我們擁有Azure KeyVault不支持的CA.我們使用KeyVault創建了證書和CSR,並將它們成功提交給CA並導入簽名證書。我們現在有一些證書可以在我們使用KeyVault之前進行更新。我們的安全團隊已經獲得了由CA頒發的新簽名證書。但是,當我們導入原始簽名的證書和私鑰(pfx格式),然後嘗試導入新的簽名證書時,它會失敗,並顯示「未找到待定證書」。將這些證書帶入KeyVault的正確順序是什麼?如何手動更新AzureKeyValut中的證書
因此,關閉上面的評論我能夠得到這個工作。
#Password for the pfx file of the original cert
$password = ConvertTo-SecureString -String '<UPDATETHIS>' -AsPlainText -Force
#import the orginal cert with private key
Import-AzureKeyVaultCertificate -VaultName 'VaultName' -Name 'Certname' -FilePath 'PATHTOPFXFILE' -Password $password
#set the policy to allow key reuse if the CA will create a new signed cert from the existing CSR
Set-AzureKeyVaultCertificatePolicy -VaultName 'VaultName' -Name 'Certname' -ReuseKeyOnRenewal $true
#create a cert policy object from the existing cert
$certpolicy = Get-AzureKeyVaultCertificatePolicy -VaultName 'VaultName' -Name 'Certname'
#create a pending cert operation, you can pull a new CSR from this if need be
$certificateOperation = Add-AzureKeyVaultCertificate -VaultName 'VaultName' -Name 'Certname' -CertificatePolicy $certpolicy
#import the new signed cert into KeyVault for issuing
Import-AzureKeyVaultCertificate -VaultName 'VaultName' -Name 'Certname' -FilePath 'PATHTONEWSIGNEDCERTINCRT'
Azure密鑰保險庫證書是一個版本化對象。當你創建一個新的證書時,你正在創建一個新的版本。證書的每個版本在概念上由2部分組成 - 非對稱密鑰和將非對稱密鑰與身份相關聯的blob。
當您需要使用您自己的CA時,AKV會生成非對稱密鑰並將CSR返回給用戶。用戶然後使用CSR獲取證書。對於證書的每個版本都是如此。
如果您當前的版本過期,您需要創建一個新版本。您需要按照創建第一個版本時的步驟進行操作。創建新版本時,您可以選擇使用相同的非對稱密鑰。
這與第一個版本的差異是在KeyVault證書存在之前創建的。所以我不能遵循同樣的過程。我看到的唯一選項是1)使用OpenSSL將私鑰與新簽名的證書相結合,然後導入新的pfx作爲更新的版本,或2)讓KeyVault頒發新的CSR並將其提交給CA以生成新的簽名證書。 –