Importowanie certyfikatów Azure Key Vault — często zadawane pytania

Ten artykuł zawiera odpowiedzi na często zadawane pytania dotyczące certyfikatów Azure Key Vault.

Importowanie certyfikatów Azure Key Vault

Jak zaimportować certyfikat w Azure Key Vault?

W przypadku operacji importowania certyfikatu Azure Key Vault akceptuje dwa formaty plików certyfikatów: PEM i PFX. Chociaż istnieją pliki PEM tylko z publiczną częścią, Key Vault wymaga i akceptuje tylko plik PEM lub PFX z kluczem prywatnym. Aby uzyskać więcej informacji, zobacz Importuj certyfikat do Key Vault.

Po zaimportowaniu certyfikatu chronionego hasłem do Key Vault, a następnie pobraniu go, dlaczego nie widzę skojarzonego z nim hasła?

Po zaimportowaniu i ochronie certyfikatu w Key Vault skojarzone z nim hasło nie zostanie zapisane. Hasło jest wymagane tylko raz podczas operacji importowania. Jest to zgodnie z projektem, ale zawsze można pobrać certyfikat jako klucz tajny i przekonwertować go z Base64 na PFX, dodając hasło za pomocą Azure PowerShell.

Jak mogę rozwiązać problem z błędem "Nieprawidłowy parametr"? Jakie są obsługiwane formaty certyfikatów do importowania do Key Vault?

Podczas importowania certyfikatu należy upewnić się, że klucz jest uwzględniony w pliku. Jeśli masz klucz prywatny przechowywany oddzielnie w innym formacie, musisz połączyć klucz z certyfikatem. Niektóre urzędy certyfikacji (CA) udostępniają certyfikaty w innych formatach. W związku z tym przed zaimportowaniem certyfikatu upewnij się, że jest on w formacie PEM lub PFX i że klucz używa szyfrowania Rivest-Shamir-Adleman (RSA) lub kryptografii krzywej eliptycznej (ECC).

Aby uzyskać więcej informacji, zobacz wymagania dotyczące certyfikatów i wymagania dotyczące klucza certyfikatu.

Czy mogę zaimportować certyfikat przy użyciu szablonu usługi ARM?

Nie, nie można wykonać operacji certyfikatu przy użyciu szablonu Azure Resource Manager (ARM). Zalecanym obejściem jest użycie metod importowania certyfikatów w interfejsie API Azure, Azure CLI lub programie PowerShell. Jeśli masz istniejący certyfikat, możesz zaimportować jako tajny.

Podczas importowania certyfikatu za pośrednictwem portalu Azure występuje błąd "Wystąpił problem". Jak mogę dokładniej zbadać?

Aby wyświetlić bardziej opisowy błąd, zaimportuj plik certyfikatu przy użyciu the Azure CLI lub Azure PowerShell.

Podczas importowania certyfikatu za pośrednictwem portalu Azure występuje błąd "Rozmiar certyfikatu X.509 jest za długi". Co mam robić?

Błąd wskazuje, że certyfikat może być za długi, może zawierać wiele certyfikatów w jednym pliku. Jest to sztywny limit, którego nie można zwiększyć. Rozwiązaniem jest skrócenie zawartości pliku certyfikatu, aby dopasować go do limitu rozmiaru.

Jak mogę rozwiązać ten błąd? "Typ błędu: Odmowa dostępu lub użytkownik nie ma autoryzacji do importowania certyfikatu"

Operacja importowania wymaga udzielenia użytkownikowi uprawnień do importowania certyfikatu. Jeśli używasz Azure kontroli dostępu opartej na rolach (zalecane), przypisz użytkownikowi rolę Key Vault Certificates Officer. Jeśli używasz zasad dostępu (starsza wersja), przejdź do magazynu kluczy, wybierz Zasady dostępu>Dodaj zasady dostępu>Wybierz uprawnienia certyfikatu>Podmiot, wyszukaj użytkownika, a następnie dodaj adres e-mail użytkownika.

Aby uzyskać więcej informacji na temat kontroli dostępu związanej z certyfikatami, zobacz Informacje Azure Key Vault o certyfikatach.

Jak mogę rozwiązać ten błąd? "Typ błędu: Konflikt podczas tworzenia certyfikatu"

Każda nazwa certyfikatu musi być unikatowa. Certyfikat o tej samej nazwie może być w stanie tymczasowego usunięcia. Ponadto, zgodnie ze składem certyfikatu, podczas tworzenia nowego certyfikatu, tworzy adresowalne hasło o tej samej nazwie, zatem jeśli w magazynie kluczy istnieje inny klucz lub hasło o takiej samej nazwie jak ten, który próbujesz określić dla swojego certyfikatu, utworzenie certyfikatu nie powiedzie się i konieczne będzie usunięcie tego klucza lub hasła lub użycie innej nazwy dla certyfikatu.

Aby uzyskać więcej informacji, zobacz Get Deleted Certificate operation (Pobieranie usuniętego certyfikatu).

Jak mogę rozwiązać ten błąd? "Typ błędu: długość znaku jest za długa"

Ten błąd może być spowodowany przez jedną z dwóch przyczyn:

• Nazwa podmiotu certyfikatu jest ograniczona do 200 znaków.
• Hasło certyfikatu jest ograniczone do 200 znaków.

Jak mogę rozwiązać ten błąd? "Określona zawartość certyfikatu PEM X.509 jest w nieoczekiwanym formacie. Sprawdź, czy certyfikat jest w prawidłowym formacie PEM".

Sprawdź, czy zawartość w pliku PEM używa separatorów linii w stylu UNIX (\n)

Czy mogę zaimportować wygasły certyfikat do Azure Key Vault?

Nie, wygasłe certyfikaty PFX nie można zaimportować do Key Vault.

Jak mogę przekonwertować certyfikat na odpowiedni format?

Możesz poprosić urząd certyfikacji o podanie certyfikatu w wymaganym formacie. Istnieją również narzędzia innych firm, które mogą ułatwić przekonwertowanie certyfikatu na odpowiedni format.

Czy mogę zaimportować certyfikaty z urzędów certyfikacji innych niż partnerów?

Tak, możesz zaimportować certyfikaty z dowolnego urzędu certyfikacji, ale magazyn kluczy nie będzie mógł ich automatycznie odnowić. Możesz ustawić przypomnienia, aby otrzymywać powiadomienia o wygaśnięciu certyfikatu.

Jeśli zaimportuję certyfikat z urzędu certyfikacji partnera, funkcja automatycznego odnawiania nadal będzie działać?

Tak. Po przesłaniu certyfikatu pamiętaj o ustawieniu funkcji autorotacji w polityce wystawiania certyfikatu. Ustawienia pozostaną w mocy do momentu wydania następnej cyklu lub wersji certyfikatu.

Dlaczego nie widzę zaimportowania certyfikatu usługi App Service do Key Vault?

Jeśli certyfikat został pomyślnie zaimportowany, powinno być możliwe potwierdzenie go, przechodząc do okienka Wpisy tajne .

Jak połączyć certyfikaty w jednym pliku .PEM lub .PFX, aby cały pakiet certyfikatów został zaimportowany do Key Vault?

Urzędy certyfikacji mogą udostępnić opcję pobierania certyfikatów indywidualnie (root, intermediate, leaf) lub pobierania wszystkich z nich w jednym pliku. Podczas importowania certyfikatów do Key Vault urzędy certyfikacji umożliwiają importowanie jednego lub całego łańcucha.

Odnawianie certyfikatów Azure Key Vault

Co zrobić, jeśli wystawiony certyfikat jest w stanie *wyłączone* w portalu Azure?

Przejdź do Operacji certyfikatu i wyświetl komunikat o błędzie certyfikatu.

Jak mogę usunąć ten błąd? "Element CSR używany do pobierania certyfikatu został już użyty. Spróbuj wygenerować nowy certyfikat z nowym certyfikatem CSR".

Przejdź do sekcji "Zasady zaawansowane" certyfikatu i sprawdź, czy opcja "ponowne użycie klucza przy odnawianiu" jest wyłączona.

Jak przetestować funkcję autorotacji certyfikatu?

Utwórz certyfikat z podpisem własnym z ważnością jednego miesiąca, a następnie ustaw akcję okresu ważności dla rotacji na 1%. W ciągu najbliższych kilku dni powinno być możliwe wyświetlenie historii wersji certyfikatu.

Czy tagi będą replikowane po autorenewale certyfikatu?

Tak, tagi są replikowane po automatycznym odnowieniu.

Integrowanie Key Vault ze zintegrowanymi urzędami certyfikacji

Czy mogę wygenerować certyfikat wieloznaczny DigiCert przy użyciu Key Vault?

Tak, chociaż zależy to od sposobu skonfigurowania konta firmy DigiCert.

Jak utworzyć certyfikat SSL OV lub EV SSL za pomocą firmy DigiCert?

Key Vault obsługuje tworzenie certyfikatów OV i EV SSL. Podczas tworzenia certyfikatu wybierz pozycję Konfiguracja zasad zaawansowanych, a następnie określ typ certyfikatu. Obsługiwane wartości: OV-SSL, EV-SSL

Ten typ certyfikatu można utworzyć w Key Vault, jeśli zezwala na to konto firmy DigiCert. W przypadku tego typu certyfikatu walidacja jest wykonywana przez firmę DigiCert. Jeśli walidacja nie powiedzie się, zespół pomocy technicznej firmy DigiCert może pomóc. Informacje można dodawać podczas tworzenia certyfikatu, definiując informacje w pliku subjectName.

Na przykład: SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US".

Czy utworzenie certyfikatu DigiCert za pośrednictwem integracji trwa dłużej niż uzyskanie go bezpośrednio z firmy DigiCert?

Nr Podczas tworzenia certyfikatu proces weryfikacji może zająć trochę czasu. Firma DigiCert kontroluje ten proces.

Następne kroki

• certyfikaty Azure Key Vault

Ten artykuł zawiera odpowiedzi na często zadawane pytania dotyczące certyfikatów Azure Key Vault.

W przypadku operacji importowania certyfikatu Azure Key Vault akceptuje dwa formaty plików certyfikatów: PEM i PFX. Chociaż istnieją pliki PEM tylko z publiczną częścią, Key Vault wymaga i akceptuje tylko plik PEM lub PFX z kluczem prywatnym. Aby uzyskać więcej informacji, zobacz Importuj certyfikat do Key Vault.

Po zaimportowaniu i ochronie certyfikatu w Key Vault skojarzone z nim hasło nie zostanie zapisane. Hasło jest wymagane tylko raz podczas operacji importowania. Jest to zgodnie z projektem, ale zawsze można pobrać certyfikat jako klucz tajny i przekonwertować go z Base64 na PFX, dodając hasło za pomocą Azure PowerShell.

Podczas importowania certyfikatu należy upewnić się, że klucz jest uwzględniony w pliku. Jeśli masz klucz prywatny przechowywany oddzielnie w innym formacie, musisz połączyć klucz z certyfikatem. Niektóre urzędy certyfikacji (CA) udostępniają certyfikaty w innych formatach. W związku z tym przed zaimportowaniem certyfikatu upewnij się, że jest on w formacie PEM lub PFX i że klucz używa szyfrowania Rivest-Shamir-Adleman (RSA) lub kryptografii krzywej eliptycznej (ECC).

Aby uzyskać więcej informacji, zobacz wymagania dotyczące certyfikatów i wymagania dotyczące klucza certyfikatu.

Nie, nie można wykonać operacji certyfikatu przy użyciu szablonu Azure Resource Manager (ARM). Zalecanym obejściem jest użycie metod importowania certyfikatów w interfejsie API Azure, Azure CLI lub programie PowerShell. Jeśli masz istniejący certyfikat, możesz zaimportować jako tajny.

Aby wyświetlić bardziej opisowy błąd, zaimportuj plik certyfikatu przy użyciu the Azure CLI lub Azure PowerShell.

Błąd wskazuje, że certyfikat może być za długi, może zawierać wiele certyfikatów w jednym pliku. Jest to sztywny limit, którego nie można zwiększyć. Rozwiązaniem jest skrócenie zawartości pliku certyfikatu, aby dopasować go do limitu rozmiaru.

Operacja importowania wymaga udzielenia użytkownikowi uprawnień do importowania certyfikatu. Jeśli używasz Azure kontroli dostępu opartej na rolach (zalecane), przypisz użytkownikowi rolę Key Vault Certificates Officer. Jeśli używasz zasad dostępu (starsza wersja), przejdź do magazynu kluczy, wybierz Zasady dostępu>Dodaj zasady dostępu>Wybierz uprawnienia certyfikatu>Podmiot, wyszukaj użytkownika, a następnie dodaj adres e-mail użytkownika.

Aby uzyskać więcej informacji na temat kontroli dostępu związanej z certyfikatami, zobacz Informacje Azure Key Vault o certyfikatach.

Każda nazwa certyfikatu musi być unikatowa. Certyfikat o tej samej nazwie może być w stanie tymczasowego usunięcia. Ponadto, zgodnie ze składem certyfikatu, podczas tworzenia nowego certyfikatu, tworzy adresowalne hasło o tej samej nazwie, zatem jeśli w magazynie kluczy istnieje inny klucz lub hasło o takiej samej nazwie jak ten, który próbujesz określić dla swojego certyfikatu, utworzenie certyfikatu nie powiedzie się i konieczne będzie usunięcie tego klucza lub hasła lub użycie innej nazwy dla certyfikatu.

Aby uzyskać więcej informacji, zobacz Get Deleted Certificate operation (Pobieranie usuniętego certyfikatu).

Ten błąd może być spowodowany przez jedną z dwóch przyczyn:

• Nazwa podmiotu certyfikatu jest ograniczona do 200 znaków.
• Hasło certyfikatu jest ograniczone do 200 znaków.

Sprawdź, czy zawartość w pliku PEM używa separatorów linii w stylu UNIX (\n)

Nie, wygasłe certyfikaty PFX nie można zaimportować do Key Vault.

Możesz poprosić urząd certyfikacji o podanie certyfikatu w wymaganym formacie. Istnieją również narzędzia innych firm, które mogą ułatwić przekonwertowanie certyfikatu na odpowiedni format.

Tak, możesz zaimportować certyfikaty z dowolnego urzędu certyfikacji, ale magazyn kluczy nie będzie mógł ich automatycznie odnowić. Możesz ustawić przypomnienia, aby otrzymywać powiadomienia o wygaśnięciu certyfikatu.

Tak. Po przesłaniu certyfikatu pamiętaj o ustawieniu funkcji autorotacji w polityce wystawiania certyfikatu. Ustawienia pozostaną w mocy do momentu wydania następnej cyklu lub wersji certyfikatu.

Jeśli certyfikat został pomyślnie zaimportowany, powinno być możliwe potwierdzenie go, przechodząc do okienka Wpisy tajne .

Urzędy certyfikacji mogą udostępnić opcję pobierania certyfikatów indywidualnie (root, intermediate, leaf) lub pobierania wszystkich z nich w jednym pliku. Podczas importowania certyfikatów do Key Vault urzędy certyfikacji umożliwiają importowanie jednego lub całego łańcucha.

Przejdź do Operacji certyfikatu i wyświetl komunikat o błędzie certyfikatu.

Przejdź do sekcji "Zasady zaawansowane" certyfikatu i sprawdź, czy opcja "ponowne użycie klucza przy odnawianiu" jest wyłączona.

Utwórz certyfikat z podpisem własnym z ważnością jednego miesiąca, a następnie ustaw akcję okresu ważności dla rotacji na 1%. W ciągu najbliższych kilku dni powinno być możliwe wyświetlenie historii wersji certyfikatu.

Tak, tagi są replikowane po automatycznym odnowieniu.

Tak, chociaż zależy to od sposobu skonfigurowania konta firmy DigiCert.

Key Vault obsługuje tworzenie certyfikatów OV i EV SSL. Podczas tworzenia certyfikatu wybierz pozycję Konfiguracja zasad zaawansowanych, a następnie określ typ certyfikatu. Obsługiwane wartości: OV-SSL, EV-SSL

Ten typ certyfikatu można utworzyć w Key Vault, jeśli zezwala na to konto firmy DigiCert. W przypadku tego typu certyfikatu walidacja jest wykonywana przez firmę DigiCert. Jeśli walidacja nie powiedzie się, zespół pomocy technicznej firmy DigiCert może pomóc. Informacje można dodawać podczas tworzenia certyfikatu, definiując informacje w pliku subjectName.

Na przykład: SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US".

Nr Podczas tworzenia certyfikatu proces weryfikacji może zająć trochę czasu. Firma DigiCert kontroluje ten proces.

Następne kroki

• certyfikaty Azure Key Vault