Key Vault'ta sertifika imzalama isteği oluşturma ve birleştirme

Makale
08/07/2024

Azure Key Vault, herhangi bir sertifika yetkilisi (CA) tarafından verilen dijital sertifikaların depolanmasını destekler. Özel/ortak anahtar çifti ile sertifika imzalama isteği (CSR) oluşturmayı destekler. CSR herhangi bir CA (iç kuruluş CA'sı veya dış genel CA) tarafından imzalanabilir. Sertifika imzalama isteği (CSR), dijital sertifika istemek için CA'ya gönderdiğiniz bir iletidir.

Sertifikalar hakkında daha fazla genel bilgi için bkz . Azure Key Vault sertifikaları.

Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

İş ortağı CA'lar tarafından verilen Key Vault'a sertifika ekleme

Key Vault, sertifika oluşturmayı basitleştirmek için aşağıdaki sertifika yetkilileriyle işbirliği yapar.

Provider	Sertifika türü	Yapılandırma kurulumu
DigiCert	Key Vault, DigiCert ile OV veya EV SSL sertifikaları sunar	Tümleştirme kılavuzu
GlobalSign	Key Vault, GlobalSign ile OV veya EV SSL sertifikaları sunar	Tümleştirme kılavuzu

Key Vault'ta iş ortağı olmayan CA'lar tarafından verilen sertifikaları ekleme

Key Vault ile işbirliği yapmayan CA'lardan sertifika eklemek için bu adımları izleyin. (Örneğin GoDaddy güvenilir bir Key Vault CA'sı değildir.)

Portal
PowerShell

Sertifikayı eklemek istediğiniz anahtar kasasına gidin.
Özellikler sayfasında Sertifikalar'ı seçin.
Oluştur/İçeri Aktar sekmesini seçin.
Sertifika oluştur ekranında aşağıdaki değerleri seçin:
- Sertifika Oluşturma Yöntemi: Oluşturma.
- Sertifika Adı: ContosoManualCSRCertificate.
- Sertifika Yetkilisi (CA) Türü: Tümleştirilmemiş bir CA tarafından verilen sertifika.
- Konu: "CN=www.contosoHRApp.com".
Not

Değerde virgül (,) bulunan Göreli Ayırt Edici Ad (RDN) kullanıyorsanız, özel karakteri içeren değeri çift tırnak içine alın.

Konu'ya örnek girdi:DC=Contoso,OU="Docs,Contoso",CN=www.contosoHRApp.com

Bu örnekte RDN OU adında virgül bulunan bir değer içerir. için elde edilen çıkış OU Docs, Contoso'dur.
Sertifikayı Sertifikalar listesine eklemek için diğer değerleri istediğiniz gibi seçin ve ardından Oluştur'u seçin.
Sertifikalar listesinde yeni sertifikayı seçin. Sertifika henüz CA tarafından verilmediğinden sertifikanın geçerli durumu devre dışı bırakıldı .
Sertifika İşlemi sekmesinde CSR'yi İndir'i seçin.
CA'nın CSR'yi (.csr) imzalamasını sağlar.
İstek imzalandıktan sonra, imzalı sertifikayı Key Vault'a eklemek için Sertifika İşlemi sekmesinde İmzalı İsteği Birleştir'i seçin.

Sertifika isteği başarıyla birleştirildi.

Bir sertifika ilkesi oluşturun. Bu senaryoda seçilen CA iş ortağı olmadığından IssuerName Bilinmiyor olarak ayarlanır ve Key Vault sertifikayı kaydetmez veya yenilemez.
```
$policy = New-AzKeyVaultCertificatePolicy -SubjectName "CN=www.contosoHRApp.com" -ValidityInMonths 1  -IssuerName Unknown
```
Not

Değerde virgül (,) bulunan bir Göreli Ayırt Edici Ad (RDN) kullanıyorsanız, tam değer veya değer kümesi için tek tırnak kullanın ve özel karakteri içeren değeri çift tırnak içine alın.

SubjectName'e örnek girdi: $policy = New-AzKeyVaultCertificatePolicy -SubjectName 'OU="Docs,Contoso",DC=Contoso,CN=www.contosoHRApp.com' -ValidityInMonths 1 -IssuerName Unknown. Bu örnekte, OU değer Docs, Contoso olarak okunur. Bu biçim, virgül içeren tüm değerler için çalışır.

Bu örnekte RDN OU adında virgül bulunan bir değer içerir. için elde edilen çıkış OU Docs, Contoso'dur.

CSR'yi oluşturun.

$csr = Add-AzKeyVaultCertificate -VaultName ContosoKV -Name ContosoManualCSRCertificate -CertificatePolicy $policy
$csr.CertificateSigningRequest

CA'nın CSR'yi imzalamasını sağlayın. $csr.CertificateSigningRequest, sertifika için temel kodlanmış CSR'dir. Bu blobu verenin sertifika isteği web sitesine atabilirsiniz. Bu adım CA'dan CA'ya değişir. Ca'nızın bu adımı yürütme yönergelerini arayın. CSR'nin imzalanmasını sağlamak ve sertifika oluşturma işlemini tamamlamak için certreq veya openssl gibi araçları da kullanabilirsiniz.
İmzalı isteği Key Vault'ta birleştirin. Sertifika isteği imzalandıktan sonra Azure Key Vault'ta oluşturulan ilk özel/ortak anahtar çiftiyle birleştirebilirsiniz.
```
Import-AzKeyVaultCertificate -VaultName ContosoKV -Name ContosoManualCSRCertificate -FilePath C:\test\OutputCertificateFile.cer
```

Sertifika isteği başarıyla birleştirildi.

CSR'ye daha fazla bilgi ekleme

CSR'yi oluştururken daha fazla bilgi eklemek istiyorsanız KonuAdı'nda tanımlayın. Aşağıdakiler gibi bilgiler eklemek isteyebilirsiniz:

Ülke/bölge
Şehir/yerleşim yeri
Eyalet/vilayet
Kuruluş
Kuruluş birimi

Örnek

SubjectName="CN = video2.skills-academy.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US"

Not

Ek bilgiler içeren bir Etki Alanı Doğrulama (DV) sertifikası istiyorsanız, CA istekteki tüm bilgileri doğrulayamazsa isteği reddedebilir. Kuruluş Doğrulama (OV) sertifikası istiyorsanız ek bilgiler daha uygun olabilir.

SSS

CSR'mi Nasıl yaparım? izleme veya yönetme?

Bkz. Sertifika oluşturmayı izleme ve yönetme.
'Belirtilen X.509 sertifika içeriğindeki son varlık sertifikasının ortak anahtarı belirtilen özel anahtarın ortak bölümüyle eşleşmiyor' hata türünü görürsem ne olur? Lütfen sertifikanın geçerli olup olmadığını denetleyin'?

bu hata, imzalı CSR'yi başlattığınız CSR isteğiyle birleştirmiyorsanız oluşur. Oluşturduğunuz her yeni CSR'nin, imzalı isteği birleştirdiğinizde eşleşmesi gereken bir özel anahtarı vardır.
BIR CSR birleştirildiğinde tüm zincir birleştirilir mi?

Evet, kullanıcı birleştirmek için bir .p7b dosyasını geri getirdiği takdirde zincirin tamamını birleştirir.
Verilen sertifika Azure portalında devre dışı durumundaysa ne olur?

Sertifikanın hata iletisini gözden geçirmek için Sertifika İşlemi sekmesini görüntüleyin.
'Sağlanan konu adı geçerli bir X500 adı değil' Hata türü görürsem ne olur?

KonuAdı herhangi bir özel karakter içeriyorsa bu hata oluşabilir. Azure portalındaki notlara ve PowerShell yönergelerine bakın.
Hata türü Sertifikanızı almak için kullanılan CSR zaten kullanılmıştır. Lütfen yeni bir CSR ile yeni bir sertifika oluşturmayı deneyin. Sertifikanın 'Gelişmiş İlke' bölümüne gidin ve 'yenilemede anahtarı yeniden kullan' seçeneğinin kapalı olup olmadığını denetleyin.

Aracılığıyla paylaş

Key Vault'ta sertifika imzalama isteği oluşturma ve birleştirme

İş ortağı CA'lar tarafından verilen Key Vault'a sertifika ekleme

Key Vault'ta iş ortağı olmayan CA'lar tarafından verilen sertifikaları ekleme

CSR'ye daha fazla bilgi ekleme

SSS

Sonraki adımlar

Geri Bildirim

Ek kaynaklar