Tworzenie i scalanie żądania podpisania certyfikatu w usłudze Key Vault

Usługa Azure Key Vault obsługuje przechowywanie certyfikatów cyfrowych wystawionych przez dowolny urząd certyfikacji. Obsługuje tworzenie żądania podpisania certyfikatu (CSR) z parą kluczy prywatnych/publicznych. Csr może być podpisany przez dowolny urząd certyfikacji (wewnętrzny urząd certyfikacji przedsiębiorstwa lub zewnętrzny publiczny urząd certyfikacji). Żądanie podpisania certyfikatu (CSR) to komunikat wysyłany do urzędu certyfikacji w celu żądania certyfikatu cyfrowego.

Aby uzyskać więcej ogólnych informacji na temat certyfikatów, zobacz Certyfikaty usługi Azure Key Vault.

Jeśli nie masz subskrypcji Azure, przed rozpoczęciem utwórz darmowe konto.

Dodawanie certyfikatów w usłudze Key Vault wystawionych przez partnerów urzędów certyfikacji

Usługa Key Vault współpracuje z następującymi urzędami certyfikacji, aby uprościć tworzenie certyfikatów.

Dostawca	Typ certyfikatu	Ustawienia konfiguracji
DigiCert	Usługa Key Vault oferuje certyfikaty OV lub EV SSL z firmą DigiCert	Przewodnik integracji
GlobalSign	Usługa Key Vault oferuje certyfikaty OV lub EV SSL z globalsign	Przewodnik integracji

Dodawanie certyfikatów wystawionych przez niepartnerskie urzędy certyfikacji w usłudze Key Vault

Wykonaj następujące kroki, aby dodać certyfikat z urzędów certyfikacji, które nie są partnerskie z usługą Key Vault. (Na przykład GoDaddy nie jest zaufanym urzędem certyfikacji Key Vault).

Portal
PowerShell

Przejdź do magazynu kluczy, do którego chcesz dodać certyfikat.
Na stronie właściwości wybierz pozycję Certyfikaty.
Wybierz kartę Generuj /Importuj .
Na ekranie Tworzenie certyfikatu wybierz następujące wartości:
- Metoda tworzenia certyfikatu: Generuj.
- Nazwa certyfikatu: ContosoManualCSRCertificate.
- Typ urzędu certyfikacji: certyfikat wystawiony przez niezintegrowany urząd certyfikacji.
- Temat: "CN=www.contosoHRApp.com".
Uwaga / Notatka

Jeśli używasz względnej nazwy wyróżniającej (RDN), która ma przecinek (,) w wartości, zawijaj wartość zawierającą znak specjalny w podwójnych cudzysłowach.

Przykładowy wpis do tematu:DC=Contoso,OU="Docs,Contoso",CN=www.contosoHRApp.com

W tym przykładzie nazwa RDN OU zawiera wartość z przecinkiem w nazwie. Wynikowe dane wyjściowe dla usługi OU to Docs, Contoso.
Wybierz inne wartości zgodnie z potrzebami, a następnie wybierz pozycję Utwórz , aby dodać certyfikat do listy Certyfikaty .
Na liście Certyfikaty wybierz nowy certyfikat. Bieżący stan certyfikatu jest nieaktywny, ponieważ nie został jeszcze wystawiony przez urząd certyfikacji.
Na karcie Operacja certyfikatu wybierz pozycję Pobierz CSR.
Należy zlecić urzędowi certyfikacji podpisanie CSR (.csr).
Po podpisaniu żądania wybierz pozycję Scal podpisane żądanie na karcie Operacje certyfikatu, aby dodać podpisany certyfikat do Key Vault.

Żądanie certyfikatu zostało pomyślnie połączone.

Utwórz zasady certyfikatu. Ponieważ wybrany w tym scenariuszu urząd certyfikacji nie jest powiązany, IssuerName jest ustawione na Nieznany, a usługa Key Vault nie rejestruje ani nie odnawia certyfikatu.
```
$policy = New-AzKeyVaultCertificatePolicy -SubjectName "CN=www.contosoHRApp.com" -ValidityInMonths 1  -IssuerName Unknown
```
Uwaga / Notatka

Jeśli używasz względnej nazwy wyróżniającej (RDN), która ma przecinek (,) w wartości, użyj pojedynczych cudzysłowów dla pełnej wartości lub zestawu wartości, a wartość zawierającą znak specjalny zawijaj w podwójnych cudzysłowach.

Przykładowy wpis do subjectName: $policy = New-AzKeyVaultCertificatePolicy -SubjectName 'OU="Docs,Contoso",DC=Contoso,CN=www.contosoHRApp.com' -ValidityInMonths 1 -IssuerName Unknown. W tym przykładzie wartość OU wygląda jak Docs, Contoso. Ten format działa dla wszystkich wartości zawierających przecinek.

W tym przykładzie nazwa RDN OU zawiera wartość z przecinkiem w nazwie. Wynikowe dane wyjściowe dla usługi OU to Docs, Contoso.

Utwórz CSR.

$csr = Add-AzKeyVaultCertificate -VaultName ContosoKV -Name ContosoManualCSRCertificate -CertificatePolicy $policy
$csr.CertificateSigningRequest

Niech urząd certyfikacji podpisze CSR. Jest $csr.CertificateSigningRequest zakodowanym podstawowym CSR dla certyfikatu. Możesz przesłać ten pakiet danych na stronę internetową z żądaniem certyfikatu wystawcy. Ten krok różni się w zależności od urzędu certyfikacji. Zapoznaj się z wytycznymi urzędu certyfikacji dotyczącymi wykonywania tego kroku. Możesz również użyć narzędzi, takich jak certreq lub openssl, aby uzyskać podpis CSR i ukończyć proces generowania certyfikatu.
Połącz podpisane żądanie w Key Vault. Po podpisaniu żądania certyfikatu można scalić je z początkową parą kluczy prywatnych/publicznych utworzonych w usłudze Azure Key Vault.
```
Import-AzKeyVaultCertificate -VaultName ContosoKV -Name ContosoManualCSRCertificate -FilePath C:\test\OutputCertificateFile.cer
```

Żądanie certyfikatu zostało pomyślnie połączone.

Dodaj więcej informacji do CSR

Jeśli chcesz dodać więcej informacji podczas tworzenia żądania CSR, zdefiniuj je w polu SubjectName. Możesz dodać informacje, takie jak:

Kraj/Region
Miasto/miejscowość
Województwo
Organizacja
Jednostka organizacyjna

Przykład

SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US"

Uwaga / Notatka

Jeśli żądasz certyfikatu weryfikacji domeny (DV) z dodatkowymi informacjami, urząd certyfikacji może odrzucić żądanie, jeśli nie może zweryfikować wszystkich informacji w żądaniu. Dodatkowe informacje mogą być bardziej odpowiednie, jeśli żądasz certyfikatu weryfikacji organizacji (OV).

Często zadawane pytania

Jak mogę monitorować moją csr lub zarządzać nią?

Zobacz Monitorowanie tworzenia certyfikatów i zarządzanie nim.
Co zrobić, jeśli widzę typ błędu "Klucz publiczny certyfikatu jednostki końcowej w określonej zawartości certyfikatu X.509 nie jest zgodny z publiczną częścią określonego klucza prywatnego. Sprawdź, czy certyfikat jest prawidłowy?

Ten błąd występuje, jeśli nie scalasz podpisanego żądania CSR z tym samym zainicjowanym żądaniem CSR. Każde nowe utworzone żądanie CSR posiada klucz prywatny, który musi odpowiadać podczas scalania podpisanej prośby.
Czy po scaleniu CSR scali się cały łańcuch?

Tak, scali cały łańcuch, pod warunkiem, że użytkownik przywróci plik p7b do scalenia.
Co zrobić, jeśli wystawiony certyfikat jest w stanie wyłączonym w witrynie Azure Portal?

Wyświetl kartę Operacja certyfikatu, aby przejrzeć komunikat o błędzie dla tego certyfikatu.
Co zrobić, jeśli jest wyświetlany typ błędu "Podana nazwa podmiotu nie jest prawidłową nazwą X500"?

Ten błąd może wystąpić, jeśli element SubjectName zawiera jakiekolwiek znaki specjalne. Zapoznaj się z uwagami w witrynie Azure Portal i instrukcjach programu PowerShell.
Typ błędu CSR użyty do pobrania certyfikatu został już użyty. Spróbuj wygenerować nowy certyfikat przy użyciu nowego csr. Przejdź do sekcji "Zasady zaawansowane" certyfikatu i sprawdź, czy opcja "ponowne użycie klucza przy odnawianiu" jest wyłączona.

Dalsze kroki

Sprzężenie zwrotne

Czy ta strona była pomocna?

Last updated on 2025-04-21