Azure Key Vault証明書のインポートに関する FAQ

この記事では、Azure Key Vault証明書に関してよく寄せられる質問に回答します。

Azure Key Vault証明書のインポート

Azure Key Vaultに証明書をインポートするにはどうすればよいですか?

証明書のインポート操作の場合、Azure Key Vaultは PEM と PFX の 2 つの証明書ファイル形式を受け入れます。 公開部分のみを含む PEM ファイルがありますが、Key Vaultは秘密キーを持つ PEM または PFX ファイルのみを必要とし、受け入れます。 詳細については、「証明書を Key Vaultを参照してください。

パスワードで保護された証明書をKey Vaultにインポートしてダウンロードした後、関連付けられているパスワードが表示されないのはなぜですか?

証明書をインポートしてKey Vaultで保護すると、関連付けられているパスワードは保存されません。 パスワードは、インポート操作の間に 1 回だけ必要です。 これは仕様ですが、Azure PowerShell に変換できます。

"パラメーターが正しくありません" というエラーを解決するにはどうすればよいですか? Key Vaultにインポートするためにサポートされている証明書形式は何ですか?

証明書をインポートするときは、キーがファイルに含まれていることを確認する必要があります。 秘密キーが異なる形式で別に格納されている場合は、キーと証明書を組み合わせる必要があります。 証明機関 (CA) によっては、他の形式で証明書が提供される場合があります。 そのため、証明書をインポートする前に、それが PEM または PFX ファイル形式であること、およびキーで Rivest–Shamir–Adleman (RSA) または楕円曲線暗号 (ECC) のいずれかの暗号化が使用されていることを確認してください。

詳細については、証明書の要件および証明書キーの要件に関する記事を参照してください。

ARM テンプレートを使用して証明書をインポートできますか?

いいえ、Azure Resource Manager (ARM) テンプレートを使用して証明書操作を実行することはできません。 推奨される回避策は、Azure API、Azure CLI、または PowerShell で証明書のインポート方法を使用することです。 既存の証明書がある場合は、それをシークレットとしてインポートできます。

Azure ポータルから証明書をインポートすると、"問題が発生しました" というエラーが表示されます。 詳しく調査するにはどうすればよいですか?

よりわかりやすいエラーを表示するには、 Azure CLI または Azure PowerShell を使用して証明書ファイルをインポートします。

Azure ポータルから証明書をインポートすると、"X.509 証明書のサイズが長すぎます" というエラーが表示されます。 どうすればよいですか。

このエラーは、証明書が長すぎる可能性があること、1 つのファイルに多数の証明書が含まれている可能性があることを示しています。 これは、増やすことができないハード制限です。 解決策は、サイズの制限に合うように証明書ファイルの内容を短くすることです。

このエラーを解決するにはどうすればよいですか? エラーの種類:アクセスが拒否されたか、ユーザーに証明書をインポートする権限がない

インポート操作では、証明書をインポートするためのアクセス許可をユーザーに付与する必要があります。 Azure RBAC (推奨) を使用している場合は、Key Vault Certificates Officer ロールをユーザーに割り当てます。 アクセス ポリシー (レガシ) を使用している場合は、キー コンテナーに移動し、 アクセス ポリシー>アクセス ポリシーの追加>証明書のアクセス許可の選択>Principal を選択し、ユーザーを検索して、ユーザーのメール アドレスを追加します。

証明書関連のアクセス制御の詳細については、「about Azure Key Vault certificates」を参照してください。

このエラーを解決するにはどうすればよいですか? エラーの種類: 証明書の作成時に競合する

各証明書の名前は、一意でなければなりません。 同じ名前の証明書が、一時削除された状態になっている可能性があります。 また、証明書の構成に従うと、新しい証明書の作成時に、同じ名前を持つアドレス指定可能なシークレットが作成されます。このため、証明書に指定しようとしているのと同じ名前を持つ別のキーまたはシークレットがキー コンテナーに存在する場合は、証明書の作成が失敗し、そのキーまたはシークレットを削除するか、証明書に別の名前を使用する必要があります。

詳細については、削除された証明書の取得操作に関する記事を参照してください。

このエラーを解決するにはどうすればよいですか? エラーの種類: 文字の長さが長すぎる

このエラーは次の 2 つの理由により発生する場合があります。

• 証明書のサブジェクト名は、200 文字までに制限されています。
• 証明書のパスワードは、200 文字までに制限されています。

このエラーを解決するにはどうすればよいですか? "指定された PEM X.509 証明書の内容は、予期しない形式です。 証明書が有効な PEM 形式かどうかをご確認ください"。

PEM ファイル内のコンテンツで UNIX スタイルの行区切り記号が使用されていることを確認する (\n)

期限切れの証明書をAzure Key Vaultにインポートできますか?

いいえ。期限切れの PFX 証明書をKey Vaultにインポートすることはできません。

証明書を適切な形式に変換するには、どうすればよいですか?

CA に対して、必要な形式で証明書を提供するように依頼できます。 また、証明書を適切な形式に変換するのに役立つサードパーティ製のツールもあります。

パートナー以外の CA から証明書をインポートできますか?

はい、任意の CA から証明書をインポートできますが、キー コンテナーでそれらを自動的に更新することはできません。 証明書の期限切れが通知されるようにリマインダーを設定できます。

パートナーの CA から証明書をインポートした場合、自動更新機能は引き続き機能しますか?

はい。 証明書をアップロードした後、証明書の発行ポリシーで自動ローテーションを指定してください。 設定は、次のサイクルまたは証明書のバージョンがリリースされるまで有効です。

Key Vaultにインポートした App Service 証明書が表示されないのはなぜですか?

証明書を正常にインポートした場合は、 [シークレット] ペインに移動して確認できます。

証明書を単一の .PEM または .PFX ファイルに結合する方法と、これにより証明書バンドル全体を Key Vault にインポートする方法はどうすればよいでしょうか。

証明機関は、証明書を個別にダウンロードするか (ルート、中間、リーフ)、またはすべての証明書を 1 つのファイルでダウンロードするオプションを提供できます。 証明書をKey Vaultにインポートする場合、証明機関を使用すると、1 つまたは 1 つのチェーン全体をインポートできます。

Azure Key Vault証明書を更新する

発行された証明書が Azure ポータルで *disabled* 状態になっている場合はどうなりますか?

[証明書の操作] に移動し、証明書のエラー メッセージを表示します。

このエラーを解決するにはどうすればよいですか? "証明書の取得に使用された CSR は既に使用されています。 Please try to generate a new certificate with a new CSR. (新しい CSR で新しい証明書を生成してください。)"

証明書の [Advanced Policy](詳細ポリシー) セクションに移動し、 [reuse key on renewal](更新時にキーを再利用する) オプションがオフになっているかどうかを確認します。

証明書の自動ローテーション機能をテストするにはどうすればよいですか?

1 か月の有効期限で自己署名証明書を作成してから、ローテーションの有効期間アクションを 1% に設定します。 その後数日間にわたって、作成される証明書のバージョン履歴を表示できるようになります。

証明書の自動更新後にタグはレプリケートされますか?

はい。タグは自動更新後にレプリケートされます。

統合証明機関とKey Vaultを統合する

Key Vaultを使用して DigiCert ワイルドカード証明書を生成できますか?

はい。ただし、DigiCert アカウントの構成方法に依存します。

DigiCert を使用して OV SSL または EV SSL 証明書を作成するには、どうすればよいですか?

Key Vaultでは、OV および EV SSL 証明書の作成がサポートされます。 証明書を作成するときに、 [ポリシーの詳細構成] を選択し、証明書の種類を指定します。 サポートされる値: OV-SSL、EV-SSL

DigiCert アカウントで許可されている場合は、Key Vaultでこの種類の証明書を作成できます。 この種類の証明書では、検証は DigiCert によって実行されます。 検証に失敗した場合は、DigiCert サポート チームにお問い合わせください。 subjectName に情報を定義すると、証明書を作成するときに情報を追加できます。

例: SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US"。

統合により DigiCert 証明書を作成する方が、DigiCert から直接取得するよりも時間がかかりますか?

いいえ。 証明書を作成するとき、検証プロセスに時間がかかる場合があります。 プロセスは、DigiCert によって制御されます。

次のステップ

• Azure Key Vault 証明書

この記事では、Azure Key Vault証明書に関してよく寄せられる質問に回答します。

証明書のインポート操作の場合、Azure Key Vaultは PEM と PFX の 2 つの証明書ファイル形式を受け入れます。 公開部分のみを含む PEM ファイルがありますが、Key Vaultは秘密キーを持つ PEM または PFX ファイルのみを必要とし、受け入れます。 詳細については、「証明書を Key Vaultを参照してください。

証明書をインポートしてKey Vaultで保護すると、関連付けられているパスワードは保存されません。 パスワードは、インポート操作の間に 1 回だけ必要です。 これは仕様ですが、Azure PowerShell に変換できます。

証明書をインポートするときは、キーがファイルに含まれていることを確認する必要があります。 秘密キーが異なる形式で別に格納されている場合は、キーと証明書を組み合わせる必要があります。 証明機関 (CA) によっては、他の形式で証明書が提供される場合があります。 そのため、証明書をインポートする前に、それが PEM または PFX ファイル形式であること、およびキーで Rivest–Shamir–Adleman (RSA) または楕円曲線暗号 (ECC) のいずれかの暗号化が使用されていることを確認してください。

詳細については、証明書の要件および証明書キーの要件に関する記事を参照してください。

いいえ、Azure Resource Manager (ARM) テンプレートを使用して証明書操作を実行することはできません。 推奨される回避策は、Azure API、Azure CLI、または PowerShell で証明書のインポート方法を使用することです。 既存の証明書がある場合は、それをシークレットとしてインポートできます。

よりわかりやすいエラーを表示するには、 Azure CLI または Azure PowerShell を使用して証明書ファイルをインポートします。

このエラーは、証明書が長すぎる可能性があること、1 つのファイルに多数の証明書が含まれている可能性があることを示しています。 これは、増やすことができないハード制限です。 解決策は、サイズの制限に合うように証明書ファイルの内容を短くすることです。

インポート操作では、証明書をインポートするためのアクセス許可をユーザーに付与する必要があります。 Azure RBAC (推奨) を使用している場合は、Key Vault Certificates Officer ロールをユーザーに割り当てます。 アクセス ポリシー (レガシ) を使用している場合は、キー コンテナーに移動し、 アクセス ポリシー>アクセス ポリシーの追加>証明書のアクセス許可の選択>Principal を選択し、ユーザーを検索して、ユーザーのメール アドレスを追加します。

証明書関連のアクセス制御の詳細については、「about Azure Key Vault certificates」を参照してください。

各証明書の名前は、一意でなければなりません。 同じ名前の証明書が、一時削除された状態になっている可能性があります。 また、証明書の構成に従うと、新しい証明書の作成時に、同じ名前を持つアドレス指定可能なシークレットが作成されます。このため、証明書に指定しようとしているのと同じ名前を持つ別のキーまたはシークレットがキー コンテナーに存在する場合は、証明書の作成が失敗し、そのキーまたはシークレットを削除するか、証明書に別の名前を使用する必要があります。

詳細については、削除された証明書の取得操作に関する記事を参照してください。

このエラーは次の 2 つの理由により発生する場合があります。

• 証明書のサブジェクト名は、200 文字までに制限されています。
• 証明書のパスワードは、200 文字までに制限されています。

PEM ファイル内のコンテンツで UNIX スタイルの行区切り記号が使用されていることを確認する (\n)

いいえ。期限切れの PFX 証明書をKey Vaultにインポートすることはできません。

CA に対して、必要な形式で証明書を提供するように依頼できます。 また、証明書を適切な形式に変換するのに役立つサードパーティ製のツールもあります。

はい、任意の CA から証明書をインポートできますが、キー コンテナーでそれらを自動的に更新することはできません。 証明書の期限切れが通知されるようにリマインダーを設定できます。

はい。 証明書をアップロードした後、証明書の発行ポリシーで自動ローテーションを指定してください。 設定は、次のサイクルまたは証明書のバージョンがリリースされるまで有効です。

証明書を正常にインポートした場合は、 [シークレット] ペインに移動して確認できます。

証明機関は、証明書を個別にダウンロードするか (ルート、中間、リーフ)、またはすべての証明書を 1 つのファイルでダウンロードするオプションを提供できます。 証明書をKey Vaultにインポートする場合、証明機関を使用すると、1 つまたは 1 つのチェーン全体をインポートできます。

[証明書の操作] に移動し、証明書のエラー メッセージを表示します。

証明書の [Advanced Policy](詳細ポリシー) セクションに移動し、 [reuse key on renewal](更新時にキーを再利用する) オプションがオフになっているかどうかを確認します。

1 か月の有効期限で自己署名証明書を作成してから、ローテーションの有効期間アクションを 1% に設定します。 その後数日間にわたって、作成される証明書のバージョン履歴を表示できるようになります。

はい。タグは自動更新後にレプリケートされます。

はい。ただし、DigiCert アカウントの構成方法に依存します。

Key Vaultでは、OV および EV SSL 証明書の作成がサポートされます。 証明書を作成するときに、 [ポリシーの詳細構成] を選択し、証明書の種類を指定します。 サポートされる値: OV-SSL、EV-SSL

DigiCert アカウントで許可されている場合は、Key Vaultでこの種類の証明書を作成できます。 この種類の証明書では、検証は DigiCert によって実行されます。 検証に失敗した場合は、DigiCert サポート チームにお問い合わせください。 subjectName に情報を定義すると、証明書を作成するときに情報を追加できます。

例: SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US"。

いいえ。 証明書を作成するとき、検証プロセスに時間がかかる場合があります。 プロセスは、DigiCert によって制御されます。

次のステップ

• Azure Key Vault 証明書