Начало работы с сертификатами Key Vault

Эта статья поможет вам приступить к управлению сертификатами в Key Vault. В нем рассматриваются следующие сценарии:

  • Создание первого сертификата Key Vault
  • Создание сертификата с центром сертификации (ЦС), который сотрудничает с Key Vault
  • Создание сертификата с центром сертификации, не имеющим партнерства с Key Vault.
  • Импорт сертификата

Сертификаты являются сложными объектами

Сертификаты состоят из трех взаимосвязанных ресурсов, связанных вместе как сертификат Key Vault; метаданные сертификата, ключ и секрет.

Сертификаты являются сложными

Создание первого сертификата Key Vault

Прежде чем сертификат можно будет создать в Key Vault, необходимо выполнить следующие необходимые действия, а для этого пользователя или организации должно существовать key vault.

Шаг 1. Поставщики центра сертификации (ЦС)

  • Регистрация в качестве ИТ-администратора, администратора PKI или любого пользователя, управляющего учетными записями с помощью УЦ, для конкретной компании (например, Contoso) является обязательным условием использования сертификатов Key Vault.
    Следующие ЦС являются текущими партнерскими поставщиками с Key Vault. Дополнительные сведения см. в разделе Партнерские поставщики УЦ.
    • DigiCert — Key Vault предлагает OV TLS/SSL-сертификаты с помощью DigiCert.
    • GlobalSign — Key Vault предлагает OV TLS/SSL-сертификаты с помощью GlobalSign.

Step 2: Администратор учетной записи поставщика ЦС создает учетные данные для использования Key Vault для регистрации, продления и использования SSL-сертификатов.

Step 3a: Администратор Contoso вместе с сотрудником Contoso (пользователем Key Vault), который владеет сертификатами, может в зависимости от ЦС получить сертификат от администратора или непосредственно из учетной записи ЦС.

  • Начните операцию добавления учетных данных в хранилище ключей, задав ресурс издателя сертификата . Издатель сертификата — это сущность, представленная в Azure Key Vault в качестве ресурса CertificateIssuer. Он содержит сведения о источнике сертификата Key Vault: имя издателя, поставщик, учетные данные и другие административные сведения.
    • Например, MyDigiCertIssuer

      • Поставщик
      • Учетные данные — учетные данные учетной записи УЦ. У каждого ЦС есть свои специфические данные.

      Дополнительные сведения о создании учетных записей с поставщиками ЦС см. в разделе Интеграция Key Vault с центрами сертификации.

Шаг 3b. Настройте контакты сертификатов для уведомлений. Это контакт для пользователя Key Vault. Key Vault не применяет этот шаг.

Примечание.

Этот процесс через шаг 3b является однократной операцией.

Создание сертификата с центром сертификации, партнерским с Key Vault

Создайте сертификат с партнерским центром сертификации Key Vault

Шаг 4. Следующие описания соответствуют зеленым нумерованным шагам на предыдущей схеме.
(1) — на приведенной выше схеме приложение создает сертификат, который начинается с создания ключа в хранилище ключей.
(2) — Key Vault отправляет запрос СЕРТИФИКАТА TLS/SSL в ЦС.
(3) — Ваше приложение опрашивает Key Vault в цикле и ожидающем процессе для завершения сертификата. Создание сертификата завершается, когда Key Vault получает ответ ЦС с сертификатом x509.
(4) — ЦС отвечает сертификатом X509 TLS/SSL на запрос сертификата TLS/SSL из Key Vault.
(5) — создание нового сертификата завершается слиянием сертификата X509 для УЦ.

пользователь Key Vault — создает сертификат, задавая политику

  • Повторите по мере необходимости

  • Ограничения политики

    • Свойства X509
    • Ключевые свойства
    • Ссылка на поставщика —> например, MyDigiCertIssuer
    • Сведения о продлении —> например, 90 дней до истечения срока действия
  • Процесс создания сертификата обычно является асинхронным процессом и включает опрос хранилища ключей для состояния операции создания сертификата.
    Операция получения сертификата

    • Состояние: завершено, не удалось получить сведения об ошибке или отменить
    • Из-за задержки в создании можно инициировать операцию отмены. Отмена может быть или не может быть эффективной.

Политики безопасности сети и доступа, связанные с интегрированным ЦС

служба Key Vault отправляет запросы в ЦС (исходящий трафик). Поэтому он полностью совместим с хранилищами ключей с поддержкой брандмауэра. Key Vault не делится политиками доступа с ЦС. Центр Сертификации должен быть настроен таким образом, чтобы самостоятельно принимать запросы на подпись. За дополнительной информацией обратитесь к разделу Интеграция Key Vault с центрами сертификации.

Импорт сертификата

Кроме того, вы можете импортировать сертификат в Key Vault в формате PFX или PEM.

Для импорта сертификата требуется PEM или PFX-файл на диске, который содержит закрытый ключ.

  • Необходимо указать имя хранилища и имя сертификата (политика является необязательной).

  • PEM и PFX-файлы содержат атрибуты, которые Key Vault могут анализировать и использовать для заполнения политики сертификата. Если политика сертификата уже указана, Key Vault пытается сопоставить данные из PFX-файла или PEM.

  • После завершения импорта последующие операции используют новую политику (новые версии).

  • Если дальнейших операций нет, первое, что Key Vault делает, отправляет уведомление об истечении срока действия.

  • Пользователь также может изменить политику, которая работает во время импорта, но содержит значения по умолчанию, в которых никакие сведения не были указаны при импорте. Например, нет сведений о издателе.

Форматы импорта, которые поддерживаются

Azure Key Vault поддерживает файлы сертификатов PEM и PFX для импорта сертификатов в хранилище ключей. Следующий формат импорта поддерживается для файлов PEM: один сертификат в кодировке PEM вместе с нешифрованным ключом с кодировкой PKCS#8 в следующем формате:

сертификат -----BEGIN-----

-----END CERTIFICATE-----

ЗАКРЫТЫЙ КЛЮЧ -----BEGIN PRIVATE KEY-----

-----END PRIVATE KEY-----

При импорте сертификата убедитесь, что ключ включен в сам файл. Если у вас есть закрытый ключ отдельно в другом формате, необходимо объединить ключ с сертификатом. Некоторые центры сертификации предоставляют сертификаты в разных форматах, поэтому перед импортом сертификата убедитесь, что он находится в формате PEM или PFX.

Примечание.

Убедитесь, что в файле сертификата отсутствуют другие метаданные, а закрытый ключ не отображается как зашифрованный.

Форматы объединения CSR, которые мы поддерживаем

Azure Key Vault поддерживает сертификаты в кодировке PKCS#8 со следующими заголовками:

сертификат -----BEGIN-----

-----END CERTIFICATE-----

Примечание.

Подписанные цепочки сертификатов P7B (PKCS#7), часто используемые центрами сертификации(ЦС), поддерживаются до тех пор, пока они закодированы в кодировке Base64. Для преобразования в поддерживаемый формат можно использовать команду certutil -encode.

Создание сертификата с центром сертификации, не партнерским с Key Vault

Этот метод позволяет работать с центрами сертификации, отличными от партнерских поставщиков Key Vault, что означает, что ваша организация может работать с ЦС по своему выбору.

Создание сертификата с собственным центром сертификации

Следующие описания шагов соответствуют зеленым буквам на предыдущей схеме.

  1. На схеме приложение создает сертификат, который начинается с создания ключа в хранилище ключей.

  2. Key Vault возвращает запрос на подписанный сертификат (CSR) вашему приложению.

  3. Ваше приложение передает запрос на сертификат (CSR) выбранному УЦ.

  4. Выбранный удостоверяющий центр предоставляет сертификат X.509.

  5. Приложение завершает создание нового сертификата путем объединения сертификата X.509 из ЦС.