Erstellen und Zusammenführen einer Zertifikatsignieranforderung in Key Vault

Azure Key Vault unterstützt die Speicherung digitaler Zertifikate, die von einer beliebigen Zertifizierungsstelle (ZS) ausgestellt wurden. Key Vault unterstützt die Erstellung einer Zertifikatsignieranforderung (Certificate Signing Request, CSR) mit einem Schlüsselpaar mit einem privaten und einem öffentlichen Schlüssel. Die CSR kann von jeder Zertifizierungsstelle (interne Unternehmenszertifizierungsstelle oder externe öffentliche Zertifizierungsstelle) signiert werden. Bei einer Zertifikatsignieranforderung handelt es sich um eine Nachricht, die Sie zum Anfordern eines digitalen Zertifikats an eine Zertifizierungsstelle senden.

Weitere allgemeine Informationen zu Zertifikaten finden Sie unter Informationen zu Azure Key Vault-Zertifikaten.

Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

Hinzufügen der von Partnerzertifizierungsstellen ausgestellten Zertifikate in Key Vault

Key Vault ist eine Partnerschaft mit den folgenden Zertifizierungsstellen eingegangen, um die Zertifikaterstellung zu vereinfachen:

Anbieter Zertifikattyp Konfigurationssetup
DigiCert Key Vault bietet OV- oder EV-SSL-Zertifikate mit DigiCert Integrationsleitfaden
GlobalSign Key Vault bietet OV- oder EV-SSL-Zertifikate mit GlobalSign Integrationsleitfaden

Hinzufügen von Zertifikaten in Key Vault, die von Zertifizierungsstellen ausgestellt wurden, die keine Partner sind

Führen Sie die folgenden Schritte aus, um ein Zertifikat von Zertifizierungsstellen hinzuzufügen, die keine Partnerschaft mit Key Vault eingegangen sind. (GoDaddy ist beispielsweise keine vertrauenswürdige Key Vault-Zertifizierungsstelle.)

  1. Navigieren Sie zu dem Schlüsseltresor, dem Sie das Zertifikat hinzufügen möchten.

  2. Wählen Sie auf der Eigenschaftenseite die Option Zertifikate aus.

  3. Wählen Sie die Registerkarte Generieren/importieren aus.

  4. Wählen Sie auf dem Bildschirm Zertifikat erstellen die folgenden Werte aus:

    • Methode der Zertifikaterstellung: Generieren.
    • Zertifikatname: ContosoManualCSRCertificate.
    • Typ der Zertifizierungsstelle (ZS): Zertifikat wurde durch eine nicht integrierte Zertifizierungsstelle ausgestellt.
    • Antragsteller:"CN=www.contosoHRApp.com"

    Hinweis

    Wenn Sie einen RDN (Relative Distinguished Name) nutzen, dessen Wert ein Komma (,) enthält, setzen Sie den Wert, der das Sonderzeichen enthält, in doppelte Anführungszeichen.

    Beispieleintrag für Antragsteller: DC=Contoso,OU="Docs,Contoso",CN=www.contosoHRApp.com

    In diesem Beispiel enthält der OU-Wert des RDN einen Wert mit einem Komma im Namen. Die resultierende Ausgabe für OU lautet Docs, Contoso.

  5. Wählen Sie die anderen Werte wie gewünscht und dann Erstellen aus, um das Zertifikat der Liste Zertifikate hinzuzufügen.

    Screenshot: Zertifikateigenschaften

  6. Wählen Sie in der Liste Zertifikate das neue Zertifikat aus. Der aktuelle Status des Zertifikats lautet Deaktiviert, da es noch nicht von der Zertifizierungsstelle ausgestellt wurde.

  7. Wählen Sie auf der Registerkarte Zertifikatvorgang die Option CSR herunterladen aus.

    Screenshot: Hervorgehobene Schaltfläche „CSR herunterladen“

  8. Lassen Sie die CSR (.csr) von der Zertifizierungsstelle signieren.

  9. Wählen Sie nach dem Signieren der Anforderung auf der Registerkarte Zertifikatvorgang die Option Signierte Anforderung zusammenführen aus, um das signierte Zertifikat zu Key Vault hinzuzufügen.

Die Zertifikatanforderung wurde nun erfolgreich zusammengeführt.

Hinzufügen von weiteren Informationen zur CSR

Wenn Sie beim Erstellen der CSR weitere Informationen hinzufügen möchten, definieren Sie diese in SubjectName. Sie können beispielsweise folgende Informationen hinzufügen:

  • Land/Region
  • Ort/Standort
  • Bundesland/Kanton
  • Organization
  • Organisationseinheit

Beispiel

SubjectName="CN = video2.skills-academy.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US"

Hinweis

Wenn Sie ein domänenvalidiertes Zertifikat (DV-Zertifikat) mit zusätzlichen Informationen anfordern, lehnt die Zertifizierungsstelle die Anforderung unter Umständen ab, wenn nicht alle Informationen in der Anforderung validiert werden können. Die zusätzlichen Informationen eignen sich unter Umständen besser für die Anforderung eines organisationsvalidierten Zertifikats (OV-Zertifikat).

Häufig gestellte Fragen

  • Wie überwache oder verwalte ich meine CSR?

    Entsprechende Informationen finden Sie unter Überwachen und Verwalten der Zertifikaterstellung.

  • Was ist zu tun, wenn mir Folgendes angezeigt wird: Fehlertyp „Der öffentliche Schlüssel des Endentitätszertifikats im angegebenen X.509-Zertifikatinhalt stimmt nicht mit dem öffentlichen Teil des angegebenen privaten Schlüssels überein. Überprüfen Sie die Gültigkeit des Zertifikats.“ ?

    Dieser Fehler tritt auf, wenn Sie die signierte CSR nicht mit der gleichen initialisierten CSR-Anforderung zusammenführen. Jede von Ihnen erstellte neue CSR verfügt über einen privaten Schlüssel, der beim Zusammenführen der signierten Anforderung abgeglichen werden muss.

  • Wird beim Zusammenführen einer CSR die gesamte Kette zusammengeführt?

    Ja, die gesamte Kette wird zusammengeführt, vorausgesetzt, der Benutzer hat eine P7B-Datei zum Zusammenführen zurückgegeben.

  • Was geschieht, wenn das ausgestellte Zertifikat im Azure-Portal den Status „deaktiviert“ hat?

    Überprüfen Sie auf der Registerkarte Zertifikatvorgang die Fehlermeldung für dieses Zertifikat.

  • Was ist zu tun, wenn mir Folgendes angezeigt wird: Fehlertyp „Beim angegebenen Antragstellernamen handelt es sich nicht um einen gültigen X.500-Namen.“ ?

    Dieser Fehler kann auftreten, wenn SubjectName Sonderzeichen enthält. Weitere Informationen finden Sie in den Hinweisen in den Anweisungen zum Azure-Portal und zu PowerShell.

  • Fehlertyp The CSR used to get your certificate has already been used. Please try to generate a new certificate with a new CSR. (Die zum Abrufen Ihres Zertifikats verwendete CSR wurde bereits verwendet. Versuchen Sie, ein neues Zertifikat mit einer neuen CSR zu generieren) Navigieren Sie zum Abschnitt „Erweiterte Richtlinie“ des Zertifikats, und vergewissern Sie sich, dass die Option „Schlüssel beim Erneuern wiederverwenden?“ deaktiviert ist.


Nächste Schritte