Integrando o Key Vault com autoridades de certificação integradas
O Azure Key Vault permite que você provisione, gerencie e implante facilmente certificados digitais para sua rede e habilite comunicações seguras para aplicativos. Um certificado digital é uma credencial eletrônica que estabelece prova de identidade em uma transação eletrônica.
O Azure Key Vault tem uma parceria confiável com as seguintes Autoridades de Certificação:
Os usuários do Azure Key Vault podem gerar certificados DigiCert/GlobalSign diretamente de seus cofres de chaves. A parceria da Key Vault garante o gerenciamento completo do ciclo de vida dos certificados emitidos pela DigiCert.
Para obter mais informações gerais sobre certificados, consulte Certificados do Cofre da Chave do Azure.
Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.
Pré-requisitos
Para concluir os procedimentos neste artigo, você precisa ter:
- Um cofre de chaves. Você pode usar um cofre de chaves existente ou criar um concluindo as etapas em um destes inícios rápidos:
- Uma conta DigiCert CertCentral ativada. Inscreva-se na sua conta CertCentral.
- Permissões de nível de administrador em suas contas.
Antes de começar
DigiCert
Certifique-se de que tem as seguintes informações da sua conta DigiCert CertCentral:
- ID da conta CertCentral
- ID da Organização
- Chave de API
- ID de conta
- Palavra-passe da conta
GlobalSign
Certifique-se de que tem as seguintes informações da sua conta Global Sign:
- ID de conta
- Palavra-passe da conta
- Nome próprio do administrador
- Apelido do Administrador
- E-mail do Administrador
- Número de telefone do administrador
Adicionar a autoridade de certificação no Cofre da Chave
Depois de reunir as informações anteriores da sua conta DigiCert CertCentral, você pode adicionar o DigiCert à lista de autoridades de certificação no cofre de chaves.
Portal do Azure (DigiCert)
Para adicionar a autoridade de certificação DigiCert, vá para o cofre de chaves ao qual você deseja adicioná-la.
Na página de propriedades Cofre da Chave, selecione Certificados.
Selecione a guia Autoridades de certificação :
Selecione Adicionar:
Em Criar uma autoridade de certificação, insira estes valores:
- Nome: Um nome de emissor identificável. Por exemplo, DigiCertCA.
- Fornecedor: DigiCert.
- ID da conta: O ID da sua conta DigiCert CertCentral.
- Senha da conta: A chave API que você gerou em sua conta DigiCert CertCentral.
- ID da organização: O ID da organização da sua conta DigiCert CertCentral.
Selecione Criar.
DigicertCA está agora na lista de autoridades de certificação.
Portal do Azure (GlobalSign)
Para adicionar a autoridade de certificação GlobalSign, vá para o cofre de chaves ao qual deseja adicioná-la.
Na página de propriedades Cofre da Chave, selecione Certificados.
Selecione a guia Autoridades de certificação :
Selecione Adicionar:
Em Criar uma autoridade de certificação, insira estes valores:
- Nome: Um nome de emissor identificável. Por exemplo, GlobalSignCA.
- Fornecedor: GlobalSign.
- ID da conta: o ID da sua conta GlobalSign.
- Palavra-passe da conta: A palavra-passe da sua conta GlobalSign.
- Nome do administrador: o primeiro nome do administrador da conta do Sinal Global.
- Sobrenome do administrador: o sobrenome do administrador da conta do Sinal Global.
- E-mail do administrador: O e-mail do administrador da conta do Sinal Global.
- Número de telefone do administrador: o número de telefone do administrador da conta do Sinal Global.
Selecione Criar.
GlobalSignCA está agora na lista de autoridades de certificação.
Azure PowerShell
Você pode usar o Azure PowerShell para criar e gerenciar recursos do Azure usando comandos ou scripts. O Azure hospeda o Azure Cloud Shell, um ambiente de shell interativo que você pode usar por meio do portal do Azure em um navegador.
Se você optar por instalar e usar o PowerShell localmente, precisará do módulo 1.0.0 ou posterior do Azure AZ PowerShell para concluir os procedimentos aqui. Digite $PSVersionTable.PSVersion para determinar a versão. Se você precisar atualizar, consulte Instalar o módulo Azure AZ PowerShell. Se você estiver executando o PowerShell localmente, também precisará executar Connect-AzAccount para criar uma conexão com o Azure:
Connect-AzAccount
Crie um grupo de recursos do Azure usando New-AzResourceGroup. Um grupo de recursos é um contentor lógico no qual os recursos do Azure são implementados e geridos.
New-AzResourceGroup -Name ContosoResourceGroup -Location EastUSCrie um cofre de chaves que tenha um nome exclusivo. Aqui,
Contoso-Vaultnameé o nome do cofre de chaves.- Nome do cofre:
Contoso-Vaultname - Nome do grupo de recursos:
ContosoResourceGroup - Localização:
EastUS
New-AzKeyVault -Name 'Contoso-Vaultname' -ResourceGroupName 'ContosoResourceGroup' -Location 'EastUS'- Nome do cofre:
Defina variáveis para os seguintes valores da sua conta DigiCert CertCentral:
- ID da conta
- ID da organização
- Chave API
$accountId = "myDigiCertCertCentralAccountID" $org = New-AzKeyVaultCertificateOrganizationDetail -Id OrganizationIDfromDigiCertAccount $secureApiKey = ConvertTo-SecureString DigiCertCertCentralAPIKey -AsPlainText –ForceDefina o emissor. Isso adicionará a Digicert como uma autoridade de certificação no cofre de chaves. Saiba mais sobre os parâmetros.
Set-AzKeyVaultCertificateIssuer -VaultName "Contoso-Vaultname" -Name "TestIssuer01" -IssuerProvider DigiCert -AccountId $accountId -ApiKey $secureApiKey -OrganizationDetails $org -PassThruDefina a política para o certificado e emissão de certificado da DigiCert diretamente no Cofre da Chave:
$Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "TestIssuer01" -ValidityInMonths 12 -RenewAtNumberOfDaysBeforeExpiry 60 Add-AzKeyVaultCertificate -VaultName "Contoso-Vaultname" -Name "ExampleCertificate" -CertificatePolicy $Policy
O certificado agora é emitido pela autoridade de certificação DigiCert no cofre de chaves especificado.
Resolver problemas
Se o certificado emitido estiver no status desabilitado no portal do Azure, exiba a operação de certificado para revisar a mensagem de erro DigiCert para o certificado:
Mensagem de erro: "Execute uma mesclagem para concluir esta solicitação de certificado."
Mescle o CSR assinado pela autoridade de certificação para concluir a solicitação. Para obter informações sobre como mesclar uma CSR, consulte Criar e mesclar uma CSR.
Para obter mais informações, consulte Operações de certificado na referência da API REST do Cofre de Chaves. Para obter informações sobre como estabelecer permissões, consulte Vaults - Criar ou atualizar e Vaults - Atualizar política de acesso.