Key Vault と統合証明機関の統合

Azure Key Vault を使用すると、ネットワークのデジタル証明書を簡単にプロビジョニング、管理、デプロイし、アプリケーションのセキュリティで保護された通信を有効にすることができます。デジタル証明書は、電子トランザクションで ID の証明を確立する電子資格情報です。

Azure Key Vault は、次の証明機関と信頼できるパートナーシップを結びます。

Azure Key Vault ユーザーは、キーコンテナーから直接 DigiCert/GlobalSign 証明書を生成できます。 Key Vault のパートナーシップにより、DigiCert によって発行された証明書のエンドツーエンドの証明書ライフサイクル管理が保証されます。

証明書の一般的な情報については、 Azure Key Vault 証明書に関するページを参照してください。

Azure サブスクリプションをお持ちでない場合は、開始する前に無料アカウントを作成してください。

[前提条件]

この記事の手順を完了するには、次のものが必要です。

キーコンテナー。既存のキーコンテナーを使用することも、次のいずれかのクイックスタートの手順を実行して作成することもできます。
アクティブ化された DigiCert CertCentral アカウント。 CertCentral アカウントにサインアップします。
アカウントの管理者レベルのアクセス許可。

開始する前に

DigiCert

DigiCert CertCentral アカウントから次の情報があることを確認します。

CertCentral アカウント ID
組織 ID
API キー
アカウント識別子
アカウントのパスワード

GlobalSign

グローバル署名アカウントから次の情報があることを確認します。

アカウント識別子
アカウントのパスワード
管理者の名のファーストネーム
管理者の姓
管理者の電子メール
管理者の電話番号

Key Vault に証明機関を追加する

DigiCert CertCentral アカウントから上記の情報を収集した後、DigiCert をキーコンテナーの証明機関の一覧に追加できます。

Azure portal (DigiCert)

DigiCert 証明機関を追加するには、追加するキーコンテナーに移動します。
[Key Vault] プロパティページで、[ 証明書] を選択します。
[ 証明機関 ] タブを選択します。
[ 追加] を選択します。[
[ 証明機関の作成] で、次の値を入力します。
- 名前: 識別可能な発行者名。たとえば、 DigiCertCA です。
- プロバイダー: DigiCert。
- アカウント ID: DigiCert CertCentral アカウント ID。
- アカウントパスワード: DigiCert CertCentral アカウントで生成した API キー。
- 組織 ID: DigiCert CertCentral アカウントの組織 ID。
を選択してを作成します。

DigicertCA が証明機関の一覧に追加されました。

Azure portal (GlobalSign)

GlobalSign 証明機関を追加するには、追加するキーコンテナーに移動します。
[Key Vault] プロパティページで、[ 証明書] を選択します。
[ 証明機関 ] タブを選択します。
[ 追加:
[ 証明機関の作成] で、次の値を入力します。
- 名前: 識別可能な発行者名。たとえば、 GlobalSignCA です。
- プロバイダー: GlobalSign。
- アカウント ID: GlobalSign アカウント ID。
- アカウントパスワード: GlobalSign アカウントのパスワード。
- 管理者の名: グローバル署名アカウントの管理者の名。
- 管理者の姓: グローバル署名アカウントの管理者の姓。
- 管理者の電子メール: グローバル署名アカウントの管理者の電子メール。
- 管理者の電話番号: グローバル署名アカウントの管理者の電話番号。
を選択してを作成します。

GlobalSignCA が証明機関の一覧に追加されました。

Azure PowerShell

Azure PowerShell を使用して、コマンドまたはスクリプトを使用して Azure リソースを作成および管理できます。 Azure は、ブラウザーで Azure portal を介して使用できる対話型シェル環境である Azure Cloud Shell をホストします。

Azure PowerShell をローカルで使用する場合は、次のようにします。
- Az PowerShell モジュールの最新バージョンをインストールします。
- Connect-AzAccount コマンドレットを使用して、Azure アカウントに接続します。
Azure Cloud Shell を使用する場合は、次のようにします。
- 詳細については、Azure Cloud Shell の概要に関するページを参照してください。

New-AzResourceGroup を使用して Azure リソースグループを作成します。リソースグループとは、Azure リソースのデプロイと管理に使用する論理コンテナーです。
```
New-AzResourceGroup -Name ContosoResourceGroup -Location EastUS
```
一意の名前を持つキーコンテナーを作成します。ここでは、Contoso-Vaultname はキーボールトの名前です。
- コンテナー名: Contoso-Vaultname
- リソースグループ名: ContosoResourceGroup
- 場所: EastUS
```
New-AzKeyVault -Name 'Contoso-Vaultname' -ResourceGroupName 'ContosoResourceGroup' -Location 'EastUS'
```

DigiCert CertCentral アカウントから次の値の変数を定義します。

アカウント ID
組織 ID
API キー

$accountId = "myDigiCertCertCentralAccountID"
$org = New-AzKeyVaultCertificateOrganizationDetail -Id OrganizationIDfromDigiCertAccount
$secureApiKey = ConvertTo-SecureString DigiCertCertCentralAPIKey -AsPlainText –Force

発行者を設定します。そうすることで、Digicert がキーボールトの証明機関として追加されます。パラメーターの詳細を確認します。

Set-AzKeyVaultCertificateIssuer -VaultName "Contoso-Vaultname" -Name "TestIssuer01" -IssuerProvider DigiCert -AccountId $accountId -ApiKey $secureApiKey -OrganizationDetails $org -PassThru

証明書のポリシーを設定し、Key Vault で DigiCert から証明書を直接発行します。

$Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "TestIssuer01" -ValidityInMonths 12 -RenewAtNumberOfDaysBeforeExpiry 60
Add-AzKeyVaultCertificate -VaultName "Contoso-Vaultname" -Name "ExampleCertificate" -CertificatePolicy $Policy

これで、指定したキーコンテナー内の DigiCert 証明機関によって証明書が発行されます。

Troubleshoot

発行された証明書が Azure portal で無効になっている場合は、証明書の操作を表示して、証明書の DigiCert エラーメッセージを確認します。

[証明書の操作] タブを示すスクリーンショット。

エラーメッセージ: "この証明書要求を完了するには、マージを実行してください。"

証明機関によって署名された CSR をマージして、要求を完了します。 CSR のマージの詳細については、「CSR の作成とマージ」を参照してください。

詳細については、「 Key Vault REST API リファレンスの証明書操作」を参照してください。アクセス許可の確立の詳細については、「コンテナー - コンテナーの作成または更新とコンテナー - アクセスポリシーの更新」を参照してください。

次のステップ

フィードバック

このページはお役に立ちましたか?

Last updated on 2025-10-10