Compartilhar via


Criar e mesclar uma solicitação de assinatura de certificado no Key Vault

O Azure Key Vault dá suporte ao armazenamento de certificados digitais emitidos por qualquer AC (autoridade de certificação). Ele dá suporte à criação de uma CSR (solicitação de assinatura de certificado) com um par de chaves privada/pública. A CSR pode ser assinada por qualquer AC (uma AC corporativa interna ou uma AC pública externa). A CSR (solicitação de assinatura do certificado) é uma mensagem que você envia a uma AC a fim de solicitar um certificado digital.

Para obter mais informações gerais sobre certificados, confira Certificados do Azure Key Vault.

Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.

Adicionar certificados no Key Vault emitido por ACs parceiras

Parceiros de Key Vault com as seguintes autoridades de certificação para simplificar a criação de certificado.

Provedor Tipo de certificado Configuração
DigiCert O Key Vault oferece certificados SSL OV ou EV com DigiCert Guia de integração
GlobalSign O Key Vault oferece certificados SSL OV ou EV com GlobalSign Guia de integração

Adicionar certificados no Key Vault emitidos por ACs não parceiras

Siga estas etapas para adicionar um certificado de ACs que não são parceiros com Key Vault. (Por exemplo, GoDaddy não é uma AC do Key Vault confiável.)

  1. Vá para o cofre de chaves ao qual você deseja adicionar o certificado.

  2. Na página Propriedades, selecione Certificados.

  3. Selecione a guia Gerar/Importar.

  4. Na tela Criar um certificado, escolha os seguintes valores:

    • Método de Criação de Certificado: Generate.
    • Nome do Certificado: ContosoManualCSRCertificate.
    • Tipo de AC (Autoridade de Certificação) : Certificado emitido por uma AC não integrada.
    • Entidade:"CN=www.contosoHRApp.com".

    Observação

    Se estiver usando um RDN (nome diferenciado relativo) que tenha uma vírgula (,) no valor, encapsule o valor que contém o caractere especial entre aspas duplas.

    Exemplo de entrada para Entidade: DC=Contoso,OU="Docs,Contoso",CN=www.contosoHRApp.com

    Neste exemplo, o RDN OU contém um valor com uma vírgula no nome. A saída resultante de OU é Docs, Contoso.

  5. Selecione os outros valores conforme desejado e escolha Criar para adicionar o certificado à lista Certificados.

    Captura de tela das propriedades do certificado

  6. Na lista Certificados, selecione o novo certificado. O estado atual do certificado é desabilitado porque ele ainda não foi emitido pela AC.

  7. Na guia Operação de Certificado, selecione Baixar a CSR.

    Captura de tela que realça o botão Baixar CSR.

  8. Faça com que a AC assine a CSR (.csr).

  9. Depois que a solicitação for assinada, selecione Mesclar Solicitação Assinada na guia Operação de Certificado para adicionar o certificado assinado ao Key Vault.

A solicitação de certificado foi mesclada com êxito.

Adicionar mais informações à CSR

Se você quiser adicionar mais informações ao criar a CSR, defina-as no SubjectName. Talvez você queira adicionar informações como:

  • País/Região
  • Cidade/localidade
  • Estado/Província
  • Organização
  • Unidade organizacional

Exemplo

SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US"

Observação

Se você estiver solicitando um certificado de DV (validação de domínio) com informações adicionais, a AC poderá rejeitar a solicitação se não for possível validar todas as informações na solicitação. As informações adicionais poderão ser mais apropriadas se você estiver solicitando um certificado de validação de organização (OV).

Perguntas frequentes

  • Como monitorar ou gerenciar minha CSR?

    Confira Monitorar e gerenciar a criação de certificados.

  • E se eu vir Tipo de erro 'A chave pública do certificado de entidade final no conteúdo do certificado X. 509 especificado não corresponde à parte pública da chave privada especificada. Verifique se o certificado é válido' ?

    Esse erro ocorrerá se você não estiver mesclando a CSR assinada à mesma solicitação de CSR iniciada. Cada CSR que você cria tem uma chave privada, que precisa corresponder ao mesclar a solicitação assinada.

  • Quando uma CSR é mesclada, ela mescla toda a cadeia?

    Sim, ele mescla toda a cadeia, desde que o usuário tenha fornecido um arquivo p7b para mesclagem.

  • E se o certificado emitido estiver em status desabilitado no portal do Azure?

    Veja a guia Operação de Certificado para examinar a mensagem de erro para esse certificado.

  • E se eu encontrar o Tipo de erro "O nome da entidade fornecido não é um nome X500 válido" ?

    Esse erro pode ocorrer se SubjectName incluir caracteres especiais. Confira as notas nas instruções portal do Azure e do PowerShell.

  • Tipo de erro A CSR usada para obter seu certificado já foi usada. Tente gerar um novo certificado com uma nova CSR. Vá para a seção 'Política Avançada' do certificado e verifique se a opção "reutilizar chave na renovação" está desligada.


Próximas etapas