Importowanie certyfikatów usługi Azure Key Vault — często zadawane pytania

W przypadku operacji importowania certyfikatu usługa Azure Key Vault akceptuje dwa formaty plików certyfikatów: PEM i PFX. Chociaż istnieją pliki PEM tylko z publiczną częścią, usługa Key Vault wymaga i akceptuje tylko plik PEM lub PFX z kluczem prywatnym. Aby uzyskać więcej informacji, zobacz Importowanie certyfikatu do usługi Key Vault.

Po zaimportowaniu i ochronie certyfikatu w usłudze Key Vault skojarzone z nim hasło nie zostanie zapisane. Hasło jest wymagane tylko raz podczas operacji importowania. Jest to zgodnie z projektem, ale zawsze można pobrać certyfikat jako wpis tajny i przekonwertować go z base64 na PFX, dodając hasło za pomocą programu Azure PowerShell.

Podczas importowania certyfikatu należy upewnić się, że klucz jest uwzględniony w pliku. Jeśli masz klucz prywatny przechowywany oddzielnie w innym formacie, musisz połączyć klucz z certyfikatem. Niektóre urzędy certyfikacji (CA) udostępniają certyfikaty w innych formatach. W związku z tym przed zaimportowaniem certyfikatu upewnij się, że jest on w formacie PEM lub PFX i że klucz używa szyfrowania Rivest-Shamir-Adleman (RSA) lub kryptografii krzywej eliptycznej (ECC).

Aby uzyskać więcej informacji, zobacz wymagania dotyczące certyfikatów i wymagania dotyczące klucza certyfikatu.

Nie, nie można wykonywać operacji certyfikatów przy użyciu szablonu usługi Azure Resource Manager (ARM). Zalecanym obejściem jest użycie metod importowania certyfikatów w interfejsie API platformy Azure, interfejsie wiersza polecenia platformy Azure lub programie PowerShell. Jeśli masz istniejący certyfikat, możesz zaimportować go jako wpis tajny.

Aby wyświetlić bardziej opisowy błąd, zaimportuj plik certyfikatu przy użyciu interfejsu wiersza polecenia platformy Azure lub programu PowerShell.

Błąd wskazuje, że certyfikat może być za długi, może zawierać wiele certyfikatów w jednym pliku. Jest to sztywny limit, którego nie można zwiększyć. Rozwiązaniem jest skrócenie zawartości pliku certyfikatu, aby dopasować go do limitu rozmiaru.

Operacja importowania wymaga udzielenia użytkownikowi uprawnień do importowania certyfikatu w ramach zasad dostępu. W tym celu przejdź do magazynu kluczy, wybierz pozycję Zasady dostępu Dodaj zasady>>dostępu Wybierz podmiot zabezpieczeń> certyfikatu, wyszukaj użytkownika, a następnie dodaj adres e-mail użytkownika.

Aby uzyskać więcej informacji na temat zasad dostępu związanych z certyfikatami, zobacz About Azure Key Vault certificates (Informacje o certyfikatach usługi Azure Key Vault).

Każda nazwa certyfikatu musi być unikatowa. Certyfikat o tej samej nazwie może być w stanie usunięcia nietrwałego. Ponadto, zgodnie z składem certyfikatu, podczas tworzenia nowego certyfikatu, tworzy adresowy wpis tajny o tej samej nazwie, więc jeśli w magazynie kluczy istnieje inny klucz lub wpis tajny o takiej samej nazwie jak ten, który próbujesz określić dla certyfikatu, tworzenie certyfikatu zakończy się niepowodzeniem i będzie konieczne usunięcie tego klucza lub wpisu tajnego lub użycie innej nazwy certyfikatu.

Aby uzyskać więcej informacji, zobacz Get Deleted Certificate operation (Pobieranie usuniętego certyfikatu).

Ten błąd może być spowodowany przez jedną z dwóch przyczyn:

• Nazwa podmiotu certyfikatu jest ograniczona do 200 znaków.
• Hasło certyfikatu jest ograniczone do 200 znaków.

Sprawdź, czy zawartość w pliku PEM używa separatorów linii w stylu system UNIX(\n)

Nie, wygasłe certyfikaty PFX nie można zaimportować do usługi Key Vault.

Możesz poprosić urząd certyfikacji o podanie certyfikatu w wymaganym formacie. Istnieją również narzędzia innych firm, które mogą ułatwić przekonwertowanie certyfikatu na odpowiedni format.

Tak, możesz zaimportować certyfikaty z dowolnego urzędu certyfikacji, ale magazyn kluczy nie będzie mógł ich automatycznie odnowić. Możesz ustawić przypomnienia, aby otrzymywać powiadomienia o wygaśnięciu certyfikatu.

Tak. Po przekazaniu certyfikatu pamiętaj o określeniu autorotacji w zasadach wystawiania certyfikatu. Ustawienia pozostaną w mocy do momentu wydania następnej cyklu lub wersji certyfikatu.

Jeśli certyfikat został pomyślnie zaimportowany, powinno być możliwe potwierdzenie go, przechodząc do okienka Wpisy tajne .

Urzędy certyfikacji mogą udostępnić opcję pobierania certyfikatu indywidualnie (root, intermediate, leaf) lub pobierania wszystkich z nich w jednym pliku. Podczas importowania certyfikatów do usługi Key Vault urzędy certyfikacji umożliwiają importowanie jednego lub całego łańcucha.

Przejdź do pozycji Operacja certyfikatu i wyświetl komunikat o błędzie certyfikatu.

Przejdź do sekcji "Zasady zaawansowane" certyfikatu i sprawdź, czy opcja "ponowne użycie klucza przy odnawianiu" jest wyłączona.

Utwórz certyfikat z podpisem własnym z ważnością jednego miesiąca, a następnie ustaw akcję okresu istnienia dla rotacji na poziomie 1%. W ciągu najbliższych kilku dni powinno być możliwe wyświetlenie historii wersji certyfikatu.

Tak, tagi są replikowane po autorenewal.

Tak, chociaż zależy to od sposobu skonfigurowania konta firmy DigiCert.

Usługa Key Vault obsługuje tworzenie certyfikatów OV i EV SSL. Podczas tworzenia certyfikatu wybierz pozycję Konfiguracja zasad zaawansowanych, a następnie określ typ certyfikatu. Obsługiwane wartości: OV-SSL, EV-SSL

Ten typ certyfikatu można utworzyć w usłudze Key Vault, jeśli zezwala na to konto firmy DigiCert. W przypadku tego typu certyfikatu walidacja jest wykonywana przez firmę DigiCert. Jeśli walidacja nie powiedzie się, zespół pomocy technicznej firmy DigiCert może pomóc. Informacje można dodawać podczas tworzenia certyfikatu, definiując informacje w pliku subjectName.

Na przykład: SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US".

L.p. Podczas tworzenia certyfikatu proces weryfikacji może zająć trochę czasu. Firma DigiCert kontroluje ten proces.

Następne kroki

• Certyfikaty usługi Azure Key Vault