Skapa och sammanfoga en begäran om certifikatsignering i Key Vault

Artikel
08/07/2024

Azure Key Vault stöder lagring av digitala certifikat som utfärdats av en certifikatutfärdare (CA). Den har stöd för att skapa en certifikatsigneringsbegäran (CSR) med ett privat/offentligt nyckelpar. CSR kan signeras av vilken certifikatleverantör som helst (en intern företags-CA eller en extern offentlig CA). En begäran om certifikatsignering (CSR) är ett meddelande som du skickar till en certifikatutfärdare för att begära ett digitalt certifikat.

Mer allmän information om certifikat finns i Azure Key Vault-certifikat.

Om du inte har någon Azure-prenumeration skapar du ett kostnadsfritt konto innan du börjar.

Lägga till certifikat i Key Vault som utfärdats av partnerkopplade certifikatutfärdare

Key Vault samarbetar med följande certifikatutfärdare för att förenkla skapandet av certifikat.

Provider	Certifikattyp	Konfigurationskonfiguration
DigiCert	Key Vault erbjuder OV- eller EV SSL-certifikat med DigiCert	Integrationsguide
GlobalSign	Key Vault erbjuder OV- eller EV SSL-certifikat med GlobalSign	Integrationsguide

Lägga till certifikat i Key Vault som utfärdats av icke-partnerbaserade certifikatutfärdare

Följ de här stegen för att lägga till ett certifikat från certifikatutfärdare som inte samarbetar med Key Vault. (GoDaddy är till exempel inte en betrodd Key Vault CA.)

Portal
PowerShell

Gå till det nyckelvalv som du vill lägga till certifikatet i.
På egenskapssidan väljer du Certifikat.
Välj fliken Generera/importera .
På skärmen Skapa ett certifikat väljer du följande värden:
- Skapandemetod för certifikat: Generera.
- Certifikatnamn: ContosoManualCSRCertificate.
- Typ av certifikatutfärdare (CA): Certifikat utfärdat av en icke-integrerad certifikatutfärdare.
- Ämne: "CN=www.contosoHRApp.com".
Kommentar

Om du använder ett relativt unikt namn (RDN) som har ett kommatecken (,) i värdet, omsluter du det värde som innehåller specialtecknet med dubbla citattecken.

Exempelpost till Ämne: DC=Contoso,OU="Docs,Contoso",CN=www.contosoHRApp.com

I det här exemplet innehåller RDN OU ett värde med ett kommatecken i namnet. Resultatet för OU är Docs, Contoso.
Välj de andra värdena efter behov och välj sedan Skapa för att lägga till certifikatet i listan Certifikat.
I listan Certifikat väljer du det nya certifikatet. Certifikatets aktuella tillstånd är inaktiverat eftersom det inte har utfärdats av certifikatutfärdare ännu.
På fliken Certifikatåtgärd väljer du Ladda ned CSR.
Låt certifikatleverantören signera CSR (.csr).
När begäran har signerats väljer du Sammanfoga signerad begäran på fliken Certifikatåtgärd för att lägga till det signerade certifikatet i Key Vault.

Certifikatbegäran har nu sammanfogats.

Skapa en certifikatprincip. Eftersom certifikatutfärdaren som valts i det här scenariot inte är partner är IssuerName inställt på Okänt och Key Vault registrerar eller förnyar inte certifikatet.
```
$policy = New-AzKeyVaultCertificatePolicy -SubjectName "CN=www.contosoHRApp.com" -ValidityInMonths 1  -IssuerName Unknown
```
Kommentar

Om du använder ett relativt unikt namn (RDN) som har ett kommatecken (,) i värdet använder du enkla citattecken för det fullständiga värdet eller värdeuppsättningen och omsluter värdet som innehåller specialtecknet inom dubbla citattecken.

Exempelpost till SubjectName: $policy = New-AzKeyVaultCertificatePolicy -SubjectName 'OU="Docs,Contoso",DC=Contoso,CN=www.contosoHRApp.com' -ValidityInMonths 1 -IssuerName Unknown. I det här exemplet OU skrivs värdet som Docs, Contoso. Det här formatet fungerar för alla värden som innehåller ett kommatecken.

I det här exemplet innehåller RDN OU ett värde med ett kommatecken i namnet. Resultatet för OU är Docs, Contoso.

Skapa CSR.

$csr = Add-AzKeyVaultCertificate -VaultName ContosoKV -Name ContosoManualCSRCertificate -CertificatePolicy $policy
$csr.CertificateSigningRequest

Låt certifikatleverantören signera CSR. $csr.CertificateSigningRequest är den baskodade CSR:en för certifikatet. Du kan dumpa den här bloben på utfärdarens webbplats för certifikatbegäran. Det här steget varierar från CA till CA. Leta upp ca:ens riktlinjer för hur du utför det här steget. Du kan också använda verktyg som certreq eller openssl för att få CSR signerad och slutföra processen med att generera ett certifikat.
Sammanfoga den signerade begäran i Key Vault. När certifikatbegäran har signerats kan du sammanfoga den med det första privata/offentliga nyckelparet som skapades i Azure Key Vault.
```
Import-AzKeyVaultCertificate -VaultName ContosoKV -Name ContosoManualCSRCertificate -FilePath C:\test\OutputCertificateFile.cer
```

Certifikatbegäran har nu sammanfogats.

Lägg till mer information i CSR

Om du vill lägga till mer information när du skapar CSR definierar du den i SubjectName. Du kanske vill lägga till information som:

Land/region
Stad/plats
Region
Organisation
Organisationsenhet

Exempel

SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US"

Kommentar

Om du begär ett CERTIFIKAT för domänverifiering (DV) med ytterligare information kan certifikatutfärdare avvisa begäran om den inte kan verifiera all information i begäran. Den ytterligare informationen kan vara lämpligare om du begär ett OV-certifikat (Organisationsverifiering).

Vanliga frågor och svar

Hur övervakar eller hanterar jag min CSR?

Se Övervaka och hantera skapande av certifikat.
Vad händer om jag ser feltypen "Den offentliga nyckeln för slutentitetscertifikatet i det angivna X.509-certifikatinnehållet matchar inte den offentliga delen av den angivna privata nyckeln. Kontrollera om certifikatet är giltigt?

Det här felet uppstår om du inte sammanfogar den signerade CSR med samma CSR-begäran som du initierade. Varje ny CSR som du skapar har en privat nyckel som måste matcha när du sammanfogar den signerade begäran.
Kommer den att sammanfoga hela kedjan när en CSR slås samman?

Ja, den sammanfogar hela kedjan, förutsatt att användaren har fört tillbaka en .p7b-fil för sammanslagning.
Vad händer om certifikatet som utfärdas har inaktiverats i Azure-portalen?

Visa fliken Certifikatåtgärd för att granska felmeddelandet för certifikatet.
Vad händer om jag ser feltypen "Det angivna ämnesnamnet är inte ett giltigt X500-namn"?

Det här felet kan inträffa om SubjectName innehåller specialtecken. Se anteckningar i Azure-portalen och PowerShell-instruktioner.
Feltyp Den CSR som används för att hämta certifikatet har redan använts. Försök att generera ett nytt certifikat med en ny CSR. Gå till avsnittet Avancerad princip i certifikatet och kontrollera om alternativet "återanvändningsnyckel vid förnyelse" är inaktiverat.

Dela via

Skapa och sammanfoga en begäran om certifikatsignering i Key Vault

Lägga till certifikat i Key Vault som utfärdats av partnerkopplade certifikatutfärdare

Lägga till certifikat i Key Vault som utfärdats av icke-partnerbaserade certifikatutfärdare

Lägg till mer information i CSR

Vanliga frågor och svar

Nästa steg

Feedback

Ytterligare resurser