证书创建方法

可以在 Key Vault 中创建或导入证书。 创建Key Vault证书时,私钥将在key vault内创建,永远不会向证书所有者公开。 以下是在 Key Vault 中创建证书的方法:

  • 创建自签名证书:创建一个公钥-私钥对并将其与证书相关联。 证书将通过其自身的密钥签名。

  • 手动创建新证书:创建一个公钥-私钥对并生成 X.509 证书签名请求。 签名请求可以由注册机构或证书颁发机构进行签名。 签名的 X.509 证书可以与待处理的密钥对合并,以完成 Key Vault 中的 Key Vault 证书。 尽管此方法需要更多步骤,但它确实为你提供了更大的安全性,因为私钥是在其中创建的,并且仅限于Key Vault。

使用自己的证书颁发机构创建证书

以下说明对应于上图中绿色字母代表的步骤。

  1. 在图中,通过在密钥保管库中创建密钥,应用程序可从内部开始创建证书。
  2. Key Vault向应用程序返回证书签名请求(CSR)
  3. 应用程序将 CSR 传递给所选 CA。
  4. 所选 CA 以 X509 证书进行响应。
  5. 应用程序通过合并 CA 中的 X509 证书来完成新证书创建过程。
  • 使用已知的证书颁发者提供程序创建证书: 此方法要求你执行一项一次性任务,即创建一个证书颁发者对象。 在key vault中创建颁发者对象后,可以在Key Vault证书的策略中引用其名称。 创建此类Key Vault证书的请求将在保管库中创建密钥对,并使用引用的颁发者对象中的信息与颁发者提供程序服务通信以获取 X.509 证书。 X.509 证书从颁发者服务检索,并与密钥对合并以完成Key Vault证书创建。

使用Key Vault合作伙伴证书颁发机构创建证书

以下说明对应于上图中绿色字母代表的步骤。

  1. 在图中,通过在密钥保管库中创建密钥,应用程序可从内部开始创建证书。
  2. Key Vault向 CA 发送 TLS/SSL 证书请求。
  3. 应用程序通过循环等待过程轮询 Key Vault,以监控证书的完成情况。 当 Key Vault 收到具有 X.509 证书的 CA 响应时,证书创建已完成。
  4. CA 使用 TLS/SSL X.509 证书响应Key Vault的 TLS/SSL 证书请求。
  5. 与 CA 的 TLS/SSL X.509 证书合并以后,新证书的创建过程即告完成。

异步过程

Key Vault证书创建是一个异步过程。 此操作将创建Key Vault证书请求,并返回 HTTP 状态代码 202(已接受)。 可以通过轮询此操作创建的挂起对象来跟踪请求的状态。 挂起对象的完整 URI 返回在 LOCATION 标头中。

当创建Key Vault证书的请求完成时,挂起的对象的状态将从“正在进行”更改为“已完成”,并创建了Key Vault证书的新版本。 这将成为当前版本。

第一次创建

首次创建Key Vault证书时,还会创建与证书同名的可寻址密钥和机密。 如果名称已在使用中,则操作失败,HTTP 状态代码为 409(冲突)。 可寻址密钥和机密从Key Vault证书属性获取其属性。 以这种方式创建的可寻址密钥和机密被标记为托管密钥和机密,其生存期由Key Vault管理。 托管密钥和机密具有只读属性。 注意:如果Key Vault证书过期或已禁用,则相应的密钥和机密将变为不可操作。

如果这是创建Key Vault证书的第一个操作,则需要策略。 也可为策略提供连续的创建操作,以便替换策略资源。 如果未提供策略,则服务上的策略资源用于创建下一版本的Key Vault证书。 虽然正在请求创建下一个版本,但当前Key Vault证书以及相应的可寻址密钥和机密保持不变。

自颁证书

若要创建自颁证书,请在证书策略中将证书颁发者名称设置为“Self”,如证书策略中的以下代码片段所示。

"issuer": {  
       "name": "Self"  
    }

如果未指定证书颁发者名称,系统会将证书颁发者名称设置为“Unknown”。 当颁发者为“未知”时,证书所有者必须从所选的颁发者手动获取 X.509 证书,然后将公共 X.509 证书与 Key Vault 证书挂起对象合并,以完成证书创建。

"issuer": {  
       "name": "Unknown"  
    }

合作 CA 提供商

可手动完成或使用“Self”证书颁发者来完成证书创建过程。 Key Vault还与某些发行者提供商合作,以简化证书的创建。 可以通过以下合作伙伴颁发者为密钥保管库订购这些类型的证书。

提供者 证书类型 配置设置
DigiCert Key Vault使用 DigiCert 提供 OV 或 EV SSL 证书 集成指南
GlobalSign Key Vault提供具有 GlobalSign 的 OV 或 EV SSL 证书 集成指南

证书颁发者是在 Azure Key Vault 中表示成 CertificateIssuer 资源的实体。 它提供有关Key Vault证书源的信息:颁发者名称、提供程序、凭据和其他管理详细信息。

当向颁发者下订单时,根据证书类型,可能会遵循或覆盖 X.509 证书扩展和证书有效期。

Authorization:需要证书/创建权限。

后续步骤

  • Last updated on