Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Un certificato Key Vault (KV) può essere creato o importato in un archivio di chiavi. Quando viene creato un certificato KV, la chiave privata viene generata all'interno del key vault e non viene mai rivelata al proprietario del certificato. Di seguito sono riportati i modi per creare un certificato in Key Vault:
Creare un certificato autofirmato: Creare una coppia di chiavi pubblica-privata e associarla a un certificato. Il certificato viene firmato dalla propria chiave.
Creare manualmente un nuovo certificato: Creare una coppia di chiavi pubblica-privata e generare una richiesta di firma del certificato X.509. La richiesta di firma può essere firmata dall'autorità di registrazione o di certificazione. Per completare il certificato KV in Key Vault, il certificato X.509 firmato può essere unito con la coppia di chiavi in sospeso. Anche se questo metodo richiede più passaggi, offre maggiore sicurezza perché la chiave privata viene creata e limitata a Key Vault.
Le descrizioni seguenti corrispondono ai passaggi con lettere verdi nel diagramma precedente.
- Nel diagramma, la tua applicazione sta creando un certificato, che inizia internamente creando una chiave nel tuo deposito di chiavi.
- Key Vault invia all'applicazione una richiesta di firma del certificato (CSR)
- L'applicazione passa il CSR alla CA scelta.
- La CA scelta risponde con un certificato X509.
- L'applicazione completa la creazione di un nuovo certificato con un'integrazione del certificato X509 dalla CA.
- Creare un certificato con un emittente noto: Questo metodo richiede di eseguire un'attività una tantum per la creazione di un oggetto emittente. Dopo che è stato creato un oggetto autorità di certificazione nell'insieme di credenziali delle chiavi, è possibile fare riferimento al nome di tale oggetto nei criteri del certificato di Key Vault. La richiesta di creazione di tale certificato KV creerà una coppia di chiavi nell'insieme di credenziali e comunicherà con il servizio di provider di autorità di certificazione utilizzando le informazioni nell'oggetto autorità di certificazione a cui si fa riferimento per ottenere un certificato X.509. Il certificato x509 viene recuperato dal servizio dell'emittente e viene unito alla coppia di chiavi per completare la creazione del certificato KV.
Le descrizioni seguenti corrispondono ai passaggi con lettere verdi nel diagramma precedente.
- Nel diagramma, l'applicazione crea un certificato, e internamente inizia creando una chiave nel tuo key vault.
- Key Vault invia una richiesta di certificato TLS/SSL alla CA.
- L'applicazione esegue il polling, con un processo di ciclo e attesa, per Key Vault per il completamento del certificato. La creazione del certificato è completata quando Key Vault riceve la risposta della CA con il certificato X509.
- La CA risponde alla richiesta di certificato TLS/SSL di Key Vault con un certificato TLS/SSL X.509.
- La creazione del nuovo certificato viene completata con l'integrazione del certificato TLS/SSL X.509 della CA.
Processo asincrono
La creazione del certificato KV è un processo asincrono. Questa operazione creerà una richiesta di certificato KV e restituirà un codice di stato HTTP 202 (accettato). Lo stato della richiesta può essere monitorato eseguendo il polling dell'oggetto in sospeso creato dall'operazione. L'URI completo dell'oggetto in sospeso viene restituito nell'intestazione LOCATION.
Al termine di una richiesta di creazione di un certificato KV, lo stato dell'oggetto in sospeso passerà a "completato" da "in corso" e verrà creata una nuova versione del certificato KV. Diventerà la versione corrente.
Prima creazione
Quando viene creato un certificato KV per la prima volta, viene creata anche una chiave indirizzabile e un segreto con lo stesso nome del certificato. Se il nome è già in uso, l'operazione avrà esito negativo con un codice di stato HTTP 409 (conflitto). La chiave indirizzabile e il segreto ottengono i relativi attributi dagli attributi del certificato KV. La chiave indirizzabile e il segreto creati in questo modo vengono contrassegnati come chiavi gestite e segreti, la cui durata è gestita da Key Vault. Le chiavi gestite e i segreti sono di sola lettura. Nota: se un certificato KV scade o è disabilitato, la chiave e il segreto corrispondenti diventeranno inutilizzabili.
Se si tratta della prima operazione per creare un certificato KV, è necessario un criterio. È anche possibile fornire una politica attraverso operazioni di creazione successive per sostituire la risorsa della politica. Se non vengono forniti criteri, la risorsa dei criteri nel servizio viene usata per creare una versione successiva del certificato KV. Mentre è in corso una richiesta di creazione di una versione successiva, il certificato KV corrente e la chiave indirizzabile e il segreto corrispondenti rimangono invariati.
Certificato autofirmato
Per creare un'autocertificazione, impostare il nome dell'autorità di certificazione su "Self" nei criteri di certificato, come illustrato nel frammento seguente dei criteri di certificazione.
"issuer": {
"name": "Self"
}
Se il nome dell'autorità emittente non è specificato, il nome dell'autorità emittente viene impostato su "Sconosciuto". Quando l'autorità emittente è "Sconosciuta", il proprietario del certificato dovrà ottenere manualmente un certificato x509 dall'autorità emittente di propria scelta, quindi unire il certificato x509 pubblico con l'oggetto certificato in sospeso nel Key Vault per completare la creazione del certificato.
"issuer": {
"name": "Unknown"
}
Fornitori partner di autorità di certificazione
La creazione del certificato può essere completata manualmente oppure usando un'autorità di certificazione "Self". Key Vault collabora con certi provider di autorità di certificazione per semplificare la creazione di certificati. È possibile ordinare i seguenti tipi di certificati per il deposito di chiavi con questi provider partner di emissione.
| Provider | Tipo di certificato | Impostazione della configurazione |
|---|---|---|
| DigiCert | Key Vault offre certificati SSL OV o EV con DigiCert | Guida all'integrazione |
| GlobalSign | Key Vault offre certificati SSL OV o EV con GlobalSign | Guida all'integrazione |
Un'autorità di certificazione è un'entità rappresentata in Azure Key Vault come risorsa CertificateIssuer. Viene utilizzato per fornire informazioni sulla fonte di un certificato KV: nome dell'emittente, provider, credenziali e altri dettagli amministrativi.
Quando viene effettuato un ordine con il provider dell'autorità emittente, questo può rispettare o ignorare le estensioni del certificato x509 e il periodo di validità del certificato a seconda del tipo di certificato.
Autorizzazione: richiede l'autorizzazione di creazione certificati.
Vedere anche
- Guida pratica alla creazione di certificati in Key Vault tramite il portale, Azure CLI, Azure PowerShell
- Monitorare e gestire la creazione di certificati