Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Un certificato Key Vault può essere creato o importato in un key vault. Quando viene creato un certificato Key Vault, la chiave privata viene creata all'interno del key vault e non viene mai esposta al proprietario del certificato. Di seguito sono riportati i modi per creare un certificato in Key Vault:
Creare un certificato autofirmato: Creare una coppia di chiavi pubblica-privata e associarla a un certificato. Il certificato viene firmato dalla propria chiave.
Creare manualmente un nuovo certificato: Creare una coppia di chiavi pubblica-privata e generare una richiesta di firma del certificato X.509. La richiesta di firma può essere firmata dall'autorità di registrazione o di certificazione. Il certificato X.509 firmato può essere unito alla coppia di chiavi in sospeso per completare il certificato Key Vault in Key Vault. Anche se questo metodo richiede più passaggi, offre maggiore sicurezza perché la chiave privata viene creata in e limitata alle Key Vault.
Le descrizioni seguenti corrispondono ai passaggi con lettere verdi nel diagramma precedente.
- Nel diagramma, la tua applicazione sta creando un certificato, che inizia internamente creando una chiave nel tuo deposito di chiavi.
- Key Vault restituisce all'applicazione un Certificato di richiesta di firma (CSR)
- L'applicazione passa il CSR alla CA scelta.
- La CA scelta risponde con un certificato X509.
- L'applicazione completa la creazione di un nuovo certificato con un'integrazione del certificato X509 dalla CA.
- Creare un certificato con un emittente noto: Questo metodo richiede di eseguire un'attività una tantum per la creazione di un oggetto emittente. Dopo aver creato un oggetto emittente nel key vault, è possibile farvi riferimento nelle politiche del certificato di Key Vault. Una richiesta di creazione di tale certificato Key Vault genererà una coppia di chiavi nel vault e comunicherà con il servizio provider dell'emittente usando le informazioni nell'oggetto emittente di riferimento per ottenere un certificato X.509. Il certificato X.509 viene recuperato dal servizio dell'emittente e viene unito alla coppia di chiavi per completare la creazione del certificato in Key Vault.
Le descrizioni seguenti corrispondono ai passaggi con lettere verdi nel diagramma precedente.
- Nel diagramma, la tua applicazione sta creando un certificato, che inizia internamente creando una chiave nel tuo deposito di chiavi.
- Key Vault invia una richiesta di certificato TLS/SSL alla CA.
- L'applicazione interroga continuamente, in un ciclo e in un processo di attesa, il Key Vault per verificare il completamento del certificato. La creazione del certificato viene completata quando Key Vault riceve la risposta della CA con un certificato X.509.
- La CA risponde alla richiesta di certificato TLS/SSL di Key Vault con un certificato TLS/SSL X.509.
- La creazione del nuovo certificato viene completata con l'integrazione del certificato TLS/SSL X.509 della CA.
Processo asincrono
Key Vault creazione di certificati è un processo asincrono. Questa operazione crea una richiesta di certificato Key Vault e restituisce un codice di stato HTTP 202 (accettato). Lo stato della richiesta può essere monitorato eseguendo il polling dell'oggetto in sospeso creato dall'operazione. L'URI completo dell'oggetto in sospeso viene restituito nell'intestazione LOCATION.
Quando viene completata una richiesta di creazione di un certificato Key Vault, lo stato dell'oggetto in sospeso passa a "completato" da "in corso" e viene creata una nuova versione del certificato Key Vault. Questa diventa la versione corrente.
Prima creazione
Quando viene creato un certificato Key Vault per la prima volta, viene creata anche una chiave e un segreto indirizzabili con lo stesso nome del certificato. Se il nome è già in uso, l'operazione non riesce con un codice di stato HTTP 409 (conflitto). La chiave destinabile e il segreto ottengono i loro attributi dagli attributi del certificato del Key Vault. La chiave indirizzabile e il segreto creati in questo modo vengono contrassegnati come chiavi gestite e segreti, la cui durata viene gestita da Key Vault. Le chiavi gestite e i segreti sono di sola lettura. Nota: se un certificato Key Vault scade o è disabilitato, la chiave e il segreto corrispondenti diventano inutilizzabili.
Se si tratta della prima operazione per creare un certificato Key Vault, è necessario un criterio. È anche possibile fornire una politica attraverso operazioni di creazione successive per sostituire la risorsa della politica. Se non viene fornito un criterio, la risorsa dei criteri nel servizio viene usata per creare una versione successiva del certificato Key Vault. Mentre è in corso una richiesta di creazione di una versione successiva, il certificato Key Vault corrente e la chiave indirizzabile e il segreto corrispondenti rimangono invariati.
Certificato autofirmato
Per creare un'autocertificazione, impostare il nome dell'autorità di certificazione su "Self" nei criteri di certificato, come illustrato nel frammento seguente dei criteri di certificazione.
"issuer": {
"name": "Self"
}
Se il nome dell'autorità emittente non è specificato, il nome dell'autorità emittente viene impostato su "Sconosciuto". Quando l'autorità emittente è "Sconosciuta", il proprietario del certificato dovrà ottenere manualmente un certificato X.509 dall'emittente di propria scelta, quindi combinarlo con l'oggetto di certificato in sospeso nel key vault per completare la creazione del certificato.
"issuer": {
"name": "Unknown"
}
Provider di autorità di certificazione partner
La creazione del certificato può essere completata manualmente oppure usando un'autorità di certificazione "Self". Key Vault collabora anche con determinati emittenti di certificati per semplificare la creazione di certificati. È possibile ordinare i seguenti tipi di certificati per il deposito di chiavi con questi provider partner di emissione.
| Provider | Tipo di certificato | Impostazione della configurazione |
|---|---|---|
| DigiCert | Key Vault offre certificati SSL OV o EV con DigiCert | Guida all'integrazione |
| GlobalSign | Key Vault offre certificati OV o EV SSL con GlobalSign | Integration Guide |
Un'autorità di certificazione è un'entità rappresentata in Azure Key Vault come risorsa CertificateIssuer. Fornisce informazioni sull'origine di un certificato Key Vault: nome dell'autorità emittente, provider, credenziali e altri dettagli amministrativi.
Quando un ordine viene effettuato con il provider emittente, può rispettare o escludere le estensioni del certificato X.509 e il periodo di validità del certificato in base al tipo di certificato.
Autorizzazione: richiede l'autorizzazione di creazione certificati.
Passaggi successivi
- Guida pratica alla creazione di certificati in Key Vault usando Portal, interfaccia della riga di comando di Azure, Azure PowerShell
- Monitorare e gestire la creazione di certificati