In dit artikel vindt u antwoorden op veelgestelde vragen over Azure Key Vault-certificaten.
Azure Key Vault-certificaten importeren
Hoe kan ik een certificaat importeren in Azure Key Vault?
Voor een certificaatimportbewerking accepteert Azure Key Vault twee certificaatbestandsindelingen: PEM en PFX. Hoewel er PEM-bestanden zijn met alleen het openbare gedeelte, vereist en accepteert Key Vault alleen een PEM- of PFX-bestand met een persoonlijke sleutel. Zie Een certificaat importeren in Key Vault voor meer informatie.
Nadat ik een met een wachtwoord beveiligd certificaat in Key Vault heb geïmporteerd en vervolgens heb gedownload, waarom kan ik het wachtwoord niet zien dat eraan is gekoppeld?
Nadat een certificaat is geïmporteerd en beveiligd in Key Vault, wordt het bijbehorende wachtwoord niet opgeslagen. Het wachtwoord is slechts eenmaal vereist tijdens het importeren. Dit is standaard, maar u kunt het certificaat altijd als geheim ophalen en converteren van Base64 naar PFX door het wachtwoord toe te voegen via Azure PowerShell.
Hoe kan ik de fout 'Ongeldige parameter' oplossen? Wat zijn de ondersteunde certificaatindelingen voor importeren in Key Vault?
Wanneer u een certificaat importeert, moet u ervoor zorgen dat de sleutel is opgenomen in het bestand. Als u een persoonlijke sleutel afzonderlijk in een andere indeling hebt opgeslagen, moet u de sleutel combineren met het certificaat. Sommige certificeringsinstanties (CA's) bieden certificaten in andere indelingen. Voordat u het certificaat importeert, moet u ervoor zorgen dat het een PEM- of PFX-bestandsindeling heeft en dat de sleutel gebruikmaakt van ECC-versleuteling (Rivest-Shamir-Adleman) of ECC-versleuteling (elliptic-curve cryptography).
Zie certificaatvereisten en certificaatsleutelvereisten voor meer informatie.
Kan ik een certificaat importeren met behulp van een ARM-sjabloon?
Nee, het is niet mogelijk om certificaatbewerkingen uit te voeren met behulp van een ARM-sjabloon (Azure Resource Manager). Een aanbevolen tijdelijke oplossing is het gebruik van de certificaatimportmethoden in de Azure-API, de Azure CLI of PowerShell. Als u een bestaand certificaat hebt, kunt u het importeren als een geheim.
Wanneer ik een certificaat importeer via Azure Portal, krijg ik de foutmelding 'Er is iets misgegaan'. Hoe kan ik verder onderzoeken?
Als u een meer beschrijvende fout wilt weergeven, importeert u het certificaatbestand met behulp van de Azure CLI of PowerShell.
Wanneer ik een certificaat importeer via Azure Portal, krijg ik de foutmelding 'De grootte van het X.509-certificaat is te lang'. Wat moet ik doen?
De fout geeft aan dat uw certificaat mogelijk te lang is, het kan veel certificaten in één bestand bevatten. Dit is een vaste limiet die niet kan worden verhoogd. De oplossing is om de inhoud van het certificaatbestand in te korten, zodat deze overeenkomt met de limiet van onze grootte.
Hoe kan ik deze fout oplossen? 'Fouttype: toegang geweigerd of gebruiker is niet gemachtigd om certificaat te importeren'
Voor de importbewerking moet u de gebruikersmachtigingen verlenen om het certificaat te importeren onder het toegangsbeleid. Hiervoor gaat u naar uw sleutelkluis, selecteert u Toegangsbeleid>Toevoegen toegangsbeleid>, Principal voor certificaatmachtigingen>selecteren, zoekt u de gebruiker en voegt u vervolgens het e-mailadres van de gebruiker toe.
Zie Over Azure Key Vault-certificaten voor meer informatie over toegangsbeleid met betrekking tot certificaten.
Hoe kan ik deze fout oplossen? "Fouttype: Conflict bij het maken van een certificaat"
Elke certificaatnaam moet uniek zijn. Een certificaat met dezelfde naam heeft mogelijk de status Voorlopig verwijderd. Wanneer er een nieuw certificaat wordt gemaakt, wordt er ook een adresseerbaar geheim gemaakt met dezelfde naam, dus als er een andere sleutel of geheim in de sleutelkluis is met dezelfde naam als het certificaat dat u wilt opgeven, mislukt het maken van het certificaat en moet u die sleutel of het geheim verwijderen of een andere naam voor uw certificaat gebruiken.
Zie De bewerking Verwijderd certificaat ophalen voor meer informatie.
Hoe kan ik deze fout oplossen? "Fouttype: tekenlengte is te lang"
Deze fout kan worden veroorzaakt door een van de volgende twee redenen:
- De onderwerpnaam van het certificaat is beperkt tot 200 tekens.
- Het certificaatwachtwoord is beperkt tot 200 tekens.
Hoe kan ik deze fout oplossen? "De opgegeven PEM X.509-certificaatinhoud heeft een onverwachte indeling. Controleer of het certificaat een geldige PEM-indeling heeft.
Controleer of voor de inhoud in het PEM-bestand regelscheidingstekens in UNIX-stijl worden gebruikt (\n)
Kan ik een verlopen certificaat importeren in Azure Key Vault?
Nee, verlopen PFX-certificaten kunnen niet worden geïmporteerd in Key Vault.
Hoe kan ik mijn certificaat converteren naar de juiste indeling?
U kunt uw CA vragen het certificaat in de vereiste indeling op te geven. Er zijn ook hulpprogramma's van derden waarmee u het certificaat kunt converteren naar de juiste indeling.
Kan ik certificaten van niet-partner-CA's importeren?
Ja, u kunt certificaten importeren uit elke CERTIFICERINGsinstantie, maar uw sleutelkluis kan ze niet automatisch vernieuwen. U kunt herinneringen instellen om op de hoogte te worden gesteld van het verlopen van het certificaat.
Als ik een certificaat importeer van een partner-CA, werkt de functie autorenewal nog steeds?
Ja. Nadat u het certificaat hebt geüpload, moet u de automatischerotatie opgeven in het uitgiftebeleid van het certificaat. Uw instellingen blijven van kracht totdat de volgende cyclus of certificaatversie wordt uitgebracht.
Waarom zie ik het App Service-certificaat dat ik heb geïmporteerd in Key Vault niet?
Als u het certificaat hebt geïmporteerd, kunt u dit bevestigen door naar het deelvenster Geheimen te gaan.
Hoe kan ik certificaten in één combineren. PEM of . PFX-bestand als de volledige certificaatbundel is geïmporteerd in Key Vault?
Certificeringsinstanties kunnen de mogelijkheid bieden om certificaat afzonderlijk te downloaden (basiscertificaat, tussenliggend, bladblad) of om ze allemaal in één bestand te downloaden. Wanneer u certificaten importeert in Key Vault, kunt u met certificeringsinstanties een of een hele keten importeren.
Azure Key Vault-certificaten verlengen
Wat gebeurt er als het uitgegeven certificaat de status *uitgeschakeld* heeft in Azure Portal?
Ga naar Certificaatbewerking en bekijk het foutbericht van het certificaat.
Hoe kan ik deze fout oplossen? "De CSR die wordt gebruikt om uw certificaat op te halen, is al gebruikt. Probeer een nieuw certificaat te genereren met een nieuwe CSR.
Ga naar de sectie Geavanceerd beleid van het certificaat en controleer of de optie Opnieuw gebruiken bij verlenging is uitgeschakeld.
Hoe kan ik de functie voor het automatisch roteren van het certificaat testen?
Maak een zelfondertekend certificaat met een geldigheid van één maand en stel vervolgens de levensduuractie voor rotatie in op 1%. U moet de geschiedenis van de certificaatversie kunnen bekijken die in de komende dagen wordt gemaakt.
Worden de labels gerepliceerd als het certificaat automatisch is verlengd?
Ja, de labels worden na het verlengen gerepliceerd.
Key Vault integreren met geïntegreerde certificeringsinstanties
Kan ik een DigiCert-jokertekencertificaat genereren met Key Vault?
Ja, hoewel dit afhankelijk is van hoe u uw DigiCert-account hebt geconfigureerd.
Hoe kan ik een OV SSL- of EV SSL-certificaat maken met DigiCert?
Key Vault ondersteunt het maken van OV- en EV SSL-certificaten. Wanneer u een certificaat maakt, selecteert u Advanced Policy Configuration en geeft u vervolgens het certificaattype op. Ondersteunde waarden: OV-SSL
, EV-SSL
U kunt dit type certificaat maken in Key Vault als uw DigiCert-account dit toestaat. Voor dit type certificaat wordt de validatie uitgevoerd door DigiCert. Als de validatie mislukt, kan het ondersteuningsteam van DigiCert u helpen. U kunt informatie toevoegen wanneer u een certificaat maakt door de gegevens in subjectName
te definiëren.
Voorbeeld: SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US"
.
Duurt het langer om een DigiCert-certificaat te maken via integratie dan het rechtstreeks bij DigiCert te verkrijgen?
Nee Wanneer u een certificaat maakt, kan het verificatieproces enige tijd in beslag nemen. DigiCert bepaalt dat proces.