Erstellen und Zusammenführen einer Zertifikatsignieranforderung in Key Vault
Azure Key Vault unterstützt die Speicherung digitaler Zertifikate, die von einer beliebigen Zertifizierungsstelle (ZS) ausgestellt wurden. Key Vault unterstützt die Erstellung einer Zertifikatsignieranforderung (Certificate Signing Request, CSR) mit einem Schlüsselpaar mit einem privaten und einem öffentlichen Schlüssel. Die CSR kann von jeder Zertifizierungsstelle (interne Unternehmenszertifizierungsstelle oder externe öffentliche Zertifizierungsstelle) signiert werden. Bei einer Zertifikatsignieranforderung handelt es sich um eine Nachricht, die Sie zum Anfordern eines digitalen Zertifikats an eine Zertifizierungsstelle senden.
Weitere allgemeine Informationen zu Zertifikaten finden Sie unter Informationen zu Azure Key Vault-Zertifikaten.
Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
Hinzufügen der von Partnerzertifizierungsstellen ausgestellten Zertifikate in Key Vault
Key Vault ist eine Partnerschaft mit den folgenden Zertifizierungsstellen eingegangen, um die Zertifikaterstellung zu vereinfachen:
Anbieter | Zertifikattyp | Konfigurationssetup |
---|---|---|
DigiCert | Key Vault bietet OV- oder EV-SSL-Zertifikate mit DigiCert | Integrationsleitfaden |
GlobalSign | Key Vault bietet OV- oder EV-SSL-Zertifikate mit GlobalSign | Integrationsleitfaden |
Hinzufügen von Zertifikaten in Key Vault, die von Zertifizierungsstellen ausgestellt wurden, die keine Partner sind
Führen Sie die folgenden Schritte aus, um ein Zertifikat von Zertifizierungsstellen hinzuzufügen, die keine Partnerschaft mit Key Vault eingegangen sind. (GoDaddy ist beispielsweise keine vertrauenswürdige Key Vault-Zertifizierungsstelle.)
Navigieren Sie zu dem Schlüsseltresor, dem Sie das Zertifikat hinzufügen möchten.
Wählen Sie auf der Eigenschaftenseite die Option Zertifikate aus.
Wählen Sie die Registerkarte Generieren/importieren aus.
Wählen Sie auf dem Bildschirm Zertifikat erstellen die folgenden Werte aus:
- Methode der Zertifikaterstellung: Generieren.
- Zertifikatname: ContosoManualCSRCertificate.
- Typ der Zertifizierungsstelle (ZS): Zertifikat wurde durch eine nicht integrierte Zertifizierungsstelle ausgestellt.
- Antragsteller:
"CN=www.contosoHRApp.com"
Hinweis
Wenn Sie einen RDN (Relative Distinguished Name) nutzen, dessen Wert ein Komma (,) enthält, setzen Sie den Wert, der das Sonderzeichen enthält, in doppelte Anführungszeichen.
Beispieleintrag für Antragsteller:
DC=Contoso,OU="Docs,Contoso",CN=www.contosoHRApp.com
In diesem Beispiel enthält der
OU
-Wert des RDN einen Wert mit einem Komma im Namen. Die resultierende Ausgabe fürOU
lautet Docs, Contoso.Wählen Sie die anderen Werte wie gewünscht und dann Erstellen aus, um das Zertifikat der Liste Zertifikate hinzuzufügen.
Wählen Sie in der Liste Zertifikate das neue Zertifikat aus. Der aktuelle Status des Zertifikats lautet Deaktiviert, da es noch nicht von der Zertifizierungsstelle ausgestellt wurde.
Wählen Sie auf der Registerkarte Zertifikatvorgang die Option CSR herunterladen aus.
Lassen Sie die CSR (.csr) von der Zertifizierungsstelle signieren.
Wählen Sie nach dem Signieren der Anforderung auf der Registerkarte Zertifikatvorgang die Option Signierte Anforderung zusammenführen aus, um das signierte Zertifikat zu Key Vault hinzuzufügen.
Die Zertifikatanforderung wurde nun erfolgreich zusammengeführt.
Hinzufügen von weiteren Informationen zur CSR
Wenn Sie beim Erstellen der CSR weitere Informationen hinzufügen möchten, definieren Sie diese in SubjectName. Sie können beispielsweise folgende Informationen hinzufügen:
- Land/Region
- Ort/Standort
- Bundesland/Kanton
- Organization
- Organisationseinheit
Beispiel
SubjectName="CN = video2.skills-academy.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US"
Hinweis
Wenn Sie ein domänenvalidiertes Zertifikat (DV-Zertifikat) mit zusätzlichen Informationen anfordern, lehnt die Zertifizierungsstelle die Anforderung unter Umständen ab, wenn nicht alle Informationen in der Anforderung validiert werden können. Die zusätzlichen Informationen eignen sich unter Umständen besser für die Anforderung eines organisationsvalidierten Zertifikats (OV-Zertifikat).
Häufig gestellte Fragen
Wie überwache oder verwalte ich meine CSR?
Entsprechende Informationen finden Sie unter Überwachen und Verwalten der Zertifikaterstellung.
Was ist zu tun, wenn mir Folgendes angezeigt wird: Fehlertyp „Der öffentliche Schlüssel des Endentitätszertifikats im angegebenen X.509-Zertifikatinhalt stimmt nicht mit dem öffentlichen Teil des angegebenen privaten Schlüssels überein. Überprüfen Sie die Gültigkeit des Zertifikats.“ ?
Dieser Fehler tritt auf, wenn Sie die signierte CSR nicht mit der gleichen initialisierten CSR-Anforderung zusammenführen. Jede von Ihnen erstellte neue CSR verfügt über einen privaten Schlüssel, der beim Zusammenführen der signierten Anforderung abgeglichen werden muss.
Wird beim Zusammenführen einer CSR die gesamte Kette zusammengeführt?
Ja, die gesamte Kette wird zusammengeführt, vorausgesetzt, der Benutzer hat eine P7B-Datei zum Zusammenführen zurückgegeben.
Was geschieht, wenn das ausgestellte Zertifikat im Azure-Portal den Status „deaktiviert“ hat?
Überprüfen Sie auf der Registerkarte Zertifikatvorgang die Fehlermeldung für dieses Zertifikat.
Was ist zu tun, wenn mir Folgendes angezeigt wird: Fehlertyp „Beim angegebenen Antragstellernamen handelt es sich nicht um einen gültigen X.500-Namen.“ ?
Dieser Fehler kann auftreten, wenn SubjectName Sonderzeichen enthält. Weitere Informationen finden Sie in den Hinweisen in den Anweisungen zum Azure-Portal und zu PowerShell.
Fehlertyp The CSR used to get your certificate has already been used. Please try to generate a new certificate with a new CSR. (Die zum Abrufen Ihres Zertifikats verwendete CSR wurde bereits verwendet. Versuchen Sie, ein neues Zertifikat mit einer neuen CSR zu generieren) Navigieren Sie zum Abschnitt „Erweiterte Richtlinie“ des Zertifikats, und vergewissern Sie sich, dass die Option „Schlüssel beim Erneuern wiederverwenden?“ deaktiviert ist.