• 允许证书所有者通过密钥保管库创建过程或通过导入现有证书来创建证书。 包括自签名证书和证书颁发机构生成的证书。
• 允许密钥保管库证书所有者在不与私钥材料交互的情况下实现 X509 证书的安全存储和管理。
• 允许证书所有者创建策略来指示密钥保管库如何管理证书的生命周期。
• 允许证书所有者提供联系信息用于接收有关证书过期和续订生命周期事件的通知。
• 支持在选定的颁发者（密钥保管库合作伙伴 X509 证书提供者/证书颁发机构）处自动续订证书。

参考文档（https://docs.microsoft.com/zh-cn/azure/key-vault/certificates/certificate-scenarios#creating-your-first-key-vault-certificate ）创建第一个Key Vault证书时候，如果选择自签名证书，是否需要CA provider 呢？是否需要执行这步骤1和2呢？

在Azure Key Vault中创建自签名证书时，不需要CA Provider。只需要在Subject 输入正确的CN=<域名信息>即可，操作非常简单。如下图：

可以按照 “分配 Key Vault 访问策略 （https://docs.microsoft.com/zh-cn/azure/key-vault/general/assign-access-policy?tabs=azure-portal,）”中的步骤完成对AAD的注册应用进行访问授权， 除了使用Access Policy（访问策略）外，还可以使用 Azure RBAC， 参考文章 “使用 Azure 基于角色的访问控制提供对 Key Vault 密钥、证书和机密的访问权限 （https://docs.microsoft.com/zh-cn/azure/key-vault/general/rbac-guide?tabs=azure-cli）” 即可。