Q: パスワードで保護された証明書を Key Vault にインポートした後、それをダウンロードすると、それに関連付けられているパスワードが表示されないのはなぜですか?

証明書が Key Vault にインポートされて保護された後は、関連付けられているパスワードは保存されません。 パスワードは、インポート操作の間に 1 回だけ必要です。 これは設計によるものですが、いつでも証明書をシークレットとして取得し、 Azure PowerShell を使用してパスワードを追加することにより、Base64 から PFX に変換することができます。

Q: "パラメーターが正しくありません" というエラーを解決するにはどうすればよいですか? Key Vault にインポートに対してサポートされている証明書の形式は何ですか?

証明書をインポートするときは、キーがファイルに含まれていることを確認する必要があります。 秘密キーが異なる形式で別に格納されている場合は、キーと証明書を組み合わせる必要があります。 証明機関 (CA) によっては、他の形式で証明書が提供される場合があります。 そのため、証明書をインポートする前に、それが PEM または PFX ファイル形式であること、およびキーで Rivest–Shamir–Adleman (RSA) または楕円曲線暗号 (ECC) のいずれかの暗号化が使用されていることを確認してください。 詳細については、 証明書の要件 および 証明書キーの要件 に関する記事を参照してください。

Q: Azure portal を使用して証明書をインポートすると、"問題が発生しました" というエラーが発生します。 詳しく調査するにはどうすればよいですか?

さらにわかりやすいエラーを表示するには、 Azure CLI または PowerShell を使用して証明書ファイルをインポートします。

Q: このエラーを解決するにはどうすればよいですか? エラーの種類:アクセスが拒否されたか、ユーザーに証明書をインポートする権限がない

インポート操作では、証明書をインポートするためのアクセス許可を、アクセス ポリシーでユーザーに付与する必要があります。 これを行うには、キーコンテナーに移動し、 [アクセス ポリシー] > [アクセス ポリシーの追加] > [Select Certificate Permissions](証明書のアクセス許可の選択) > [プリンシパル] を選択して、ユーザーを検索し、ユーザーのメール アドレスを追加します。 証明書関連のアクセス ポリシーの詳細については、「 Azure Key Vault の証明書について 」を参照してください。

Q: このエラーを解決するにはどうすればよいですか? エラーの種類: 証明書の作成時に競合する

各証明書の名前は、一意でなければなりません。 同じ名前の証明書が、論理的に削除された状態になっている可能性があります。 また、 証明書の構成 に従うと、新しい証明書の作成時に、同じ名前を持つアドレス指定可能なシークレットが作成されます。このため、証明書に指定しようとしているのと同じ名前を持つ別のキーまたはシークレットがキー コンテナーに存在する場合は、証明書の作成が失敗し、そのキーまたはシークレットを削除するか、証明書に別の名前を使用する必要があります。 詳細については、 削除された証明書の取得操作 に関する記事を参照してください。

Q: このエラーを解決するにはどうすればよいですか? "指定された PEM X.509 証明書の内容は、予期しない形式です。 証明書が有効な PEM 形式かどうかをご確認ください"。

PEM ファイルのコンテンツが UNIX スタイルの行区切り記号 (\n) を使用していることを確認してください。

Question 1

Azure Key Vault に証明書をインポートするには、どうすればよいですか?

Accepted Answer

証明書インポート操作の場合、Azure Key Vault では次の 2 つの証明書ファイル形式が受け付けられます: PEM と PFX。公開部分のみの PEM ファイルがありますが、Azure Key Vault では、秘密キーを含む PEM または PFX ファイルが必要であり、それだけが受け付けられます。詳細については、「証明書を Key Vault にインポートする」を参照してください。

Question 2

パスワードで保護された証明書を Key Vault にインポートした後、それをダウンロードすると、それに関連付けられているパスワードが表示されないのはなぜですか?

Accepted Answer

証明書が Key Vault にインポートされて保護された後は、関連付けられているパスワードは保存されません。パスワードは、インポート操作の間に 1 回だけ必要です。これは設計によるものですが、いつでも証明書をシークレットとして取得し、Azure PowerShell を使用してパスワードを追加することにより、Base64 から PFX に変換することができます。

Question 3

"パラメーターが正しくありません" というエラーを解決するにはどうすればよいですか? Key Vault にインポートに対してサポートされている証明書の形式は何ですか?

Accepted Answer

証明書をインポートするときは、キーがファイルに含まれていることを確認する必要があります。秘密キーが異なる形式で別に格納されている場合は、キーと証明書を組み合わせる必要があります。証明機関 (CA) によっては、他の形式で証明書が提供される場合があります。そのため、証明書をインポートする前に、それが PEM または PFX ファイル形式であること、およびキーで Rivest–Shamir–Adleman (RSA) または楕円曲線暗号 (ECC) のいずれかの暗号化が使用されていることを確認してください。

詳細については、証明書の要件および証明書キーの要件に関する記事を参照してください。

Question 4

ARM テンプレートを使用して証明書をインポートできますか?

Accepted Answer

いいえ。Azure Resource Manager (ARM) テンプレートを使用して証明書の操作を実行することはできません。推奨される回避策は、Azure API、Azure CLI、または PowerShell での証明書インポート方法を使用することです。既存の証明書がある場合は、それをシークレットとしてインポートできます。

Question 5

Azure portal を使用して証明書をインポートすると、"問題が発生しました" というエラーが発生します。 詳しく調査するにはどうすればよいですか?

Accepted Answer

さらにわかりやすいエラーを表示するには、Azure CLI または PowerShell を使用して証明書ファイルをインポートします。

Question 6

Azure portal を使用して証明書をインポートすると、"X.509 証明書のサイズが長すぎます" というエラーが表示されます。 どうすればよいですか。

Accepted Answer

このエラーは、証明書が長すぎる可能性があること、1 つのファイルに多数の証明書が含まれている可能性があることを示しています。これは、増やすことができないハード制限です。解決策は、サイズの制限に合うように証明書ファイルの内容を短くすることです。

Question 7

このエラーを解決するにはどうすればよいですか? エラーの種類:アクセスが拒否されたか、ユーザーに証明書をインポートする権限がない

Accepted Answer

インポート操作では、証明書をインポートするためのアクセス許可を、アクセスポリシーでユーザーに付与する必要があります。これを行うには、キーコンテナーに移動し、 [アクセスポリシー]>[アクセスポリシーの追加]>[Select Certificate Permissions](証明書のアクセス許可の選択)>[プリンシパル] を選択して、ユーザーを検索し、ユーザーのメールアドレスを追加します。

証明書関連のアクセスポリシーの詳細については、「Azure Key Vault の証明書について」を参照してください。

Question 8

このエラーを解決するにはどうすればよいですか? エラーの種類: 証明書の作成時に競合する

Accepted Answer

各証明書の名前は、一意でなければなりません。同じ名前の証明書が、論理的に削除された状態になっている可能性があります。また、証明書の構成に従うと、新しい証明書の作成時に、同じ名前を持つアドレス指定可能なシークレットが作成されます。このため、証明書に指定しようとしているのと同じ名前を持つ別のキーまたはシークレットがキーコンテナーに存在する場合は、証明書の作成が失敗し、そのキーまたはシークレットを削除するか、証明書に別の名前を使用する必要があります。

詳細については、削除された証明書の取得操作に関する記事を参照してください。

Question 9

このエラーを解決するにはどうすればよいですか? "エラーの種類: 文字の長さが長すぎる が返される"

Accepted Answer

このエラーは次の 2 つの理由により発生する場合があります。

証明書のサブジェクト名は、200 文字までに制限されています。
証明書のパスワードは、200 文字までに制限されています。

Question 10

このエラーを解決するにはどうすればよいですか? "指定された PEM X.509 証明書の内容は、予期しない形式です。 証明書が有効な PEM 形式かどうかをご確認ください"。

Accepted Answer

PEM ファイルのコンテンツが UNIX スタイルの行区切り記号 ( ) を使用していることを確認してください。

Question 11

有効期限が切れた証明書を Azure Key Vault にインポートできますか?

Accepted Answer

いいえ、期限切れの PFX 証明書を Key Vault にインポートすることはできません。

Question 12

証明書を適切な形式に変換するには、どうすればよいですか?

Accepted Answer

CA に対して、必要な形式で証明書を提供するように依頼できます。また、証明書を適切な形式に変換するのに役立つサードパーティ製のツールもあります。

Question 13

パートナー以外の CA から証明書をインポートできますか?

Accepted Answer

はい、任意の CA から証明書をインポートできますが、キーコンテナーでそれらを自動的に更新することはできません。証明書の期限切れが通知されるようにリマインダーを設定できます。

Question 14

パートナーの CA から証明書をインポートした場合、自動更新機能は引き続き機能しますか?

Accepted Answer

はい。証明書をアップロードした後、証明書の発行ポリシーで自動ローテーションを指定してください。設定は、次のサイクルまたは証明書のバージョンがリリースされるまで有効です。

Question 15

Key Vault にインポートした App Service 証明書を表示できないのはなぜですか?

Accepted Answer

証明書を正常にインポートした場合は、 [シークレット] ペインに移動して確認できます。

Question 16

1 つの .PEM または .PFX ファイルに証明書をまとめ、証明書バンドル全体をキー コンテナーにインポートするにはどうすればよいですか。

Accepted Answer

証明書機関は、証明書を個別にダウンロードするか (ルート、中間、リーフ)、まとめて 1 つのファイルでダウンロードする選択肢を提供することがあります。証明書をキーコンテナーにインポートする場合、証明機関では、1 つまたはチェーン全体をインポートできます。

Question 17

発行された証明書が Azure portal で *無効* 状態であった場合はどうなりますか?

Accepted Answer

[証明書の操作] に移動し、証明書のエラーメッセージを表示します。

Question 18

このエラーを解決するにはどうすればよいですか? "証明書の取得に使用された CSR は既に使用されています。 Please try to generate a new certificate with a new CSR. (新しい CSR で新しい証明書を生成してください。)"

Accepted Answer

証明書の [Advanced Policy](詳細ポリシー) セクションに移動し、 [reuse key on renewal](更新時にキーを再利用する) オプションがオフになっているかどうかを確認します。

Question 19

証明書の自動ローテーション機能をテストするにはどうすればよいですか?

Accepted Answer

1 か月の有効期限で自己署名証明書を作成してから、ローテーションの有効期間アクションを 1% に設定します。その後数日間にわたって、作成される証明書のバージョン履歴を表示できるようになります。

Question 20

証明書の自動更新後にタグはレプリケートされますか?

Accepted Answer

はい。タグは自動更新後にレプリケートされます。

Question 21

Key Vault を使用して DigiCert ワイルドカード証明書を生成できますか?

Accepted Answer

はい。ただし、DigiCert アカウントの構成方法に依存します。

Question 22

DigiCert を使用して OV SSL または EV SSL 証明書を作成するには、どうすればよいですか?

Accepted Answer

Key Vault では、OV および EV SSL 証明書の作成がサポートされています。証明書を作成するときに、 [ポリシーの詳細構成] を選択し、証明書の種類を指定します。サポートされる値: OV-SSL、EV-SSL

ご自分の DigiCert アカウントで許可している場合は、Key Vault にこの種類の証明書を作成できます。この種類の証明書では、検証は DigiCert によって実行されます。検証に失敗した場合は、DigiCert サポートチームにお問い合わせください。 subjectName に情報を定義すると、証明書を作成するときに情報を追加できます。

(例: SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US")。

Question 23

統合により DigiCert 証明書を作成する方が、DigiCert から直接取得するよりも時間がかかりますか?

Accepted Answer

いいえ。証明書を作成するとき、検証プロセスに時間がかかる場合があります。プロセスは、DigiCert によって制御されます。

Azure Key Vault 証明書のインポートに関する FAQ

Azure Key Vault 証明書をインポートする

Azure Key Vault に証明書をインポートするには、どうすればよいですか?

パスワードで保護された証明書を Key Vault にインポートした後、それをダウンロードすると、それに関連付けられているパスワードが表示されないのはなぜですか?

"パラメーターが正しくありません" というエラーを解決するにはどうすればよいですか? Key Vault にインポートに対してサポートされている証明書の形式は何ですか?

ARM テンプレートを使用して証明書をインポートできますか?

Azure portal を使用して証明書をインポートすると、"問題が発生しました" というエラーが発生します。詳しく調査するにはどうすればよいですか?

Azure portal を使用して証明書をインポートすると、"X.509 証明書のサイズが長すぎます" というエラーが表示されます。どうすればよいですか。

このエラーを解決するにはどうすればよいですか? エラーの種類:アクセスが拒否されたか、ユーザーに証明書をインポートする権限がない

このエラーを解決するにはどうすればよいですか? エラーの種類: 証明書の作成時に競合する

このエラーを解決するにはどうすればよいですか? "エラーの種類: 文字の長さが長すぎるが返される"

このエラーを解決するにはどうすればよいですか? "指定された PEM X.509 証明書の内容は、予期しない形式です。証明書が有効な PEM 形式かどうかをご確認ください"。

有効期限が切れた証明書を Azure Key Vault にインポートできますか?

証明書を適切な形式に変換するには、どうすればよいですか?

パートナー以外の CA から証明書をインポートできますか?

パートナーの CA から証明書をインポートした場合、自動更新機能は引き続き機能しますか?

Key Vault にインポートした App Service 証明書を表示できないのはなぜですか?

1 つの .PEM または .PFX ファイルに証明書をまとめ、証明書バンドル全体をキーコンテナーにインポートするにはどうすればよいですか。

Azure Key Vault の証明書の更新

発行された証明書が Azure portal で無効状態であった場合はどうなりますか?

このエラーを解決するにはどうすればよいですか? "証明書の取得に使用された CSR は既に使用されています。 Please try to generate a new certificate with a new CSR. (新しい CSR で新しい証明書を生成してください。)"

証明書の自動ローテーション機能をテストするにはどうすればよいですか?

証明書の自動更新後にタグはレプリケートされますか?

Key Vault と統合された証明書機関の統合

Key Vault を使用して DigiCert ワイルドカード証明書を生成できますか?

DigiCert を使用して OV SSL または EV SSL 証明書を作成するには、どうすればよいですか?

統合により DigiCert 証明書を作成する方が、DigiCert から直接取得するよりも時間がかかりますか?

次のステップ

フィードバック

その他のリソース

Azure Key Vault 証明書のインポートに関する FAQ

Azure Key Vault 証明書をインポートする

Azure Key Vault に証明書をインポートするには、どうすればよいですか?

パスワードで保護された証明書を Key Vault にインポートした後、それをダウンロードすると、それに関連付けられているパスワードが表示されないのはなぜですか?

"パラメーターが正しくありません" というエラーを解決するにはどうすればよいですか? Key Vault にインポートに対してサポートされている証明書の形式は何ですか?

ARM テンプレートを使用して証明書をインポートできますか?

Azure portal を使用して証明書をインポートすると、"問題が発生しました" というエラーが発生します。 詳しく調査するにはどうすればよいですか?

Azure portal を使用して証明書をインポートすると、"X.509 証明書のサイズが長すぎます" というエラーが表示されます。 どうすればよいですか。

このエラーを解決するにはどうすればよいですか? エラーの種類:アクセスが拒否されたか、ユーザーに証明書をインポートする権限がない

このエラーを解決するにはどうすればよいですか? エラーの種類: 証明書の作成時に競合する

このエラーを解決するにはどうすればよいですか? "エラーの種類: 文字の長さが長すぎる が返される"

このエラーを解決するにはどうすればよいですか? "指定された PEM X.509 証明書の内容は、予期しない形式です。 証明書が有効な PEM 形式かどうかをご確認ください"。

有効期限が切れた証明書を Azure Key Vault にインポートできますか?

証明書を適切な形式に変換するには、どうすればよいですか?

パートナー以外の CA から証明書をインポートできますか?

パートナーの CA から証明書をインポートした場合、自動更新機能は引き続き機能しますか?

Key Vault にインポートした App Service 証明書を表示できないのはなぜですか?

1 つの .PEM または .PFX ファイルに証明書をまとめ、証明書バンドル全体をキー コンテナーにインポートするにはどうすればよいですか。

Azure Key Vault の証明書の更新

発行された証明書が Azure portal で *無効* 状態であった場合はどうなりますか?

このエラーを解決するにはどうすればよいですか? "証明書の取得に使用された CSR は既に使用されています。 Please try to generate a new certificate with a new CSR. (新しい CSR で新しい証明書を生成してください。)"

証明書の自動ローテーション機能をテストするにはどうすればよいですか?

証明書の自動更新後にタグはレプリケートされますか?

Key Vault と統合された証明書機関の統合

Key Vault を使用して DigiCert ワイルドカード証明書を生成できますか?

DigiCert を使用して OV SSL または EV SSL 証明書を作成するには、どうすればよいですか?

統合により DigiCert 証明書を作成する方が、DigiCert から直接取得するよりも時間がかかりますか?

次のステップ

フィードバック

その他のリソース

Azure portal を使用して証明書をインポートすると、"問題が発生しました" というエラーが発生します。詳しく調査するにはどうすればよいですか?

Azure portal を使用して証明書をインポートすると、"X.509 証明書のサイズが長すぎます" というエラーが表示されます。どうすればよいですか。

このエラーを解決するにはどうすればよいですか? "エラーの種類: 文字の長さが長すぎるが返される"

このエラーを解決するにはどうすればよいですか? "指定された PEM X.509 証明書の内容は、予期しない形式です。証明書が有効な PEM 形式かどうかをご確認ください"。

1 つの .PEM または .PFX ファイルに証明書をまとめ、証明書バンドル全体をキーコンテナーにインポートするにはどうすればよいですか。

発行された証明書が Azure portal で無効状態であった場合はどうなりますか?