編集

次の方法で共有


Azure Key Vault 証明書のインポートに関する FAQ

この記事では、Azure Key Vault 証明書に関してよく寄せられる質問にお答えします。

Azure Key Vault 証明書をインポートする

Azure Key Vault に証明書をインポートするには、どうすればよいですか?

証明書インポート操作の場合、Azure Key Vault では次の 2 つの証明書ファイル形式が受け付けられます: PEM と PFX。 公開部分のみの PEM ファイルがありますが、Azure Key Vault では、秘密キーを含む PEM または PFX ファイルが必要であり、それだけが受け付けられます。 詳細については、「証明書を Key Vault にインポートする」を参照してください。

パスワードで保護された証明書を Key Vault にインポートした後、それをダウンロードすると、それに関連付けられているパスワードが表示されないのはなぜですか?

証明書が Key Vault にインポートされて保護された後は、関連付けられているパスワードは保存されません。 パスワードは、インポート操作の間に 1 回だけ必要です。 これは設計によるものですが、いつでも証明書をシークレットとして取得し、Azure PowerShell を使用してパスワードを追加することにより、Base64 から PFX に変換することができます。

"パラメーターが正しくありません" というエラーを解決するにはどうすればよいですか? Key Vault にインポートに対してサポートされている証明書の形式は何ですか?

証明書をインポートするときは、キーがファイルに含まれていることを確認する必要があります。 秘密キーが異なる形式で別に格納されている場合は、キーと証明書を組み合わせる必要があります。 証明機関 (CA) によっては、他の形式で証明書が提供される場合があります。 そのため、証明書をインポートする前に、それが PEM または PFX ファイル形式であること、およびキーで Rivest–Shamir–Adleman (RSA) または楕円曲線暗号 (ECC) のいずれかの暗号化が使用されていることを確認してください。

詳細については、証明書の要件および証明書キーの要件に関する記事を参照してください。

ARM テンプレートを使用して証明書をインポートできますか?

いいえ。Azure Resource Manager (ARM) テンプレートを使用して証明書の操作を実行することはできません。 推奨される回避策は、Azure API、Azure CLI、または PowerShell での証明書インポート方法を使用することです。 既存の証明書がある場合は、それをシークレットとしてインポートできます。

Azure portal を使用して証明書をインポートすると、"問題が発生しました" というエラーが発生します。 詳しく調査するにはどうすればよいですか?

さらにわかりやすいエラーを表示するには、Azure CLI または PowerShell を使用して証明書ファイルをインポートします。

Azure portal を使用して証明書をインポートすると、"X.509 証明書のサイズが長すぎます" というエラーが表示されます。 どうすればよいですか。

このエラーは、証明書が長すぎる可能性があること、1 つのファイルに多数の証明書が含まれている可能性があることを示しています。 これは、増やすことができないハード制限です。 解決策は、サイズの制限に合うように証明書ファイルの内容を短くすることです。

このエラーを解決するにはどうすればよいですか? エラーの種類:アクセスが拒否されたか、ユーザーに証明書をインポートする権限がない

インポート操作では、証明書をインポートするためのアクセス許可を、アクセス ポリシーでユーザーに付与する必要があります。 これを行うには、キーコンテナーに移動し、 [アクセス ポリシー]>[アクセス ポリシーの追加]>[Select Certificate Permissions](証明書のアクセス許可の選択)>[プリンシパル] を選択して、ユーザーを検索し、ユーザーのメール アドレスを追加します。

証明書関連のアクセス ポリシーの詳細については、「Azure Key Vault の証明書について」を参照してください。

このエラーを解決するにはどうすればよいですか? エラーの種類: 証明書の作成時に競合する

各証明書の名前は、一意でなければなりません。 同じ名前の証明書が、論理的に削除された状態になっている可能性があります。 また、証明書の構成に従うと、新しい証明書の作成時に、同じ名前を持つアドレス指定可能なシークレットが作成されます。このため、証明書に指定しようとしているのと同じ名前を持つ別のキーまたはシークレットがキー コンテナーに存在する場合は、証明書の作成が失敗し、そのキーまたはシークレットを削除するか、証明書に別の名前を使用する必要があります。

詳細については、削除された証明書の取得操作に関する記事を参照してください。

このエラーを解決するにはどうすればよいですか? "エラーの種類: 文字の長さが長すぎる が返される"

このエラーは次の 2 つの理由により発生する場合があります。

  • 証明書のサブジェクト名は、200 文字までに制限されています。
  • 証明書のパスワードは、200 文字までに制限されています。

このエラーを解決するにはどうすればよいですか? "指定された PEM X.509 証明書の内容は、予期しない形式です。 証明書が有効な PEM 形式かどうかをご確認ください"。

PEM ファイルのコンテンツが UNIX スタイルの行区切り記号 (\n) を使用していることを確認してください。

有効期限が切れた証明書を Azure Key Vault にインポートできますか?

いいえ、期限切れの PFX 証明書を Key Vault にインポートすることはできません。

証明書を適切な形式に変換するには、どうすればよいですか?

CA に対して、必要な形式で証明書を提供するように依頼できます。 また、証明書を適切な形式に変換するのに役立つサードパーティ製のツールもあります。

パートナー以外の CA から証明書をインポートできますか?

はい、任意の CA から証明書をインポートできますが、キー コンテナーでそれらを自動的に更新することはできません。 証明書の期限切れが通知されるようにリマインダーを設定できます。

パートナーの CA から証明書をインポートした場合、自動更新機能は引き続き機能しますか?

はい。 証明書をアップロードした後、証明書の発行ポリシーで自動ローテーションを指定してください。 設定は、次のサイクルまたは証明書のバージョンがリリースされるまで有効です。

Key Vault にインポートした App Service 証明書を表示できないのはなぜですか?

証明書を正常にインポートした場合は、 [シークレット] ペインに移動して確認できます。

1 つの .PEM または .PFX ファイルに証明書をまとめ、証明書バンドル全体をキー コンテナーにインポートするにはどうすればよいですか。

証明書機関は、証明書を個別にダウンロードするか (ルート、中間、リーフ)、まとめて 1 つのファイルでダウンロードする選択肢を提供することがあります。 証明書をキー コンテナーにインポートする場合、証明機関では、1 つまたはチェーン全体をインポートできます。

Azure Key Vault の証明書の更新

発行された証明書が Azure portal で *無効* 状態であった場合はどうなりますか?

[証明書の操作] に移動し、証明書のエラー メッセージを表示します。

このエラーを解決するにはどうすればよいですか? "証明書の取得に使用された CSR は既に使用されています。 Please try to generate a new certificate with a new CSR. (新しい CSR で新しい証明書を生成してください。)"

証明書の [Advanced Policy](詳細ポリシー) セクションに移動し、 [reuse key on renewal](更新時にキーを再利用する) オプションがオフになっているかどうかを確認します。

証明書の自動ローテーション機能をテストするにはどうすればよいですか?

1 か月の有効期限で自己署名証明書を作成してから、ローテーションの有効期間アクションを 1% に設定します。 その後数日間にわたって、作成される証明書のバージョン履歴を表示できるようになります。

証明書の自動更新後にタグはレプリケートされますか?

はい。タグは自動更新後にレプリケートされます。

Key Vault と統合された証明書機関の統合

Key Vault を使用して DigiCert ワイルドカード証明書を生成できますか?

はい。ただし、DigiCert アカウントの構成方法に依存します。

DigiCert を使用して OV SSL または EV SSL 証明書を作成するには、どうすればよいですか?

Key Vault では、OV および EV SSL 証明書の作成がサポートされています。 証明書を作成するときに、 [ポリシーの詳細構成] を選択し、証明書の種類を指定します。 サポートされる値: OV-SSLEV-SSL

ご自分の DigiCert アカウントで許可している場合は、Key Vault にこの種類の証明書を作成できます。 この種類の証明書では、検証は DigiCert によって実行されます。 検証に失敗した場合は、DigiCert サポート チームにお問い合わせください。 subjectName に情報を定義すると、証明書を作成するときに情報を追加できます。

(例: SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US")。

統合により DigiCert 証明書を作成する方が、DigiCert から直接取得するよりも時間がかかりますか?

いいえ。 証明書を作成するとき、検証プロセスに時間がかかる場合があります。 プロセスは、DigiCert によって制御されます。

次のステップ