17 мар. 2025 г.

Интеграция управляемого SSL с Azure Key Vault

В этой статье показан пошаговый процесс интеграции платформы Microsoft Azure Key Vault с сервисом GlobalSign Управляемый SSL (MSSL) для получения SSL-сертификатов, который будет доступен и использован через облачную платформу Microsoft Azure. 

Необходимые условия 

• Действительный профиль MSSL и домены в учетной записи GCC. Дополнительные сведения о MSSL от GlobalSign см.
   https://www.globalsign.com/en/ssl/managed-ssl/. 

• Подписка на Microsoft Azure Key Vault. Дополнительные сведения об Azure Key Vault см.
  https://azure.microsoft.com/en-us/services/key-vault/. 

Как интегрировать Azure Key Vault с управляемым SSL (MSSL) от GlobalSign? 

1. Войдите в портал Azure, затем нажмите Create, если у вас еще нет настроенного Key Vault или вы хотите создать новый.
   Примечание: Если страница не заполняется автоматически, вы можете использовать поисковую строку, и она появится. 
   
   

   1. На вкладке Basics введите название хранилища ключей в поле Name и выберите Subscription preferences, Resource group (новую или существующую), Region, Pricing tier, Recovery options. Затем нажмите кнопку Next, чтобы перейти к следующим вкладкам. 
       
      

   2. Выберите настройки на вкладках Access configuration, Networking и Tags в соответствии с вашим сценарием использования. 
       
      

   3. По завершении перейдите на вкладку Review + Create, чтобы просмотреть введенные данные. Если вы хотите вернуться и изменить информацию на предыдущей странице, нажмите Previous. В противном случае нажмите Create, если все выглядит хорошо. 
       
      

2. После создания хранилища вы попадете на главную страницу Overview. Чтобы продолжить, нажмите Go to resource. 
   
   

3. На главной странице Certificates создайте удостоверяющий центр GlobalSign для доступа к хранилищу.
   Нажмите Certificates в левом боковом меню, а в правом верхнем углу выберите Certificate Authorities.  
    
   

4. На странице Certificate Authorities нажмите Add. Откроется меню Create a certificate authority.
   В меню введите Name. Затем в раскрывающемся списке Provider выберите GlobalSign.
   Заполните оставшиеся поля информацией о вашей учетной записи GlobalSign GCC.
   Примечание: Идентификатор учетной записи должен быть идентификатором пользователя учетной записи GCC (например, PAR12345_TestS). Это поле также чувствительно к регистру.
   
   

5. После сохранения всей информации вы получите уведомление, подтверждающее успешное создание удостоверяющего центра.  
   
   

Как добавить новый сертификат в хранилище? 

1. Перейдите в свое хранилище ключей и выберите «Certificates», затем нажмите “Generate/Import”.  
    
   

2. Выберите “Generate” в качестве Method of Certificate Creation, затем введите легко запоминающееся имя в поле “Certificate Name”. Примечание: Это имя будет использоваться только в хранилище и не является общим именем фактического сертификата. 

3. Затем выберите “Certificate issued by an integrated CA” в раскрывающемся меню “Type of Certificate Authority (CA)”. 

4. Перейдите на вкладку “Certificate Authority (CA) Not Configured”. 

5. Выберите созданный вами “GlobalSign Certificate Authority”. В результате вы вернетесь к форме “Create”. 

6. Заполните поле “Subject” общим именем запрашиваемого сертификата (формат: CN=yourdomainname.com).  
   
   Есть дополнительные поля, которые не являются обязательными:  

   1. DNS Names- где добавляются дополнительные альтернативные имена субъектов (SAN). 

   2. Validity Period- выбор срока действия сертификата в месяцах. 

   3. Content Type  
      1. PKCS#12 - Пара закрытых открытых ключей 
      2. PEM - открытый ключ 
   4. Lifetime Action Type - настройка продления сертификата или напоминания о продлении. 
   5. Advanced Policy Configuration (по умолчанию не настроена) - нажмите на нее, чтобы добавить дополнительные EKU и настроить расширенные функции ключа, как показано на скриншоте ниже, и нажмите ОК, чтобы сохранить. 
      
      

7. Нажмите Create, после чего в правом углу появится всплывающее сообщение, подтверждающее создание сертификата.  
   Примечание: Вы также можете нажать на синюю информационную панель, чтобы следить за процессом создания.  
    
   
   
   

8. Когда в статусе появится надпись Completed, это подтвердит, что сертификат был выпущен и сохранен в хранилище. Теперь вы сможете использовать сертификат через платформу Azure. 
   
    
    
   Примечание: Чтобы просмотреть список выпущенных сертификатов, перейдите в раздел Certificates.