У каждого ЦС есть свои специфические данные.

      Дополнительные сведения о создании учетных записей с помощью поставщиков ЦС см. в соответствующей записи в блоге Key Vault.

Шаг 3b. Настройте контакты сертификатов для уведомлений. Это контакт для пользователя Key Vault. Key Vault не применяет этот шаг.

Примечание. Этот процесс через шаг 3b является однократной операцией.

Создание сертификата с центром сертификации, партнерским с Key Vault

Создание сертификата с партнерским центром сертификации Key Vault

Шаг 4. Следующие описания соответствуют зеленым нумерованным шагам на предыдущей схеме.
(1) — на приведенной выше схеме приложение создает сертификат, который начинается с создания ключа в хранилище ключей.
(2) — Key Vault отправляет запрос СЕРТИФИКАТА TLS/SSL в ЦС.
(3) — Ваше приложение выполняет опрос в цикле и процессе ожидания вашего Key Vault для завершения сертификата. Создание сертификата завершается, когда Key Vault получает ответ ЦС с сертификатом x509.
(4) — ЦС отвечает на запрос TLS/SSL-сертификата Key Vault с помощью SSL-сертификата X509 TLS/SSL.
(5) — создание нового сертификата завершается слиянием сертификата X509 для УЦ.

Пользователь Key Vault — создает сертификат, указывая политику

  • Повторите по мере необходимости

  • Ограничения политики

    • Свойства X509
    • Ключевые свойства
    • Ссылка на поставщика —> например, MyDigiCertIssuer
    • Сведения о продлении —> например, 90 дней до истечения срока действия

  • Процесс создания сертификата обычно является асинхронным процессом и включает опрос хранилища ключей для состояния операции создания сертификата.
    Операция получения сертификата

    • Состояние: завершено, не удалось получить сведения об ошибке или отменить
    • Из-за задержки в создании можно инициировать операцию отмены. Отмена может быть или не может быть эффективной.

Политики безопасности сети и доступа, связанные с интегрированным ЦС

Служба Key Vault отправляет запросы к CA (исходящий трафик). Поэтому он полностью совместим с хранилищами ключей с поддержкой брандмауэра. Key Vault не разделяет политики доступа с ЦС. Центр Сертификации должен быть настроен таким образом, чтобы самостоятельно принимать запросы на подпись. Руководство по интеграции доверенного Центра сертификации

Импорт сертификата

Кроме того, сертификат можно импортировать в Key Vault — PFX или PEM.

Импорт сертификата — требуется, чтобы PEM или PFX были на диске и имеют закрытый ключ.

  • Необходимо указать: имя хранилища и имя сертификата (политика является необязательной)

  • PEM / PFX-файлы содержат атрибуты, которые KV может анализировать и использовать для заполнения политики сертификата. Если политика сертификата уже указана, KV попытается сопоставить данные из PFX/PEM-файла.

  • После завершения импорта последующие операции будут использовать новую политику (новые версии).

  • Если дальнейших операций нет, первое, что делает Key Vault, отправляет уведомление об истечении срока действия.

  • Кроме того, пользователь может изменить политику, которая работает во время импорта, но содержит значения по умолчанию, где при импорте не указана информация. Например, нет сведений о издателе

Форматы импорта, поддерживаемые нами

Azure Key Vault поддерживает файлы сертификатов PEM и PFX для импорта сертификатов в хранилище ключей. Мы поддерживаем следующий тип импорта для формата PEM-файла. Один сертификат в формате PEM вместе с открытым, закодированным ключом в формате PKCS#8, который имеет следующий формат:

сертификат -----BEGIN-----

-----END CERTIFICATE-----

ЗАКРЫТЫЙ КЛЮЧ -----BEGIN PRIVATE KEY-----

-----END PRIVATE KEY-----

При импорте сертификата необходимо убедиться, что ключ включен в сам файл. Если у вас есть закрытый ключ отдельно в другом формате, необходимо объединить ключ с сертификатом. Некоторые центры сертификации предоставляют сертификаты в разных форматах, поэтому перед импортом сертификата убедитесь, что они находятся в pem или PFX-формате.

Примечание.

Убедитесь, что другие метаданные отсутствуют в файле сертификата и что закрытый ключ не отображается как зашифрованный.

Форматы CSR слияния, которые поддерживаются

Azure Key Vault поддерживает сертификат в кодировке PKCS#8 со следующими заголовками:

сертификат -----BEGIN-----

-----END CERTIFICATE-----

Примечание.

Цепочка подписанных сертификатов P7B (PKCS#7), часто используемая центрами сертификации (ЦС), поддерживается до тех пор, пока кодируется base64. Для преобразования в поддерживаемый формат можно использовать certutil -encode.

Создание сертификата с центром сертификации, не связанным с Key Vault

Этот метод позволяет работать с другими центрами сертификации, кроме партнерских поставщиков Key Vault, что означает, что ваша организация может работать с ЦС по своему выбору.

Создание сертификата с собственным центром сертификации

Следующие описания шагов соответствуют зеленым буквам на предыдущей схеме.

(1) — на приведенной выше схеме приложение создает сертификат, который начинается с создания ключа в хранилище ключей.

(2) — Key Vault возвращает приложению запрос на подпись сертификата (CSR).

(3) — ваше приложение передает CSR выбранному центру сертификации.

(4) — выбранный ЦС выдаёт сертификат X509.

(5) — ваше приложение завершает создание нового сертификата путем объединения с сертификатом X509 из вашего удостоверяющего центра.

  • Last updated on