Ten artykuł zawiera odpowiedzi na często zadawane pytania dotyczące certyfikatów usługi Azure Key Vault.
Importowanie certyfikatów usługi Azure Key Vault
Jak mogę zaimportować certyfikat w usłudze Azure Key Vault?
W przypadku operacji importowania certyfikatu usługa Azure Key Vault akceptuje dwa formaty plików certyfikatów: PEM i PFX. Chociaż istnieją pliki PEM tylko z publiczną częścią, usługa Key Vault wymaga i akceptuje tylko plik PEM lub PFX z kluczem prywatnym. Aby uzyskać więcej informacji, zobacz Importowanie certyfikatu do usługi Key Vault.
Po zaimportowaniu certyfikatu chronionego hasłem do usługi Key Vault, a następnie pobraniu go, dlaczego nie widzę skojarzonego z nim hasła?
Po zaimportowaniu i ochronie certyfikatu w usłudze Key Vault skojarzone z nim hasło nie zostanie zapisane. Hasło jest wymagane tylko raz podczas operacji importowania. Jest to zgodnie z projektem, ale zawsze można pobrać certyfikat jako wpis tajny i przekonwertować go z base64 na PFX, dodając hasło za pomocą programu Azure PowerShell.
Jak mogę rozwiązać problem z błędem "Nieprawidłowy parametr"? Jakie są obsługiwane formaty certyfikatów do importowania do usługi Key Vault?
Podczas importowania certyfikatu należy upewnić się, że klucz jest uwzględniony w pliku. Jeśli masz klucz prywatny przechowywany oddzielnie w innym formacie, musisz połączyć klucz z certyfikatem. Niektóre urzędy certyfikacji (CA) udostępniają certyfikaty w innych formatach. W związku z tym przed zaimportowaniem certyfikatu upewnij się, że jest on w formacie PEM lub PFX i że klucz używa szyfrowania Rivest-Shamir-Adleman (RSA) lub kryptografii krzywej eliptycznej (ECC).
Aby uzyskać więcej informacji, zobacz wymagania dotyczące certyfikatów i wymagania dotyczące klucza certyfikatu.
Czy mogę zaimportować certyfikat przy użyciu szablonu usługi ARM?
Nie, nie można wykonywać operacji certyfikatów przy użyciu szablonu usługi Azure Resource Manager (ARM). Zalecanym obejściem jest użycie metod importowania certyfikatów w interfejsie API platformy Azure, interfejsie wiersza polecenia platformy Azure lub programie PowerShell. Jeśli masz istniejący certyfikat, możesz zaimportować go jako wpis tajny.
Podczas importowania certyfikatu za pośrednictwem witryny Azure Portal występuje błąd "Wystąpił problem". Jak mogę dokładniej zbadać?
Aby wyświetlić bardziej opisowy błąd, zaimportuj plik certyfikatu przy użyciu interfejsu wiersza polecenia platformy Azure lub programu PowerShell.
Podczas importowania certyfikatu za pośrednictwem witryny Azure Portal otrzymuję błąd "Rozmiar certyfikatu X.509 jest za długi". Co mam robić?
Błąd wskazuje, że certyfikat może być za długi, może zawierać wiele certyfikatów w jednym pliku. Jest to sztywny limit, którego nie można zwiększyć. Rozwiązaniem jest skrócenie zawartości pliku certyfikatu, aby dopasować go do limitu rozmiaru.
Jak mogę rozwiązać ten błąd? "Typ błędu: Odmowa dostępu lub użytkownik nie ma autoryzacji do importowania certyfikatu"
Operacja importowania wymaga udzielenia użytkownikowi uprawnień do importowania certyfikatu w ramach zasad dostępu. W tym celu przejdź do magazynu kluczy, wybierz pozycję Zasady dostępu Dodaj zasady>>dostępu Wybierz podmiot zabezpieczeń> certyfikatu, wyszukaj użytkownika, a następnie dodaj adres e-mail użytkownika.
Aby uzyskać więcej informacji na temat zasad dostępu związanych z certyfikatami, zobacz About Azure Key Vault certificates (Informacje o certyfikatach usługi Azure Key Vault).
Jak mogę rozwiązać ten błąd? "Typ błędu: Konflikt podczas tworzenia certyfikatu"
Każda nazwa certyfikatu musi być unikatowa. Certyfikat o tej samej nazwie może być w stanie usunięcia nietrwałego. Ponadto, zgodnie z składem certyfikatu, podczas tworzenia nowego certyfikatu, tworzy adresowy wpis tajny o tej samej nazwie, więc jeśli w magazynie kluczy istnieje inny klucz lub wpis tajny o takiej samej nazwie jak ten, który próbujesz określić dla certyfikatu, tworzenie certyfikatu zakończy się niepowodzeniem i będzie konieczne usunięcie tego klucza lub wpisu tajnego lub użycie innej nazwy certyfikatu.
Aby uzyskać więcej informacji, zobacz Get Deleted Certificate operation (Pobieranie usuniętego certyfikatu).
Jak mogę rozwiązać ten błąd? "Typ błędu: długość znaku jest za długa"
Ten błąd może być spowodowany przez jedną z dwóch przyczyn:
- Nazwa podmiotu certyfikatu jest ograniczona do 200 znaków.
- Hasło certyfikatu jest ograniczone do 200 znaków.
Jak mogę rozwiązać ten błąd? "Określona zawartość certyfikatu PEM X.509 jest w nieoczekiwanym formacie. Sprawdź, czy certyfikat jest w prawidłowym formacie PEM".
Sprawdź, czy zawartość w pliku PEM używa separatorów linii w stylu systemu UNIX (\n)
Czy mogę zaimportować wygasły certyfikat do usługi Azure Key Vault?
Nie, wygasłe certyfikaty PFX nie można zaimportować do usługi Key Vault.
Jak mogę przekonwertować certyfikat na odpowiedni format?
Możesz poprosić urząd certyfikacji o podanie certyfikatu w wymaganym formacie. Istnieją również narzędzia innych firm, które mogą ułatwić przekonwertowanie certyfikatu na odpowiedni format.
Czy mogę zaimportować certyfikaty z urzędów certyfikacji innych niż partnerów?
Tak, możesz zaimportować certyfikaty z dowolnego urzędu certyfikacji, ale magazyn kluczy nie będzie mógł ich automatycznie odnowić. Możesz ustawić przypomnienia, aby otrzymywać powiadomienia o wygaśnięciu certyfikatu.
Jeśli zaimportuję certyfikat z urzędu certyfikacji partnera, funkcja autorenewal nadal będzie działać?
Tak. Po przekazaniu certyfikatu pamiętaj o określeniu autorotacji w zasadach wystawiania certyfikatu. Ustawienia pozostaną w mocy do momentu wydania następnej cyklu lub wersji certyfikatu.
Dlaczego nie widzę certyfikatu usługi App Service zaimportowanego do usługi Key Vault?
Jeśli certyfikat został pomyślnie zaimportowany, powinno być możliwe potwierdzenie go, przechodząc do okienka Wpisy tajne .
Jak mogę połączyć certyfikaty w jednym obiekcie . PEM lub . Plik PFX, który ma zaimportować cały pakiet certyfikatów do usługi Key Vault?
Urzędy certyfikacji mogą udostępnić opcję pobierania certyfikatu indywidualnie (root, intermediate, leaf) lub pobierania wszystkich z nich w jednym pliku. Podczas importowania certyfikatów do usługi Key Vault urzędy certyfikacji umożliwiają importowanie jednego lub całego łańcucha.
Odnawianie certyfikatów usługi Azure Key Vault
Co zrobić, jeśli wystawiony certyfikat ma stan *wyłączone* w witrynie Azure Portal?
Przejdź do pozycji Operacja certyfikatu i wyświetl komunikat o błędzie certyfikatu.
Jak mogę usunąć ten błąd? "Element CSR używany do pobierania certyfikatu został już użyty. Spróbuj wygenerować nowy certyfikat z nowym certyfikatem CSR".
Przejdź do sekcji "Zasady zaawansowane" certyfikatu i sprawdź, czy opcja "ponowne użycie klucza przy odnawianiu" jest wyłączona.
Jak przetestować funkcję autorotacji certyfikatu?
Utwórz certyfikat z podpisem własnym z ważnością jednego miesiąca, a następnie ustaw akcję okresu istnienia dla rotacji na poziomie 1%. W ciągu najbliższych kilku dni powinno być możliwe wyświetlenie historii wersji certyfikatu.
Czy tagi będą replikowane po autorenewale certyfikatu?
Tak, tagi są replikowane po autorenewal.
Integrowanie usługi Key Vault ze zintegrowanymi urzędami certyfikacji
Czy mogę wygenerować certyfikat wieloznaczny DigiCert przy użyciu usługi Key Vault?
Tak, chociaż zależy to od sposobu skonfigurowania konta firmy DigiCert.
Jak utworzyć certyfikat SSL OV lub EV SSL za pomocą firmy DigiCert?
Usługa Key Vault obsługuje tworzenie certyfikatów OV i EV SSL. Podczas tworzenia certyfikatu wybierz pozycję Konfiguracja zasad zaawansowanych, a następnie określ typ certyfikatu. Obsługiwane wartości: OV-SSL
, EV-SSL
Ten typ certyfikatu można utworzyć w usłudze Key Vault, jeśli zezwala na to konto firmy DigiCert. W przypadku tego typu certyfikatu walidacja jest wykonywana przez firmę DigiCert. Jeśli walidacja nie powiedzie się, zespół pomocy technicznej firmy DigiCert może pomóc. Informacje można dodawać podczas tworzenia certyfikatu, definiując informacje w pliku subjectName
.
Na przykład: SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US"
.
Czy utworzenie certyfikatu DigiCert za pośrednictwem integracji trwa dłużej niż uzyskanie go bezpośrednio z firmy DigiCert?
L.p. Podczas tworzenia certyfikatu proces weryfikacji może zająć trochę czasu. Firma DigiCert kontroluje ten proces.