Интеграция Key Vault с интегрированными центрами сертификации

Azure Key Vault позволяет легко подготавливать, администрировать и развертывать цифровые сертификаты для сети и поддерживать безопасный обмен данными между приложениями. Цифровой сертификат представляет собой электронные учетные данные для подтверждения личности в электронной транзакции.

Azure Key Vault имеет доверенные партнерские отношения со следующими центрами сертификации:

• DigiCert
• GlobalSign

Пользователи Azure Key Vault могут создавать сертификаты DigiCert и GlobalSign непосредственно в хранилищах ключей. Партнерство Key Vault обеспечивает сквозное управление жизненным циклом сертификатов, выпущенных DigiCert.

Общую информацию о сертификатах см. в статье Сведения о сертификатах Azure Key Vault.

Если у вас еще нет подписки Azure, создайте бесплатную учетную запись, прежде чем начинать работу.

Необходимые компоненты

Для выполнения процедур из этой статьи необходимо следующее.

• Хранилище ключей. Вы можете использовать существующее хранилище ключей или создать его, выполнив действия, описанные в одном из следующих кратких руководств.
  • Создание хранилища ключей с помощью Azure CLI
  • Создание хранилища ключей с помощью Azure PowerShell
  • Создание хранилища ключей с помощью портала Azure
• Активированная учетная запись DigiCert CertCentral. Зарегистрируйтесь для получения учетной записи CertCentral.
• Разрешения уровня администратора для учетных записей.

Подготовка к работе

DigiCert

Убедитесь, что у вас есть следующие сведения об учетной записи DigiCert CertCentral:

• идентификатор учетной записи CertCentral;
• Идентификатор организации
• Ключ API
• Код счета
• Пароль учетной записи

GlobalSign

Убедитесь, что у вас есть следующие сведения из учетной записи GlobalSign:

• Код счета
• Пароль учетной записи
• Имя администратора
• Фамилия администратора
• Электронная почта администратора
• Номер телефона администратора

Добавление центра сертификации в Key Vault

Завершив сбор данных из учетной записи DigiCert CertCentral, добавьте DigiCert в список центров сертификации в хранилище ключей.

Портал Azure (DigiCert)

1. Чтобы добавить центр сертификации DigiCert, перейдите к хранилищу ключей, в которое нужно его добавить.

2. На странице свойств Key Vault выберите Сертификаты.

3. Перейдите на вкладку "Центры сертификации":

4. Нажмите кнопку "Добавить":

5. В разделе Создание центра сертификации введите следующие значения.

   • Имя: понятное имя издателя. Например, DigiCertCA.
   • Поставщик: DigiCert.
   • Идентификатор учетной записи: идентификатор учетной записи DigiCert CertCentral.
   • Пароль учетной записи: ключ API, созданный для учетной записи DigiCert CertCentral.
   • Идентификатор организации: идентификатор организации в учетной записи DigiCert CertCentral.

6. Нажмите кнопку создания.

Теперь DigicertCA добавлен в список центров сертификации.

Портал Azure (GlobalSign)

1. Чтобы добавить центр сертификации GlobalSign, перейдите в хранилище ключей, в которое вы хотите добавить его.

2. На странице свойств Key Vault выберите Сертификаты.

3. Перейдите на вкладку "Центры сертификации":

4. Нажмите кнопку "Добавить":

5. В разделе Создание центра сертификации введите следующие значения.

   • Имя: понятное имя издателя. Например, GlobalSignCA.
   • Поставщик: GlobalSign.
   • Идентификатор учетной записи: ваш идентификатор учетной записи GlobalSign.
   • Пароль учетной записи: пароль учетной записи GlobalSign.
   • Имя администратора: имя администратора учетной записи Global Sign.
   • Фамилия администратора: фамилия администратора учетной записи Global Sign.
   • Электронная почта администратора: адрес электронной почты администратора учетной записи Global Sign.
   • Номер телефона администратора: номер телефона для связи с администратором учетной записи Global Sign.

6. Нажмите кнопку создания.

Теперь GlobalSignCA добавлен в список центров сертификации.

Azure PowerShell

Azure PowerShell можно использовать для создания ресурсов Azure и управления ими с помощью скриптов и команд. В Azure есть интерактивная оболочка Azure Cloud Shell, с которой можно работать на портале Azure через браузер.

Если вы решили установить и использовать PowerShell локально, для выполнения описанных здесь процедур вам потребуется модуль Azure AZ PowerShell 1.0.0 или более поздней версии. Введите $PSVersionTable.PSVersion, чтобы определить версию. Если вам необходимо выполнить обновление, ознакомьтесь со статьей, посвященной установке модуля Azure AZ PowerShell. При использовании PowerShell на локальном компьютере также нужно запустить Connect-AzAccount, чтобы создать подключение к Azure.

Connect-AzAccount

1. Создайте группу ресурсов Azure с помощью командлета New-AzResourceGroup. Группа ресурсов — это логический контейнер, в котором происходит развертывание ресурсов Azure и управление ими.

   New-AzResourceGroup -Name ContosoResourceGroup -Location EastUS
   

2. Создайте хранилище ключей с уникальным именем. Здесь Contoso-Vaultname — это имя хранилища ключей.

   • Имя хранилища: Contoso-Vaultname
   • Имя группы ресурсов: ContosoResourceGroup
   • Расположение: EastUS

   New-AzKeyVault -Name 'Contoso-Vaultname' -ResourceGroupName 'ContosoResourceGroup' -Location 'EastUS'
   

3. Определите переменные для следующих значений из учетной записи DigiCert CertCentral.

   • идентификатор учетной записи;
   • Идентификатор организации
   • Ключ API

   $accountId = "myDigiCertCertCentralAccountID"
   $org = New-AzKeyVaultCertificateOrganizationDetail -Id OrganizationIDfromDigiCertAccount
   $secureApiKey = ConvertTo-SecureString DigiCertCertCentralAPIKey -AsPlainText –Force
   

4. Настройте издателя. Это действие добавляет Digicert в качестве центра сертификации в хранилище ключей. Дополнительные сведения о параметрах см. здесь.

   Set-AzKeyVaultCertificateIssuer -VaultName "Contoso-Vaultname" -Name "TestIssuer01" -IssuerProvider DigiCert -AccountId $accountId -ApiKey $secureApiKey -OrganizationDetails $org -PassThru
   

5. Настройте политику для сертификата и реализуйте выдачу сертификата DigiCert непосредственно из Key Vault.

   $Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "TestIssuer01" -ValidityInMonths 12 -RenewAtNumberOfDaysBeforeExpiry 60
   Add-AzKeyVaultCertificate -VaultName "Contoso-Vaultname" -Name "ExampleCertificate" -CertificatePolicy $Policy
   

Теперь сертификат выдается центром сертификации DigiCert в указанном хранилище ключей.

Устранение неполадок

Если выданный сертификат имеет состояние disabled (отключено) на портале Azure, изучите инструкции по работе с сертификатами, чтобы просмотреть сообщение DigiCert об ошибке, связанной с этим сертификатом.

Сообщение об ошибке: "Выполните объединение, чтобы завершить этот запрос на сертификат".

Объедините CSR, подписанные центром сертификации, для завершения запроса. Сведения об объединении CSR см. в статье Создание и объединение CSR.

Дополнительные сведения о работе с сертификатами см. в справочнике по работе с Azure Key Vault с помощью REST API. Сведения об установке разрешений см. в статьях Хранилища. Создание или обновление и Хранилища. Обновление политики доступа.

Следующие шаги

• Вопросы и ответы: интеграция Key Vault с интегрированными центрами сертификации
• Аутентификация, запросы и ответы
• Руководство разработчика Azure Key Vault