En este artículo se responde a las preguntas frecuentes sobre los certificados de Azure Key Vault.
Importación de certificados de Azure Key Vault
¿Cómo importo un certificado en Azure Key Vault?
En la operación de importación de certificados, Azure Key Vault acepta dos formatos de archivo de certificado: PEM y PFX. Aunque hay archivos PEM que contienen solo la parte pública, Key Vault requiere y acepta únicamente un archivo PEM o PFX con una clave privada. Para más información, consulte Importación de un certificado en Key Vault.
Después de importar un certificado protegido por contraseña a Key Vault y luego descargarlo, ¿por qué se ve la contraseña que tiene asociada?
Una vez que se ha importado y protegido un certificado en Key Vault, su contraseña asociada no se guarda. La contraseña solo es necesaria una vez durante la operación de importación. Aunque se trata de una decisión intencionada, siempre puede obtener el certificado como secreto y convertirlo de Base64 a PFX y agregar la contraseña mediante Azure PowerShell.
¿Cómo se puede resolver un error de "parámetro incorrecto"? ¿Cuáles son los formatos de certificado admitidos para la importación en Key Vault?
Al importar un certificado, debe asegurarse de que la clave esté incluida en el archivo. Si tiene una clave privada almacenada por separado en un formato diferente, debe combinar la clave con el certificado. Algunas entidades de certificación (CA) proporcionan certificados en otros formatos. Por lo tanto, antes de importar el certificado, asegúrese de que se encuentra en formato de archivo PEM o PFX y de que la clave usa el cifrado de Rivest, Shamir y Adleman (RSA) o de criptografía de curva elíptica (ECC).
Para más información, consulte los requisitos de certificado y los requisitos de clave de certificado.
¿Se puede importar un certificado mediante una plantilla de ARM?
No, no es posible realizar operaciones de certificado mediante una plantilla de Azure Resource Manager (ARM). La solución alternativa recomendada sería usar los métodos de importación de certificados en Azure API, la CLI de Azure o PowerShell. Si ya tiene un certificado, puede importarlo como secreto.
Al importar un certificado a través de Azure Portal, aparece el error "Hubo un problema". ¿Cómo puedo investigar más?
Para ver un error más descriptivo, importe el archivo de certificado mediante la CLI de Azure o PowerShell.
Al importar un certificado a través del Azure Portal, aparece el error "El tamaño del certificado X.509 es excesivo". ¿Cuál debo hacer?
El error indica que el certificado puede que sea demasiado largo, podría incluir muchos certificados en un único archivo. Se trata de un límite rígido y, por consiguiente, no se puede aumentar. La solución es acortar el contenido del archivo de certificado para que se ajuste al límite de nuestro tamaño.
¿Cómo se resuelve este error? "Tipo de error: Acceso denegado o usuario no autorizado para importar el certificado"
La operación de importación requiere la concesión de permisos de usuario para importar el certificado en las directivas de acceso. Para ello, vaya al almacén de claves, seleccione Directivas de acceso>Agregar directiva de acceso>Select Certificate Permissions (Seleccionar permisos de certificado) >Entidad de seguridad, busque el usuario y, a continuación, agregue su dirección de correo electrónico.
Para más información sobre las directivas de acceso relacionadas con los certificados, consulte Acerca de los certificados de Azure Key Vault.
¿Cómo se resuelve este error? "Tipo de error: Conflicto al crear un certificado"
El nombre de cada certificado debe ser único. Un certificado con el mismo nombre podría estar en un estado de eliminación temporal. Además, según la composición de un certificado, cuando se crea un certificado, se crea un secreto direccionable con el mismo nombre, por lo que, si hay otra clave o secreto en el almacén de claves con el mismo nombre que el que intenta especificar para el certificado, no se podrá crear este y deberá quitar esa clave o secreto o usar un nombre diferente para él.
Para más información, consulte Operación de obtención de certificado eliminado.
¿Cómo se resuelve este error? "Tipo de error: Longitud de caracteres demasiado larga"
Este error puede deberse a dos razones:
- El nombre del firmante del certificado está limitado a 200 caracteres.
- La contraseña del certificado está limitada a 200 caracteres.
¿Cómo se resuelve este error? "El contenido del certificado PEM X.509 especificado tiene un formato inesperado. Compruebe si el certificado tiene un formato PEM válido".
Compruebe que el contenido del archivo PEM use separadores de líneas de estilo UNIX (\n).
¿Se puede importar un certificado expirado en Azure Key Vault?
No, los certificados PFX expirados no se pueden importar a Key Vault.
¿Cómo se puede convertir el certificado al formato adecuado?
Puede pedir a la entidad de certificación que proporcione el certificado en el formato necesario. También hay herramientas de terceros que pueden ayudarle a convertir el certificado al formato adecuado.
¿Puedo importar certificados de entidades de certificación no asociadas?
Sí, puede importar certificados desde cualquier entidad de certificación, pero el almacén de claves no podrá renovarlos automáticamente. Puede establecer avisos para recibir notificaciones sobre la expiración del certificado.
Si se importa un certificado de una entidad de certificación asociada, ¿seguirá funcionando la característica de renovación automática?
Sí. Una vez cargado el certificado, asegúrese de especificar la rotación automática en la directiva de emisión del certificado. La configuración permanecerá en vigor hasta que se publique el siguiente ciclo o versión de certificado.
¿Por qué no se puede ver el certificado de App Service que se importó a Key Vault?
Si ha importado el certificado correctamente, debería poder confirmarlo en el panel Secretos.
¿Cómo se combinan certificados en un mismo archivo .PEM o .PFX para importar todo el conjunto de certificados a Key Vault?
Las autoridades de certificación pueden ofrecer la opción de descargar los certificados individualmente (raíz, intermedios o de hoja) o descargarlos todos en un solo archivo. Al importar certificados en Key Vault, las entidades de certificación le permiten importar uno o toda una cadena.
Renovación de los certificados de Azure Key Vault
¿Qué ocurre si el certificado emitido está en estado *deshabilitado* en Azure Portal?
Vaya a Operación de certificado y vea el mensaje de error del certificado.
¿Cómo se resuelve este problema? "The CSR used to get your certificate has already been used. Please try to generate a new certificate with a new CSR." (El CSR usado para obtener el certificado ya se ha usado. Intente generar un nuevo certificado con un nuevo CSR).
Vaya a la sección "Directiva avanzada" del certificado y compruebe si la opción reuse key on renewal (usar clave al renovar) está desactivada.
¿Cómo se puede probar la característica de rotación automática del certificado?
Cree un certificado autofirmado con una validez de un mes y, a continuación, establezca la acción de duración para la rotación en 1%. Debería poder ver el historial de versiones del certificado que se va a crear en los próximos días.
¿Se replicarán las etiquetas después de la renovación automática del certificado?
Sí, las etiquetas se replican después de la renovación automática.
Integración de Key Vault con las entidades de certificación integradas
¿Puedo generar un certificado comodín de DigiCert mediante KeyVault?
Sí, aunque depende de cómo haya configurado la cuenta de DigiCert.
¿Cómo puedo crear un certificado OV SSL o EV SSL con DigiCert?
Key Vault admite la creación de certificados OV SSL y EV SSL. Al crear un certificado, seleccione Configuración de directiva avanzada y, a continuación, especifique el tipo de certificado. Valores admitidos: OV-SSL, EV-SSL
Puede crear este tipo de certificado en Key Vault si la cuenta de DigiCert lo permite. Para este tipo de certificado, DigiCert realiza la validación. Si se produce un error en la validación, el equipo de soporte técnico de DigiCert puede ayudarle. Puede agregar información al crear un certificado definiendo la información en subjectName.
Por ejemplo: SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US".
¿Se tarda más tiempo en crear un certificado de DigiCert a través de la integración que en adquirirlo directamente de DigiCert?
No. Al crear un certificado, el proceso de comprobación puede tardar tiempo. DigiCert controla ese proceso.