이 지침은 Key Vault에서 인증서 관리를 시작하는 데 도움이 됩니다.
여기서 다루는 시나리오 목록:
- 첫 번째 Key Vault 인증서 만들기
- Key Vault와 파트너 관계를 맺고 있는 인증 기관을 사용하여 인증서 만들기
- Key Vault와 파트너 관계를 맺고 있지 않은 인증 기관을 사용하여 인증서 만들기
- 인증서 가져오기
인증서는 복잡한 개체입니다.
인증서는 Key Vault 인증서로 함께 연결된 세 개의 상호 관련된 리소스로 구성됩니다. 인증서 메타데이터, 키 및 비밀입니다.
첫 번째 Key Vault 인증서 만들기
KV(Key Vault)에서 인증서를 만들려면 먼저 1단계와 2단계를 성공적으로 수행해야 하며 이 사용자/조직에 대한 키 자격 증명 모음이 있어야 합니다.
1단계: CA(인증 기관) 공급자
- 지정된 회사(예: Contoso)에 대해 IT 관리자, PKI 관리자 또는 CA로 계정을 관리하는 모든 사용자로 온보딩하는 것은 Key Vault 인증서를 사용하기 위한 필수 구성 요소입니다.
다음 CA는 Key Vault를 사용하는 현재 파트너 공급자입니다. 자세한 내용은 여기를 참조하세요.- DigiCert - Key Vault는 DigiCert를 사용하여 OV TLS/SSL 인증서를 제공합니다.
- GlobalSign - Key Vault는 GlobalSign을 사용하여 OV TLS/SSL 인증서를 제공합니다.
2단계: CA 공급자의 계정 관리자는 Key Vault에서 Key Vault를 통해 TLS/SSL 인증서를 등록, 갱신 및 사용하는 데 사용할 자격 증명을 만듭니다.
3a단계: Contoso 관리자는 CA에 따라 인증서를 소유하는 Contoso 직원(Key Vault 사용자)과 함께 관리자로부터 또는 CA를 사용하여 계정에서 직접 인증서를 가져올 수 있습니다.
- 인증서 발급자 리소스를 설정하여 키 자격 증명 모음에 자격 증명 추가 작업을 시작합니다. 인증서 발급자는 Azure KV(Key Vault)에 CertificateIssuer 리소스로 표시되는 엔터티입니다. KV 인증서의 원본에 대한 정보(발급자 이름, 공급자, 자격 증명 및 기타 관리 세부 정보)를 제공하는 데 사용됩니다.
예: MyDigiCertIssuer
- 공급자
- 자격 증명 – CA 계정 자격 증명. 각 CA에는 고유한 특정 데이터가 있습니다.
CA 공급자를 사용하여 계정을 만드는 방법에 대한 자세한 내용은 Key Vault 블로그의 관련 게시물을 참조하세요.
3b단계: 알림 에 대한 인증서 연락처 를 설정합니다. Key Vault 사용자의 연락처입니다. Key Vault는 이 단계를 적용하지 않습니다.
참고 - 이 프로세스는 3b단계를 통해 일회성 작업입니다.
Key Vault와 제휴한 CA를 사용하여 인증서 만들기
4단계: 다음 설명은 이전 다이어그램의 녹색 번호 매기기 단계에 해당합니다.
(1) - 위의 다이어그램에서 애플리케이션은 인증서를 만들기 위해 먼저 키 보관소에 키를 생성합니다.
(2) - Key Vault는 TLS/SSL 인증서 요청을 CA에 보냅니다.
(3) - 애플리케이션이 인증서 완료를 위해 Key Vault에 대해 반복 및 대기 프로세스에서 폴링합니다. Key Vault가 x509 인증서로 CA의 응답을 받으면 인증서 작성이 완료된 것입니다.
(4) - CA는 X509 TLS/SSL 인증서를 사용하여 Key Vault의 TLS/SSL 인증서 요청에 응답합니다.
(5) - CA용 X509 인증서의 병합으로 새 인증서 만들기가 완료됩니다.
Key Vault 사용자 - 정책을 지정하여 인증서를 만듭니다.
필요에 따라 반복
정책 제약 조건
- X509 속성
- 주요 속성
- 공급자 참조 - > 예. MyDigiCertIssure
- 갱신 정보 - > 예 만료 90일 전
인증서 생성 프로세스는 일반적으로 비동기 프로세스이며, 인증서 생성 작업의 상태를 확인하기 위해 키 저장소를 폴링하는 과정을 포함합니다.
인증서 가져오기 작업- 상태: 완료됨, 오류 정보로 실패 또는 취소됨
- 만들기 지연으로 인해 취소 작업을 시작할 수 있습니다. 취소가 유효할 수도, 그렇지 않을 수도 있습니다.
통합 CA와 연결된 네트워크 보안 및 액세스 정책
Key Vault 서비스는 CA(아웃바운드 트래픽)에 요청을 보냅니다. 따라서 방화벽이 설정된 키 보관소와 완전히 호환됩니다. Key Vault는 CA와 액세스 정책을 공유하지 않습니다. CA는 서명 요청을 독립적으로 수락하도록 구성해야 합니다. 신뢰할 수 있는 CA 통합 가이드
인증서 가져오기
또는 인증서를 Key Vault(PFX 또는 PEM)로 가져올 수 있습니다.
인증서 가져오기 – PEM 또는 PFX가 디스크에 있고 프라이빗 키가 있어야 합니다.
자격 증명 모음 이름 및 인증서 이름을 지정해야 합니다(정책은 선택 사항).
PEM/PFX 파일에는 KV가 인증서 정책을 채우는 데 구문 분석하고 사용할 수 있는 특성이 포함되어 있습니다. 인증서 정책이 이미 지정된 경우 KV는 PFX/PEM 파일의 데이터를 일치시키려고 시도합니다.
가져오기가 최종적이면 후속 작업에서 새 정책(새 버전)을 사용합니다.
추가 작업이 없는 경우 Key Vault에서 가장 먼저 수행하는 작업은 만료 알림을 보내는 것입니다.
또한 사용자는 가져올 때 작동하지만 가져올 때 정보가 지정되지 않은 기본값을 포함하는 정책을 편집할 수 있습니다. 예: 발급자 정보 없음
지원되는 가져오기 형식
Azure Key Vault는 인증서를 Key Vault로 가져오기 위한 .pem 및 .pfx 인증서 파일을 지원합니다. PEM용 가져오기 파일 형식은 다음과 같습니다. PKCS#8로 인코딩된 암호화되지 않은 키와 함께 단일 PEM 인코딩된 인증서는 다음과 같은 형식입니다.
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----시작 프라이빗 키-----
-----끝 프라이빗 키-----
인증서를 가져올 때 키가 파일 자체에 포함되어 있는지 확인해야 합니다. 프라이빗 키가 다른 형식으로 별도로 있는 경우 키를 인증서와 결합해야 합니다. 일부 인증 기관은 인증서를 가져오기 전에 다른 형식으로 인증서를 제공하므로 .pem 또는 .pfx 형식인지 확인합니다.
비고
인증서 파일에 다른 메타 데이터가 없고 프라이빗 키가 암호화된 것으로 표시되지 않는지 확인합니다.
지원되는 병합 CSR의 형식
Azure Key Vault는 아래 헤더를 사용하여 PKCS#8로 인코딩된 인증서를 지원합니다.
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
비고
P7B(PKCS#7) 서명된 인증서 체인(일반적으로 CA(인증 기관)에서 사용됨)은 base64로 인코딩되는 한 지원됩니다. certutil -encode를 사용하여 지원되는 형식으로 변환할 수 있습니다.
Key Vault와 파트너 관계를 맺고 있지 않은 CA를 사용하여 인증서 만들기
이 방법을 사용하면 Key Vault의 파트너 공급자가 아닌 다른 CA로 작업할 수 있습니다. 즉, 조직에서 선택한 CA와 함께 작업할 수 있습니다.
다음 단계 설명은 이전 다이어그램의 녹색 문자로 된 단계에 해당합니다.
위의 다이어그램에서 애플리케이션은 인증서를 만들기 위해 먼저 키 보관소에 키를 생성합니다.
(2) - Key Vault는 애플리케이션에 CSR(인증서 서명 요청)을 반환합니다.
(3) - 애플리케이션이 선택한 CA에 CSR을 전달합니다.
(4) - 선택한 CA가 X509 인증서로 응답합니다.
(5) - 애플리케이션이 CA에서 X509 인증서를 병합하여 새 인증서 만들기를 완료합니다.