Integrando o Key Vault com autoridades de certificação integradas

O Azure Key Vault permite que você provisione, gerencie e implante facilmente certificados digitais para sua rede e habilite comunicações seguras para aplicativos. Um certificado digital é uma credencial eletrônica que estabelece prova de identidade em uma transação eletrônica.

O Azure Key Vault tem uma parceria confiável com as seguintes Autoridades de Certificação:

• DigiCert
• GlobalSign

Os usuários do Azure Key Vault podem gerar certificados DigiCert/GlobalSign diretamente de seus cofres de chaves. A parceria da Key Vault garante o gerenciamento completo do ciclo de vida dos certificados emitidos pela DigiCert.

Para obter mais informações gerais sobre certificados, consulte Certificados do Cofre da Chave do Azure.

Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.

Pré-requisitos

Para concluir os procedimentos neste artigo, você precisa ter:

• Um cofre de chaves. Você pode usar um cofre de chaves existente ou criar um concluindo as etapas em um destes inícios rápidos:
  • Criar um cofre de chaves usando a CLI do Azure
  • Criar um cofre de chaves usando o Azure PowerShell
  • Criar um cofre de chaves usando o portal do Azure
• Uma conta DigiCert CertCentral ativada. Inscreva-se na sua conta CertCentral.
• Permissões de nível de administrador em suas contas.

Antes de começar

DigiCert

Certifique-se de que tem as seguintes informações da sua conta DigiCert CertCentral:

• ID da conta CertCentral
• ID da Organização
• Chave de API
• ID de conta
• Palavra-passe da conta

GlobalSign

Certifique-se de que tem as seguintes informações da sua conta Global Sign:

• ID de conta
• Palavra-passe da conta
• Nome próprio do administrador
• Apelido do Administrador
• E-mail do Administrador
• Número de telefone do administrador

Adicionar a autoridade de certificação no Cofre da Chave

Depois de reunir as informações anteriores da sua conta DigiCert CertCentral, você pode adicionar o DigiCert à lista de autoridades de certificação no cofre de chaves.

Portal do Azure (DigiCert)

1. Para adicionar a autoridade de certificação DigiCert, vá para o cofre de chaves ao qual você deseja adicioná-la.

2. Na página de propriedades Cofre da Chave, selecione Certificados.

3. Selecione a guia Autoridades de certificação :

4. Selecione Adicionar:

5. Em Criar uma autoridade de certificação, insira estes valores:

   • Nome: Um nome de emissor identificável. Por exemplo, DigiCertCA.
   • Fornecedor: DigiCert.
   • ID da conta: O ID da sua conta DigiCert CertCentral.
   • Senha da conta: A chave API que você gerou em sua conta DigiCert CertCentral.
   • ID da organização: O ID da organização da sua conta DigiCert CertCentral.

6. Selecione Criar.

DigicertCA está agora na lista de autoridades de certificação.

Portal do Azure (GlobalSign)

1. Para adicionar a autoridade de certificação GlobalSign, vá para o cofre de chaves ao qual deseja adicioná-la.

2. Na página de propriedades Cofre da Chave, selecione Certificados.

3. Selecione a guia Autoridades de certificação :

4. Selecione Adicionar:

5. Em Criar uma autoridade de certificação, insira estes valores:

   • Nome: Um nome de emissor identificável. Por exemplo, GlobalSignCA.
   • Fornecedor: GlobalSign.
   • ID da conta: o ID da sua conta GlobalSign.
   • Palavra-passe da conta: A palavra-passe da sua conta GlobalSign.
   • Nome do administrador: o primeiro nome do administrador da conta do Sinal Global.
   • Sobrenome do administrador: o sobrenome do administrador da conta do Sinal Global.
   • E-mail do administrador: O e-mail do administrador da conta do Sinal Global.
   • Número de telefone do administrador: o número de telefone do administrador da conta do Sinal Global.

6. Selecione Criar.

GlobalSignCA está agora na lista de autoridades de certificação.

Azure PowerShell

Você pode usar o Azure PowerShell para criar e gerenciar recursos do Azure usando comandos ou scripts. O Azure hospeda o Azure Cloud Shell, um ambiente de shell interativo que você pode usar por meio do portal do Azure em um navegador.

• Se você optar por usar o Azure PowerShell localmente:
  • Instale a versão mais recente do módulo Az PowerShell.
  • Conecte-se à sua conta do Azure usando o cmdlet Connect-AzAccount .
• Se você optar por usar o Azure Cloud Shell:
  • Consulte Visão geral do Azure Cloud Shell para obter mais informações.

1. Crie um grupo de recursos do Azure usando New-AzResourceGroup. Um grupo de recursos é um contentor lógico no qual os recursos do Azure são implementados e geridos.

   New-AzResourceGroup -Name ContosoResourceGroup -Location EastUS
   

2. Crie um cofre de chaves que tenha um nome exclusivo. Aqui, Contoso-Vaultname é o nome do cofre de chaves.

   • Nome do cofre: Contoso-Vaultname
   • Nome do grupo de recursos: ContosoResourceGroup
   • Localização: EastUS

   New-AzKeyVault -Name 'Contoso-Vaultname' -ResourceGroupName 'ContosoResourceGroup' -Location 'EastUS'
   

3. Defina variáveis para os seguintes valores da sua conta DigiCert CertCentral:

   • ID da conta
   • ID da organização
   • Chave API

   $accountId = "myDigiCertCertCentralAccountID"
   $org = New-AzKeyVaultCertificateOrganizationDetail -Id OrganizationIDfromDigiCertAccount
   $secureApiKey = ConvertTo-SecureString DigiCertCertCentralAPIKey -AsPlainText –Force
   

4. Defina o emissor. Isso adicionará a Digicert como uma autoridade de certificação no cofre de chaves. Saiba mais sobre os parâmetros.

   Set-AzKeyVaultCertificateIssuer -VaultName "Contoso-Vaultname" -Name "TestIssuer01" -IssuerProvider DigiCert -AccountId $accountId -ApiKey $secureApiKey -OrganizationDetails $org -PassThru
   

5. Defina a política para o certificado e emissão de certificado da DigiCert diretamente no Cofre da Chave:

   $Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "TestIssuer01" -ValidityInMonths 12 -RenewAtNumberOfDaysBeforeExpiry 60
   Add-AzKeyVaultCertificate -VaultName "Contoso-Vaultname" -Name "ExampleCertificate" -CertificatePolicy $Policy
   

O certificado agora é emitido pela autoridade de certificação DigiCert no cofre de chaves especificado.

Resolver problemas

Se o certificado emitido estiver no status desabilitado no portal do Azure, exiba a operação de certificado para revisar a mensagem de erro DigiCert para o certificado:

Mensagem de erro: "Execute uma mesclagem para concluir esta solicitação de certificado."

Mescle o CSR assinado pela autoridade de certificação para concluir a solicitação. Para obter informações sobre como mesclar uma CSR, consulte Criar e mesclar uma CSR.

Para obter mais informações, consulte Operações de certificado na referência da API REST do Cofre de Chaves. Para obter informações sobre como estabelecer permissões, consulte Vaults - Criar ou atualizar e Vaults - Atualizar política de acesso.

Próximos passos

• Perguntas frequentes: Integrar o Key Vault com Autoridades de Certificação Integradas
• Autenticação, solicitações e respostas
• Guia do Programador do Key Vault