Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Ein Key Vault(KV)-Zertifikat kann entweder erstellt oder in einen Schlüsseltresor importiert werden. Wenn ein KV-Zertifikat erstellt wird, wird der private Schlüssel im Schlüsseltresor erstellt und nie dem Zertifikatbesitzer offengelegt. Es folgen Möglichkeiten zum Erstellen eines Zertifikats im Key Vault:
Erstellen eines selbstsignierten Zertifikats: Erstellen Sie ein öffentliches Schlüsselpaar, und ordnen Sie es einem Zertifikat zu. Das Zertifikat wird mit einem eigenen Schlüssel signiert.
Manuelles Erstellen eines neuen Zertifikats: Erstellen Sie ein öffentliches Schlüsselpaar, und generieren Sie eine X.509-Zertifikatsignaturanforderung. Die Signaturanforderung kann von Ihrer Registrierungs- oder Zertifizierungsstelle signiert werden. Das signierte x509-Zertifikat lässt sich dann mit dem ausstehenden Schlüsselpaar zusammenführen, um das KV-Zertifikat in Key Vault zu vervollständigen. Obwohl diese Methode mehr Schritte erfordert, bietet sie Ihnen mehr Sicherheit, da der private Schlüssel in Key Vault erstellt und darauf beschränkt wird.
Die folgenden Beschreibungen entsprechen den mit grünen Buchstaben markierten Schritten im vorherigen Diagramm.
- Im Diagramm erstellt Ihre Anwendung ein Zertifikat, das intern mit dem Erstellen eines Schlüssels im Schlüsseltresor beginnt.
- Key Vault sendet Ihrer Anwendung eine Zertifikatsignieranforderung (Certificate Signing Request, CSR) zurück.
- Ihre Anwendung übergibt die CSR an Ihre gewählte Zertifizierungsstelle.
- Ihre ausgewählte Zertifizierungsstelle antwortet mit einem X509-Zertifikat.
- Ihre Anwendung schließt die Erstellung des neuen Zertifikats durch das Zusammenführen mit dem X509-Zertifikat Ihrer Zertifizierungsstelle ab.
- Erstellen Eines Zertifikats mit einem bekannten Ausstelleranbieter: Diese Methode erfordert, dass Sie eine einmalige Aufgabe zum Erstellen eines Ausstellerobjekts ausführen. Sobald ein Ausstellerobjekt in Ihrem Schlüsselspeicher erstellt wurde, kann in der Richtlinie des KV-Zertifikats auf seinen Namen verwiesen werden. Eine Anforderung zum Erstellen eines solchen KV-Zertifikats erstellt ein Schlüsselpaar im Tresor und kommuniziert mit dem Ausstelleranbieterdienst mithilfe der Informationen im referenzierten Ausstellerobjekt, um ein x509-Zertifikat abzurufen. Das x509-Zertifikat wird vom Ausstellerdienst abgerufen und mit dem Schlüsselpaar zusammengeführt, um die KV-Zertifikaterstellung abzuschließen.
Die folgenden Beschreibungen entsprechen den grün beschrifteten Schritten im vorangegangenen Diagramm.
- Im Diagramm erstellt Ihre Anwendung ein Zertifikat, das intern mit dem Erstellen eines Schlüssels im Schlüsseltresor beginnt.
- Key Vault sendet eine TLS/SSL-Zertifikatanforderung an die Zertifizierungsstelle.
- Ihre Anwendung fragt zum Abschluss der Zertifikaterstellung Ihre Key Vault-Instanz in einem Schleifen- und Wartevorgang ab. Die Zertifikaterstellung ist abgeschlossen, wenn Key Vault die Antwort der Zertifizierungsstelle mit x509-Zertifikat empfängt.
- Die Zertifizierungsstelle antwortet auf die TLS/SSL-Zertifikatanforderung von Key Vault mit einem TLS/SSL X.509-Zertifikat.
- Die Erstellung Ihres neuen Zertifikats wird mit der Zusammenführung des TLS/SSL-X.509-Zertifikats für die Zertifizierungsstelle abgeschlossen.
Asynchroner Prozess
Die Erstellung von KV-Zertifikaten ist ein asynchroner Prozess. Dieser Vorgang erstellt eine KV-Zertifikatanforderung und gibt einen HTTP-Statuscode von 202 (Akzeptiert) zurück. Der Status der Anforderung kann durch Abfragen des ausstehenden Objekts verfolgt werden, das durch diesen Vorgang erstellt wurde. Der vollständige URI des ausstehenden Objekts wird im LOCATION-Header zurückgegeben.
Wenn eine Anforderung zum Erstellen eines KV-Zertifikats abgeschlossen ist, ändert sich der Status des ausstehenden Objekts in "abgeschlossen" von "in Bearbeitung", und eine neue Version des KV-Zertifikats wird erstellt. Dies wird zur aktuellen Version.
Erste Erstellung
Wenn zum ersten Mal ein KV-Zertifikat erstellt wird, wird auch ein adressierbarer Schlüssel und geheimer Schlüssel mit demselben Namen wie das Zertifikat erstellt. Wenn der Name bereits verwendet wird, schlägt der Vorgang mit einem HTTP-Statuscode von 409 (Konflikt) fehl. Der adressierbare Schlüssel und geheime Schlüssel erhalten ihre Attribute aus den KV-Zertifikatattributen. Der adressierbare Schlüssel und geheime Schlüssel, der auf diese Weise erstellt wurde, werden als verwaltete Schlüssel und geheime Schlüssel markiert, deren Lebensdauer von Key Vault verwaltet wird. Verwaltete Schlüssel und Geheimnisse sind schreibgeschützt. Hinweis: Wenn ein KV-Zertifikat abläuft oder deaktiviert ist, wird der entsprechende Schlüssel und geheime Schlüssel inoperierbar.
Wenn dies der erste Vorgang zum Erstellen eines KV-Zertifikats ist, ist eine Richtlinie erforderlich. Eine Richtlinie kann auch mit aufeinander folgenden Erstellungsvorgängen bereitgestellt werden, um die Richtlinienressource zu ersetzen. Wenn keine Richtlinie angegeben wird, wird die Richtlinienressource für den Dienst verwendet, um eine nächste Version des KV-Zertifikats zu erstellen. Während eine Anforderung zum Erstellen einer nächsten Version in Bearbeitung ist, bleiben das aktuelle KV-Zertifikat und der entsprechende adressierbare Schlüssel und geheime Schlüssel unverändert.
Selbst ausgestelltes Zertifikat
Um ein selbstausgestelltes Zertifikat zu erstellen, setzen Sie den Ausstellernamen in der Zertifikatsrichtlinie auf „Self“, wie in folgendem Codeausschnitt der Zertifikatsrichtlinie gezeigt.
"issuer": {
"name": "Self"
}
Wenn der Ausstellername nicht angegeben ist, wird der Ausstellername auf "Unbekannt" festgelegt. Wenn der Aussteller „Unbekannt“ lautet, muss der Zertifikatinhaber manuell ein x509-Zertifikat vom Zertifikataussteller seiner Wahl abrufen und dann das öffentliche x509-Zertifikat mit dem ausstehenden KV-Zertifikatobjekt zusammenführen, um die Zertifikaterstellung abzuschließen.
"issuer": {
"name": "Unknown"
}
Partnerschaftliche Zertifizierungsstellenanbieter
Die Zertifikaterstellung kann manuell oder mithilfe eines "Self"-Ausstellers abgeschlossen werden. Key Vault arbeitet auch mit bestimmten Ausstelleranbietern zusammen, um die Erstellung von Zertifikaten zu vereinfachen. Die folgenden Arten von Zertifikaten können für den Key Vault mit diesen Partnerherausgeberanbietern bestellt werden.
| Provider | Art der Bescheinigung | Konfiguration |
|---|---|---|
| DigiCert | Key Vault bietet OV- oder EV SSL-Zertifikate mit DigiCert | Integrationshandbuch |
| GlobalSign (Englisch) | Key Vault bietet OV- oder EV-SSL-Zertifikate mit GlobalSign | Integrationshandbuch |
Ein Zertifikataussteller ist eine Entität, die in Azure Key Vault (KV) als CertificateIssuer-Ressource dargestellt wird. Es wird verwendet, um Informationen über die Quelle eines KV-Zertifikats bereitzustellen; Ausstellername, Anbieter, Anmeldeinformationen und andere administrative Details.
Wenn eine Bestellung beim Ausstelleranbieter aufgegeben wird, kann sie die X.509-Zertifikaterweiterungen und die Gültigkeitsdauer des Zertifikats basierend auf dem Typ des Zertifikats anerkennen oder außer Kraft setzen.
Autorisierung: Benötigt die Berechtigung für Zertifikate bzw. die Erstellung.
Siehe auch
- Anleitung zum Erstellen von Zertifikaten im Key Vault mithilfe von Portal, Azure CLI, Azure PowerShell
- Überwachen und Verwalten der Zertifikaterstellung