Tanya Jawab Umum Mengimpor sertifikat Azure Key Vault

Untuk pengoperasian impor sertifikat, Azure Key Vault menerima dua format file sertifikat: PEM dan PFX. Meski ada file PEM hanya dengan bagian publik, Key Vault hanya memerlukan dan hanya menerima file PEM atau PFX dengan kunci privat. Untuk informasi selengkapnya, lihat Mengimpor sertifikat ke Key Vault.

Setelah sertifikat diimpor dan dilindungi di Key Vault, kata sandi terkait tidak disimpan. Kata sandi hanya diperlukan sekali selama operasi impor. Ini sudah didesain, tetapi Anda selalu bisa mendapatkan sertifikat sebagai rahasia dan mengonversinya dari Base64 ke PFX dengan menambahkan kata sandi melalui Azure PowerShell.

Saat mengimpor sertifikat, Anda perlu memastikan bahwa kunci disertakan dalam file. Jika Anda memiliki kunci privat yang disimpan secara terpisah dalam format lain, Anda perlu menggabungkan kunci tersebut dengan sertifikat. Beberapa otoritas sertifikat (OS) menyediakan sertifikat dalam format lain. Oleh karena itu, sebelum Anda mengimpor sertifikat, pastikan sertifikat tersebut dalam format file PEM atau PFX dan kuncinya menggunakan enkripsi Rivest–Shamir–Adleman (RSA) atau kriptografi kurva-elipsis (ECC).

Untuk informasi selengkapnya, lihat persyaratan sertifikat dan persyaratan kunci sertifikat.

Tidak, tidak dimungkinkan untuk melakukan operasi sertifikat dengan menggunakan templat Azure Resource Manager (ARM). Solusi yang disarankan adalah menggunakan metode impor sertifikat di Azure API, Azure CLI, atau PowerShell. Jika Anda sudah memiliki sertifikat, Anda bisa mengimpornya sebagai rahasia.

Untuk melihat kesalahan deskriptif lainnya, impor file sertifikat menggunakan Azure CLI atau PowerShell.

Kesalahan menunjukkan bahwa sertifikat Anda mungkin terlalu panjang. Kesalahan tersebut mungkin menyertakan banyak sertifikat dalam satu file. Batas mutlak ini tidak dapat ditingkatkan. Solusinya adalah mempersingkat konten file sertifikat Anda agar selaras dengan batas ukuran kami.

Pengoperasian impor mengharuskan Anda memberikan izin kepada pengguna untuk mengimpor sertifikat berdasarkan kebijakan akses. Untuk melakukannya, buka brankas kunci Anda, pilih Kebijakan akses>Tambahkan Kebijakan Akses>Pilih Izin Sertifikat>Utama, cari pengguna dan kemudian tambahkan alamat email pengguna.

Untuk informasi selengkapnya tentang kebijakan akses terkait sertifikat, lihat Tentang sertifikat Azure Key Vault.

Setiap nama sertifikat harus unik. Sertifikat dengan nama yang sama mungkin dalam status dihapus sementara. Juga, menurut komposisi sertifikat, ketika sertifikat baru dibuat, sertifikat tersebut akan membuat rahasia yang dapat disebut dengan nama yang sama sehingga jika ada kunci atau rahasia lain di brankas kunci dengan nama yang sama dengan yang Anda coba tentukan untuk sertifikat Anda, pembuatan sertifikat akan gagal dan Anda harus menghapus kunci atau rahasia itu atau menggunakan nama yang berbeda untuk sertifikat Anda.

Untuk informasi selengkapnya, lihat Mendapatkan operasi Sertifikat yang Terhapus.

Kesalahan ini dapat disebabkan oleh salah satu dari dua sebab:

• Nama subjek sertifikat dibatasi hingga 200 karakter.
• Kata sandi sertifikat dibatasi hingga 200 karakter.

Verifikasi bahwa konten dalam file PEM menggunakan pemisah baris gaya UNIX (\n)

Tidak, sertifikat PFX yang kedaluwarsa tidak dapat diimpor ke Key Vault.

Anda dapat meminta OS Anda untuk memberikan sertifikat dalam format yang diperlukan. Ada juga alat pihak ketiga yang dapat membantu Anda mengonversi sertifikat ke format yang tepat.

Ya, Anda dapat mengimpor sertifikat dari OS, tetapi brankas kunci Anda tidak akan dapat memperbaruinya secara otomatis. Anda dapat mengatur pengingat untuk diberi tahu tentang masa kedaluwarsa sertifikat.

Ya. Setelah Anda mengunggah sertifikat, pastikan untuk menentukan rotasi otomatis dalam kebijakan penerbitan sertifikat. Pengaturan Anda akan tetap berlaku hingga siklus atau versi sertifikat berikutnya dirilis.

Jika Anda berhasil mengimpor sertifikat, Anda harus bisa mengonfirmasinya dengan masuk ke panel Rahasia.

Otoritas Sertifikat dapat memberikan opsi untuk mengunduh sertifikat secara individual (root, intermediate, leaf) atau mengunduh semuanya dalam satu file. Saat Anda mengimpor sertifikat ke Key Vault, Otoritas Sertifikat memungkinkan Anda mengimpor satu atau seluruh rantai.

Buka Operasi Sertifikat dan lihat pesan kesalahan sertifikat.

Buka bagian 'Kebijakan Tingkat Lanjut' pada sertifikat dan periksa apakah opsi 'gunakan kembali kunci pada pembaruan' dinonaktifkan.

Buat sertifikat yang ditandatangani sendiri dengan validitas satu bulan, kemudian atur tindakan masa berlaku untuk rotasi pada 1%. Anda harus bisa melihat riwayat versi sertifikat yang dibuat selama beberapa hari ke depan.

Ya, tag direplikasi setelah perpanjangan otomatis.

Ya, meskipun itu tergantung pada cara Anda mengonfigurasi akun DigiCert Anda.

Key Vault mendukung pembuatan sertifikat OV dan EV SSL. Saat Anda membuat sertifikat, pilih Konfigurasi Kebijakan Tingkat Lanjut, lalu tentukan jenis sertifikat. Nilai yang didukung: OV-SSL, EV-SSL

Anda dapat membuat jenis sertifikat ini dalam Key Vault jika akun DigiCert memungkinkannya. Untuk jenis sertifikat ini, validasi dilakukan oleh DigiCert. Jika validasi gagal, tim dukungan DigiCert dapat membantu. Anda dapat menambahkan informasi saat membuat sertifikat dengan menentukan informasi di subjectName.

Sebagai contoh: SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US".

Tidak. Saat Anda membuat sertifikat, proses verifikasi mungkin membutuhkan waktu. DigiCert mengontrol proses itu.

Langkah berikutnya

• Sertifikat Azure Key Vault