Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Ein Key Vault Zertifikat kann entweder erstellt oder in eine key vault importiert werden. Wenn ein Key Vault Zertifikat erstellt wird, wird der private Schlüssel innerhalb der key vault erstellt und niemals dem Zertifikatbesitzer offengelegt. Im Folgenden finden Sie Möglichkeiten zum Erstellen eines Zertifikats in Key Vault:
Erstellen eines selbstsignierten Zertifikats: Erstellen Sie ein öffentliches Schlüsselpaar, und ordnen Sie es einem Zertifikat zu. Das Zertifikat wird mit einem eigenen Schlüssel signiert.
Manuelles Erstellen eines neuen Zertifikats: Erstellen Sie ein öffentliches Schlüsselpaar, und generieren Sie eine X.509-Zertifikatsignaturanforderung. Die Signaturanforderung kann von Ihrer Registrierungs- oder Zertifizierungsstelle signiert werden. Das signierte X.509-Zertifikat kann mit dem ausstehenden Schlüsselpaar zusammengeführt werden, um das Key Vault Zertifikat in Key Vault abzuschließen. Obwohl diese Methode mehr Schritte erfordert, bietet sie mehr Sicherheit, da der private Schlüssel erstellt und auf Key Vault beschränkt wird.
Die folgenden Beschreibungen entsprechen den mit grünen Buchstaben markierten Schritten im vorherigen Diagramm.
- Im Diagramm erstellt Ihre Anwendung ein Zertifikat, das intern mit dem Erstellen eines Schlüssels im Schlüsseltresor beginnt.
- Key Vault sendet Ihrer Anwendung eine Zertifikatsignieranforderung (Certificate Signing Request, CSR) zurück.
- Ihre Anwendung übergibt die CSR an Ihre gewählte Zertifizierungsstelle.
- Ihre ausgewählte Zertifizierungsstelle antwortet mit einem X509-Zertifikat.
- Ihre Anwendung schließt die Erstellung des neuen Zertifikats durch das Zusammenführen mit dem X509-Zertifikat Ihrer Zertifizierungsstelle ab.
- Erstellen Eines Zertifikats mit einem bekannten Ausstelleranbieter: Diese Methode erfordert, dass Sie eine einmalige Aufgabe zum Erstellen eines Ausstellerobjekts ausführen. Sobald ein Ausstellerobjekt in Ihrem key vault erstellt wurde, kann auf seinen Namen in der Richtlinie des Key Vault Zertifikats verwiesen werden. Eine Anforderung zum Erstellen eines solchen Key Vault Zertifikats erstellt ein Schlüsselpaar im Tresor und kommuniziert mit dem Ausstelleranbieterdienst mithilfe der Informationen im referenzierten Ausstellerobjekt, um ein X.509-Zertifikat abzurufen. Das X.509-Zertifikat wird vom Ausstellerdienst abgerufen und mit dem Schlüsselpaar zusammengeführt, um die Key Vault Zertifikaterstellung abzuschließen.
Die folgenden Beschreibungen entsprechen den mit grünen Buchstaben markierten Schritten im vorherigen Diagramm.
- Im Diagramm erstellt Ihre Anwendung ein Zertifikat, das intern mit dem Erstellen eines Schlüssels im Schlüsseltresor beginnt.
- Key Vault sendet eine TLS/SSL-Zertifikatanforderung an die Zertifizierungsstelle.
- Ihre Anwendung fragt zum Abschluss der Zertifikaterstellung Ihre Key Vault-Instanz in einem Schleifen- und Wartevorgang ab. Die Zertifikaterstellung ist abgeschlossen, wenn Key Vault die Antwort der Zertifizierungsstelle mit einem X.509-Zertifikat empfängt.
- Die Zertifizierungsstelle antwortet auf die TLS/SSL-Zertifikatanforderung von Key Vault mit einem TLS/SSL X.509-Zertifikat.
- Die Erstellung Ihres neuen Zertifikats wird mit der Zusammenführung des TLS/SSL-X.509-Zertifikats für die Zertifizierungsstelle abgeschlossen.
Asynchroner Prozess
Key Vault Zertifikaterstellung ist ein asynchroner Prozess. Dieser Vorgang erstellt eine Key Vault Zertifikatanforderung und gibt einen HTTP-Statuscode von 202 (Akzeptiert) zurück. Der Status der Anforderung kann durch Abfragen des ausstehenden Objekts verfolgt werden, das durch diesen Vorgang erstellt wurde. Der vollständige URI des ausstehenden Objekts wird im LOCATION-Header zurückgegeben.
Wenn eine Anforderung zum Erstellen eines Key Vault Zertifikats abgeschlossen ist, wird der Status des ausstehenden Objekts von "in Bearbeitung" in "abgeschlossen" geändert, und eine neue Version des Key Vault Zertifikats wird erstellt. Dies wird zur aktuellen Version.
Erste Erstellung
Wenn zum ersten Mal ein Key Vault Zertifikat erstellt wird, werden auch ein adressierbarer Schlüssel und geheimer Schlüssel mit demselben Namen wie das Zertifikat erstellt. Wenn der Name bereits verwendet wird, schlägt der Vorgang mit einem HTTP-Statuscode von 409 (Konflikt) fehl. Der adressierbare Schlüssel und geheime Schlüssel erhalten ihre Attribute aus den Key Vault Zertifikatattributen. Der auf diese Weise erstellte adressierbare Schlüssel und geheime Schlüssel werden als verwaltete Schlüssel und Geheimnisse markiert, dessen Lebensdauer von Key Vault verwaltet wird. Verwaltete Schlüssel und Geheimnisse sind schreibgeschützt. Hinweis: Wenn ein Key Vault Zertifikat abläuft oder deaktiviert ist, wird der entsprechende Schlüssel und geheime Schlüssel inoperierbar.
Wenn dies der erste Vorgang zum Erstellen eines Key Vault Zertifikats ist, ist eine Richtlinie erforderlich. Eine Richtlinie kann auch mit aufeinander folgenden Erstellungsvorgängen bereitgestellt werden, um die Richtlinienressource zu ersetzen. Wenn keine Richtlinie angegeben wird, wird die Richtlinienressource für den Dienst verwendet, um eine nächste Version des Key Vault Zertifikats zu erstellen. Während eine Anforderung zum Erstellen einer nächsten Version ausgeführt wird, bleiben das aktuelle Key Vault Zertifikat und der entsprechende adressierbare Schlüssel und geheime Schlüssel unverändert.
Selbst ausgestelltes Zertifikat
Um ein selbstausgestelltes Zertifikat zu erstellen, setzen Sie den Ausstellernamen in der Zertifikatsrichtlinie auf „Self“, wie in folgendem Codeausschnitt der Zertifikatsrichtlinie gezeigt.
"issuer": {
"name": "Self"
}
Wenn der Ausstellername nicht angegeben ist, wird der Ausstellername auf "Unbekannt" festgelegt. Wenn der Aussteller „Unknown“ ist, muss der Zertifikatinhaber manuell ein X.509-Zertifikat vom Zertifikataussteller seiner Wahl abrufen und dann das öffentliche X.509-Zertifikat mit dem ausstehenden KV-Zertifikat zusammenführen, um die Zertifikatserstellung abzuschließen.
"issuer": {
"name": "Unknown"
}
Partnerzertifikataussteller
Die Zertifikaterstellung kann manuell oder mithilfe eines "Self"-Ausstellers abgeschlossen werden. Key Vault arbeitet auch mit bestimmten Zertifikatanbietern zusammen, um die Erstellung von Zertifikaten zu vereinfachen. Die folgenden Arten von Zertifikaten können für den Key Vault mit diesen Partnerherausgeberanbietern bestellt werden.
| Provider | Art der Bescheinigung | Konfiguration |
|---|---|---|
| DigiCert | Key Vault bietet OV- oder EV SSL-Zertifikate mit DigiCert | Integrationshandbuch |
| GlobalSign (Englisch) | Key Vault bietet OV- oder EV SSL-Zertifikate mit GlobalSign | Integrationshandbuch |
Ein Zertifikataussteller ist eine Entität, die in Azure Key Vault als CertificateIssuer-Ressource dargestellt wird. Es enthält Informationen zur Quelle eines Key Vault Zertifikats: Ausstellername, Anbieter, Anmeldeinformationen und andere administrative Details.
Wenn eine Bestellung beim Ausstelleranbieter aufgegeben wird, kann sie die X.509-Zertifikaterweiterungen und die Gültigkeitsdauer des Zertifikats basierend auf dem Zertifikattyp berücksichtigen oder außer Kraft setzen.
Autorisierung: Benötigt die Berechtigung für Zertifikate bzw. die Erstellung.
Nächste Schritte
- Anleitung zum Erstellen von Zertifikaten in Key Vault mithilfe von Portal, Azure CLI, Azure PowerShell
- Überwachen und Verwalten der Zertifikaterstellung