Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se puede crear o importar un certificado del Key Vault en una bóveda de claves. Cuando se crea un certificado Key Vault, la clave privada se crea dentro del key vault y nunca se expone al propietario del certificado. A continuación se muestran formas de crear un certificado en Key Vault:
Cree un certificado autofirmado: Cree un par de claves pública-privada y asócielo a un certificado. El certificado se firmará con su propia clave.
Cree un certificado manualmente: Cree un par de claves pública-privada y genere una solicitud de firma de certificado X.509. La solicitud de firma puede estar firmada por la autoridad de registro o la entidad de certificación. El certificado X.509 firmado se puede combinar con el par de claves pendiente para completar el certificado de Key Vault en Key Vault. Aunque este método requiere más pasos, proporciona mayor seguridad porque la clave privada se crea en y está restringida a Key Vault.
Las descripciones siguientes corresponden a los pasos con letra verde del diagrama anterior.
- En el diagrama, la aplicación está creando un certificado, que comienza internamente mediante la creación de una clave en el almacén de claves.
- Key Vault devuelve a su aplicación una solicitud de firma de certificado (CSR)
- La aplicación pasa el CSR a la entidad de certificación elegida.
- La entidad de certificación elegida responde con un certificado X509.
- La aplicación completa la creación de un nuevo certificado con una integración del Certificado X509 de tu entidad de certificación.
- Cree un certificado con un proveedor de emisor conocido: Este método requiere que realice una tarea única para crear un objeto emisor. Una vez creado un objeto emisor en el key vault, se puede hacer referencia a su nombre en la directiva del certificado de Key Vault. Una solicitud para crear un certificado de Key Vault generará un par de claves en la bóveda y se comunicará con el servicio del proveedor emisor utilizando la información del objeto de emisor referenciado para obtener un certificado X.509. El certificado X.509 se recupera del servicio emisor y se combina con el par de claves para completar la creación del certificado Key Vault.
Las descripciones siguientes corresponden a los pasos con letra verde del diagrama anterior.
- En el diagrama, la aplicación está creando un certificado, que comienza internamente mediante la creación de una clave en el almacén de claves.
- Key Vault envía una solicitud de certificado TLS/SSL a la entidad de certificación.
- La aplicación realiza un sondeo, en un proceso de bucle y espera, y aguarda a que se complete el certificado de Key Vault. La creación del certificado se completa cuando Key Vault recibe la respuesta de la entidad de certificación con un certificado X.509.
- La autoridad de certificación responde a la solicitud de certificado TLS/SSL de Key Vault con un certificado TLS/SSL X.509.
- La creación del certificado se completa con la combinación del certificado TLS/SSL X.509 de la entidad de certificación.
Proceso asincrónico
La creación de certificados de Key Vault es un proceso asincrónico. Esta operación crea una solicitud de certificado Key Vault y devuelve un código de estado HTTP de 202 (aceptado). Para realizar el seguimiento del estado de la solicitud, sondee el objeto pendiente creado por esta operación. El URI completo del objeto pendiente se devuelve en el encabezado LOCATION.
Cuando se completa una solicitud para crear un certificado de Key Vault, el estado del objeto pendiente cambia a "completado" a partir de "en curso" y se crea una nueva versión del certificado de Key Vault. Esto se convierte en la versión actual.
Primera creación
Cuando se crea un certificado Key Vault por primera vez, también se crea una clave direccionable y un secreto con el mismo nombre que el certificado. Si el nombre ya está en uso, se produce un error en la operación con un código de estado HTTP de 409 (conflicto). La clave direccionable y el secreto obtienen sus atributos de los atributos de certificado Key Vault. La clave direccionable y el secreto creados de esta manera se marcan como claves administradas y secretos, cuya duración se administra mediante Key Vault. Las claves administradas y los secretos son de solo lectura. Nota: Si un certificado de Key Vault expira o está deshabilitado, la clave y el secreto correspondientes se vuelven inoperables.
Si se trata de la primera operación para crear un certificado Key Vault, se requiere una directiva. También se puede suministrar una directiva con operaciones de creación sucesivas que reemplacen el recurso de la directiva. Si no se proporciona una directiva, el recurso de directiva en el servicio se usa para crear una versión siguiente del certificado de Key Vault. Mientras una solicitud para crear una versión siguiente está en curso, el certificado de Key Vault actual y la clave direccionable y el secreto correspondientes permanecen sin cambios.
Certificado auto emitido
Para crear un certificado auto emitido, establezca el nombre del emisor como "Self" en la directiva de certificado, como se muestra en el siguiente fragmento de código de la directiva de certificado.
"issuer": {
"name": "Self"
}
Si no se especifica el nombre del emisor, el nombre del emisor se establece en "Unknown". Cuando el emisor es "Desconocido", el propietario del certificado tendrá que obtener manualmente un certificado X.509 del emisor de su elección, y luego fusionar el certificado público X.509 con el objeto pendiente del certificado de la bóveda clave para completar la creación del certificado.
"issuer": {
"name": "Unknown"
}
Proveedores asociados de CA
La creación de certificados puede completarse manualmente o con un emisor "Self". Key Vault también se asocia con determinados proveedores emisores para simplificar la creación de certificados. De estos emisores asociados se pueden solicitar para Key Vault los siguientes tipos de certificados.
| Provider | Tipo de certificado | Configuración de la instalación |
|---|---|---|
| DigiCert | Key Vault ofrece certificados SSL de OV o EV con DigiCert | Guía de integración |
| GlobalSign | Key Vault ofrece certificados SSL de OV o EV con GlobalSign | Guía de integración |
Un emisor de certificados es una entidad representada en Azure Key Vault como un recurso CertificateIssuer. Proporciona información sobre el origen de un certificado de Key Vault: nombre del emisor, proveedor, credenciales y otros detalles administrativos.
Cuando se realiza un pedido con el proveedor del emisor, puede respetar o invalidar las extensiones de certificado X.509 y el período de validez del certificado en función del tipo de certificado.
Autorización: requiere del permiso de creación de certificados.
Pasos siguientes
- Guía paso a paso para crear certificados en Key Vault mediante Portal, CLI de Azure, Azure PowerShell
- Supervisión y administración de la creación de certificados