Key Vault証明書は、key vaultに作成またはインポートできます。 Key Vault証明書が作成されると、秘密キーはkey vault内に作成され、証明書の所有者に公開されることはありません。 Key Vaultで証明書を作成する方法を次に示します。
自己署名証明書を作成します。 公開キーと秘密キーのペアを作成し、証明書に関連付けます。 証明書は、独自のキーで署名されます。
新しい証明書を手動で作成します。 公開キーと秘密キーのペアを作成し、X.509 証明書署名要求を生成します。 署名要求には、登録機関または証明機関が署名できます。 署名された X.509 証明書を保留中のキー ペアとマージして、Key VaultでKey Vault証明書を完成させることができます。 この方法ではより多くの手順が必要ですが、秘密キーが作成され、Key Vaultに制限されるため、セキュリティが強化されます。
次の説明は、前の図の緑色の文字の手順に対応しています。
- この図では、アプリケーションが証明書を作成しています。証明書は、内部的にはキー コンテナーにキーを作成することから始まります。
- Key Vaultは、証明書署名要求 (CSR) をアプリケーションに返します
- アプリケーションは、選択した CA に CSR を渡します。
- 選択した CA が X509 証明書で応答します。
- アプリケーションは、CA からの X509 証明書の合併を使用して、新しい証明書の作成を完了します。
- 既知の発行者プロバイダーを使用して証明書を作成します 。このメソッドでは、発行者オブジェクトを作成する 1 回限りのタスクを実行する必要があります。 key vaultに発行者オブジェクトが作成されたら、その名前をKey Vault証明書のポリシーで参照できます。 このようなKey Vault証明書を作成する要求では、コンテナーにキー ペアが作成され、参照されている発行者オブジェクトの情報を使用して発行者プロバイダー サービスと通信して X.509 証明書を取得します。 X.509 証明書は発行者サービスから取得され、キー ペアとマージされ、Key Vault証明書の作成が完了します。
次の説明は、前の図の緑色の文字の手順に対応しています。
- この図では、アプリケーションが証明書を作成しています。証明書は、内部的にはキー コンテナーにキーを作成することから始まります。
- Key Vaultは、TLS/SSL 証明書要求を CA に送信します。
- アプリケーションは、ループと待機プロセスで、証明書の完了を Key Vault にポーリングします。 証明書の作成は、Key Vaultが X.509 証明書を使用して CA の応答を受信したときに完了します。
- CA は、TLS/SSL X.509 証明書を使用してKey Vaultの TLS/SSL 証明書要求に応答します。
- 新しい証明書の作成は、CA の TLS/SSL X.509 証明書の結合で完了します。
非同期プロセス
Key Vault証明書の作成は非同期プロセスです。 この操作により、Key Vault証明書要求が作成され、HTTP 状態コード 202 (Accepted) が返されます。 要求の状態は、この操作によって作成された保留中のオブジェクトをポーリングすることによって追跡できます。 保留中のオブジェクトの完全な URI が LOCATION ヘッダーに返されます。
Key Vault証明書の作成要求が完了すると、保留中のオブジェクトの状態が "進行中" から "完了" に変わり、Key Vault証明書の新しいバージョンが作成されます。 これが現在のバージョンになります。
最初の作成
Key Vault証明書を初めて作成すると、アドレス指定可能なキーとシークレットも証明書と同じ名前で作成されます。 名前が既に使用されている場合、操作は HTTP 状態コード 409 (競合) で失敗します。 アドレス指定可能なキーとシークレットは、Key Vault証明書の属性から属性を取得します。 この方法で作成されたアドレス指定可能なキーとシークレットは、Key Vaultによって有効期間が管理されるマネージド キーとシークレットとしてマークされます。 マネージド キーとシークレットは読み取り専用です。 注: Key Vault証明書の有効期限が切れた場合、または無効になっている場合、対応するキーとシークレットは操作できなくなります。
これがKey Vault証明書を作成する最初の操作である場合は、ポリシーが必要です。 ポリシーには、ポリシー リソースを置き換える連続する作成操作を指定することもできます。 ポリシーが指定されていない場合、サービスのポリシー リソースを使用して、Key Vault証明書の次のバージョンが作成されます。 次のバージョンの作成要求が進行中の間、現在のKey Vault証明書と対応するアドレス指定可能なキーとシークレットは変更されません。
自己発行証明書
自己発行証明書を作成するには、証明書ポリシーの次のスニペットに示すように、証明書ポリシーで発行者名を "Self" に設定します。
"issuer": {
"name": "Self"
}
発行者名が指定されていない場合、発行者名は "不明" に設定されます。 発行者が "不明" の場合、証明書の所有者は、選択した発行者から X.509 証明書を手動で取得し、公開 X.509 証明書をキー コンテナー証明書保留中オブジェクトとマージして証明書の作成を完了する必要があります。
"issuer": {
"name": "Unknown"
}
パートナー CA プロバイダー
証明書の作成は、手動で、または "自己" 発行者を使用して完了できます。 Key Vault、証明書の作成を簡略化するために、特定の発行者プロバイダーと提携することもできます。 次の種類の証明書を、キー コンテナー用として、これらのパートナー発行者プロバイダーに注文できます。
| プロバイダー | 証明書タイプ | 構成設定 |
|---|---|---|
| DigiCert | Key Vaultは DigiCert で OV または EV SSL 証明書を提供します | 統合ガイド |
| グローバルサイン | Key Vaultは、GlobalSign を使用して OV または EV SSL 証明書を提供します | 統合ガイド |
証明書発行者は、CertificateIssuer リソースとしてAzure Key Vaultで表されるエンティティです。 発行者名、プロバイダー、資格情報、その他の管理の詳細など、Key Vault証明書のソースに関する情報が提供されます。
発行者プロバイダーを使用して注文を行うと、証明書の種類に基づいて X.509 証明書の拡張機能と証明書の有効期間を優先またはオーバーライドできます。
認可: 証明書の作成権限が必要です。
次のステップ
Portal 、Azure CLI 、Azure PowerShell - 証明書の作成を監視および管理する