Een certificaatondertekeningsaanvraag maken en samenvoegen in Key Vault

Azure Key Vault ondersteunt het opslaan van digitale certificaten die zijn uitgegeven door een certificeringsinstantie. Het biedt ondersteuning voor het maken van een aanvraag voor certificaat ondertekening (CSR) met een privé/openbaar sleutelpaar. De CSR kan worden ondertekend door elke CA (een interne ondernemings-CA of een externe openbare CA). Een aanvraag voor certificaatondertekening (CSR) is een bericht dat u naar een CA verzendt om een digitaal certificaat aan te vragen.

Zie Azure Key Vault-certificaten voor meer algemene informatie over certificaten.

Als je geen Azure-abonnement hebt, maak dan een gratis account aan voordat je begint.

Certificaten toevoegen aan Key Vault die zijn uitgegeven door partnercertificeringsinstanties

Key Vault is een partnerschap aangegaan met de volgende certificeringsinstanties om het maken van certificaten te vereenvoudigen.

Aanbieder	Certificaattype	Configuratie-instellingen
DigiCert	Key Vault biedt OV- of EV SSL-certificaten met DigiCert	Integratiehandleiding
GlobalSign	Key Vault biedt OV- of EV SSL-certificaten met GlobalSign	Integratiehandleiding

Certificaten toevoegen aan Key Vault die zijn uitgegeven door niet-partnercertificeringsinstanties

Volg deze stappen om een certificaat toe te voegen van CA's die geen partner zijn van Key Vault. (GoDaddy is bijvoorbeeld geen vertrouwde Key Vault CA.)

Portaal
PowerShell

Ga naar de sleutelkluis waaraan u het certificaat wilt toevoegen.
Selecteer op de eigenschappenpagina Certificaten.
Selecteer het tabblad Genereren/importeren.
Kies op het scherm Een certificaat maken de volgende waarden:
- Methode van certificaat aanmaken: Genereren.
- Certificaatnaam: een unieke naam voor uw certificaat.
- Type certificeringsinstantie (CA): certificaat uitgegeven door een niet-geïntegreerde CA.
- Onderwerp: "CN=www.contosoHRApp.com".
Opmerking

Als u een Relatieve DN-naam (RDN) gebruikt met een komma (,) in de waarde, plaats dan de waarde met het speciale teken tussen dubbele aanhalingstekens.

Voorbeeldvermelding van Onderwerp: DC=Contoso,OU="Docs,Contoso",CN=www.contosoHRApp.com

In dit voorbeeld bevat de RDN OU een waarde met een komma in de naam. De resulterende uitvoer voor OU is Docs, Contoso.
Selecteer de andere waarden naar wens. Selecteer vervolgens Maken om het certificaat toe te voegen aan de lijst Certificaten.
Selecteer, in de lijst Certificaten, het nieuwe certificaat. De huidige status van het certificaat is uitgeschakeld omdat het certificaat nog niet is uitgegeven door de CA.
Ga naar tabblad Certificaatbewerking en selecteer vervolgens CSR downloaden.
Laat de CA de CSR (.csr) ondertekenen.
Nadat de aanvraag is ondertekend, selecteert u Ondertekende aanvraag samenvoegen op het tabblad Certificaatbewerking om het ondertekende certificaat aan Key Vault toe te voegen.

De certificaataanvraag is nu samengevoegd.

Maak een certificaatbeleid. Omdat de CA in dit scenario gekozen geen partner is, is IssuerName ingesteld op Onbekend en wordt het certificaat niet door Key Vault ingeschreven of verlengd.
```
$policy = New-AzKeyVaultCertificatePolicy -SubjectName "CN=www.contosoHRApp.com" -ValidityInMonths 1  -IssuerName Unknown
```
Opmerking

Als u een Relatieve Onderscheidende Naam (RDN) gebruikt met een komma (,) in de waarde, gebruik dan enkele aanhalingstekens om de volledige waarde of waardeset te omsluiten, en zet de waarde die het speciale teken bevat tussen dubbele aanhalingstekens.

Voorbeeldvermelding van Onderwerpnaam: $policy = New-AzKeyVaultCertificatePolicy -SubjectName 'OU="Docs,Contoso",DC=Contoso,CN=www.contosoHRApp.com' -ValidityInMonths 1 -IssuerName Unknown. In dit voorbeeld ziet de waarde voor OU er als volgt uit Docs, Contoso. Deze indeling werkt voor alle waarden die een komma bevatten.

In dit voorbeeld bevat de RDN OU een waarde met een komma in de naam. De resulterende uitvoer voor OU is Docs, Contoso.

Maak de CSR.

$csr = Add-AzKeyVaultCertificate -VaultName "<vault-name>" -Name "<certificate-name>" -CertificatePolicy $policy
$csr.CertificateSigningRequest

Laat de CA de CSR ondertekenen. De $csr.CertificateSigningRequest is de gecodeerde CSR die de basis vormt voor het certificaat. U kunt deze blob in de website voor certificaataanvragen van de uitgever dumpen. Deze stap verschilt per certificeringsinstantie. Zoek naar de richtlijnen van uw CA voor het uitvoeren van deze stap. U kunt ook hulpprogramma's zoals certreq of openssl gebruiken om de CSR te ondertekenen en het proces voor het genereren van een certificaat te voltooien.
Voeg de ondertekende aanvraag samen in Key Vault. Wanneer de certificaat aanvraag is ondertekend, kunt u deze samenvoegen met het eerste persoonlijke/openbare sleutelpaar dat is gemaakt in Azure Key Vault.
```
Import-AzKeyVaultCertificate -VaultName "<vault-name>" -Name "<certificate-name>" -FilePath C:\test\OutputCertificateFile.cer
```

De certificaataanvraag is nu samengevoegd.

Meer informatie toevoegen aan CSR

Als u meer informatie wilt toevoegen tijdens het maken van de CSR, definieert u dit in SubjectName. Mogelijk wilt u informatie toevoegen zoals:

Land/regio
Stad/plaats
Staat/provincie
Organisatie
Organisatie-eenheid

Voorbeeld

SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US"

Opmerking

Als u een certificaat voor domeinvalidatie (DV) aanvraagt met aanvullende informatie, kan de CA de aanvraag afwijzen als het niet mogelijk is om alle gegevens in de aanvraag te valideren. De aanvullende informatie is mogelijk beter geschikt als u een certificaat voor organisatievalidatie (OV) aanvraagt.

Veelgestelde vragen

Hoe kan ik mijn CSR controleren of beheren?

Zie Het maken van certificaten controleren en beheren.
Wat gebeurt er als ik het foutbericht 'De openbare sleutel van het end-entity-certificaat in de opgegeven X.509-certificaatinhoud niet overeenkomt met het openbare deel van de opgegeven persoonlijke sleutel. Controleer of het certificaat geldig is?

Deze fout treedt op als u de ondertekende CSR niet combineert met hetzelfde CSR-verzoek dat u heeft geïnitieerd. Elke nieuwe CSR die u maakt, heeft een persoonlijke sleutel die moet overeenkomen wanneer u de ondertekende aanvraag samenvoegt.
Wanneer een CSR wordt samengevoegd, wordt dan de gehele keten samengevoegd?

Ja, de hele keten wordt samengevoegd, op voorwaarde dat de gebruiker een .p7b-bestand heeft teruggebracht om samen te voegen.
Wat gebeurt er als het uitgegeven certificaat de status 'uitgeschakeld' heeft in de Azure Portal?

Ga naar het tabblad Certificaatbewerking om het foutbericht voor dat certificaat weer te geven.
Wat gebeurt er als Fouttype 'De opgegeven objectnaam is geen geldige x500-naam'?

Deze fout kan optreden als SubjectName speciale tekens bevat. Bekijk de opmerkingen in de instructies van de Azure Portal en PowerShell.
Fouttype De CSR die wordt gebruikt om uw certificaat op te halen, is al gebruikt. Probeer een nieuw certificaat te genereren met een nieuwe CSR. Ga naar de sectie Geavanceerd beleid van het certificaat en controleer of de optie Opnieuw gebruiken bij verlenging is uitgeschakeld.

AI gebruiken om complexe certificaatonderwerpnamen te maken

GitHub Copilot kan u helpen de juiste SubjectName-indeling te maken voor certificaatondertekeningsaanvragen, met name wanneer u te maken hebt met complexe organisatiestructuren of speciale tekens.

I need to create a certificate signing request in Azure Key Vault with a complex subject name. Help me create the PowerShell command with these requirements:
- Common Name: api.contoso.com
- Organization: Contoso, Ltd. (note the comma in the name)
- Organizational Unit: Cloud Services
- City: New York
- State: NY
- Country: US
Show me how to properly escape the comma in the organization name, and provide both the certificate policy and the Add-AzKeyVaultCertificate command.

GitHub Copilot wordt mogelijk gemaakt door AI, dus verrassingen en fouten zijn mogelijk. Zie Veelgestelde vragen over Copilotvoor meer informatie.

Volgende stappen

Feedback

Is deze pagina nuttig?

Last updated on 2026-01-31