Perguntas frequentes sobre a importação de certificados no Azure Key Vault

Este artigo responde às perguntas frequentes sobre certificados no Azure Key Vault.

Importação de certificados no Azure Key Vault

Como posso importar um certificado no Azure Key Vault?

Para uma operação de importação de certificado, o Azure Key Vault aceita dois formatos de arquivo de certificado: PEM e PFX. Embora existam arquivos PEM apenas com a parte pública, o Key Vault requer e aceita apenas um arquivo PEM ou PFX com uma chave privada. Para obter mais informações, confira Importar um certificado para o Key Vault.

Depois de importar um certificado protegido por senha para o Key Vault e baixá-lo, por que não consigo ver a senha associada a ele?

Depois que um certificado é importado e protegido no Key Vault, sua senha associada não é salva. A senha é exigida apenas uma vez durante a operação de importação. Isso ocorre por design, mas você sempre pode obter o certificado como um segredo e convertê-lo de Base64 em PFX adicionando a senha por meio do Azure PowerShell.

Como posso resolver um erro de "Parâmetro inválido"? Quais são os formatos de certificado com suporte para importação no Key Vault?

Ao importar um certificado, você precisa verificar se a chave está incluída no arquivo. Se você tiver uma chave privada armazenada separadamente em um formato diferente, será necessário combinar a chave com o certificado. Algumas ACs (autoridades de certificação) fornecem certificados em outros formatos. Portanto, antes de importar o certificado, verifique se ele está no formato de arquivo PEM ou PFX e se a chave usa criptografia RSA (Rivest-Shamir-Adleman) ou ECC (criptografia de curva elíptica).

Para obter mais informações, confira os requisitos do certificado e os requisitos da chave do certificado.

Posso importar um certificado usando um modelo do ARM?

Não. Não é possível executar operações de certificado usando um modelo do ARM (Azure Resource Manager). Uma solução alternativa recomendada seria usar os métodos de importação de certificado na API do Azure, a CLI do Azure ou o PowerShell. Se você já tiver um certificado, poderá importá-lo como um segredo.

Quando importo um certificado por meio do portal do Azure, recebo um erro "Algo deu errado". Como posso investigar mais?

Para exibir um erro mais descritivo, importe o arquivo de certificado usando a CLI do Azure ou o PowerShell.

Quando importo um certificado por meio do portal do Azure, recebo um erro "O tamanho do certificado X.509 é muito longo". O que devo fazer?

O erro indica que seu certificado pode ser muito longo; talvez esteja incluindo muitos certificados em um único arquivo. Este é um limite fixo que não pode ser aumentado. A solução é reduzir o conteúdo do arquivo de certificado para que ele se alinhe ao limite fixado.

Como posso resolver esse erro? “Tipo de erro: acesso negado ou o usuário não está autorizado a importar o certificado”

A operação de importação requer que você conceda ao usuário permissões para importar o certificado de acordo com as políticas de acesso. Para fazer isso, vá para o seu cofre de chaves, selecione Políticas de acesso>Adicionar política de acesso>Selecionar permissões de certificado>Entidade de segurança, procure o usuário e adicione o endereço de email do usuário.

Para obter mais informações sobre políticas de acesso relacionadas a certificados, confira Sobre os certificados do Azure Key Vault.

Como posso resolver esse erro? “Tipo de erro: conflito ao criar um certificado”

Cada nome de certificado deve ser exclusivo. Um certificado com o mesmo nome pode estar em um estado de exclusão reversível. Além disso, de acordo com a composição de um certificado, quando um certificado é criado, ele cria um segredo endereçável com o mesmo nome, portanto, se houver outra chave ou segredo no cofre de chaves com o mesmo nome daquele que você está tentando especificar para seu certificado, a criação do certificado falhará e você precisará remover essa chave ou segredo ou usar um nome diferente para o seu certificado.

Para obter mais informações, confira Obter operação de certificado excluído.

Como posso resolver esse erro? "Tipo de erro: o comprimento do caractere é muito longo"

Esse erro pode ser causado por um dos dois motivos:

  • O nome da entidade do certificado é limitado a 200 caracteres.
  • A senha do certificado é limitada a 200 caracteres.

Como posso resolver esse erro? "O conteúdo do certificado PEM X.509 especificado está em um formato inesperado. Verifique se o certificado está em um formato PEM válido."

Verifique se o conteúdo do arquivo PEM usa separadores de linha no estilo UNIX (\n)

Posso importar um certificado expirado para o Azure Key Vault?

Não, os certificados PFX expirados não podem ser importados para o Key Vault.

Como posso converter meu certificado para o formato adequado?

Você pode pedir à sua AC para fornecer o certificado no formato exigido. Há também ferramentas de terceiros que podem ajudar você a converter o certificado para o formato adequado.

Posso importar certificados de ACs não parceiras?

Sim, você pode importar certificados de qualquer AC, mas seu cofre de chaves não será capaz de renová-los automaticamente. Você pode definir lembretes para ser notificado sobre a expiração do certificado.

Se eu importar um certificado de uma AC parceira, o recurso de renovação automática ainda funcionará?

Sim. Depois de carregar o certificado, especifique a rotação automática na política de emissão de certificados. Suas configurações permanecerão em vigor até o próximo ciclo ou nova versão do certificado.

Por que não consigo ver o certificado do Serviço de Aplicativo que importei para o Key Vault?

Se você importou o certificado com sucesso, poderá confirmá-lo acessando o painel Segredos.

Como faço para combinar certificados em um único arquivo .PEM ou .PFX para ter todo o pacote de certificados importado para o Key Vault?

As Autoridades de Certificação podem fornecer a opção de baixar o certificado individualmente (raiz, intermediário, folha) ou baixar todos eles em um único arquivo. Quando você importa certificados para o Key Vault, as Autoridades de Certificação permitem que você importe uma ou uma cadeia inteira.

Renovar seus certificados do Azure Key Vault

E se o certificado emitido estiver em status *desabilitado* no portal do Azure?

Acesse a Operação de Certificado e exiba a mensagem de erro do certificado.

Como resolver esse erro? "O CSR usado para obter o seu certificado já foi usado. Tente gerar um novo certificado com um novo CSR".

Acesse a seção 'Política Avançada' do certificado e verifique se a opção 'reutilizar chave na renovação' está desativada.

Como testar o recurso de rotação automática do certificado?

Crie um certificado autoassinado com validade de Um mês e defina a ação de tempo de vida para rotação como 1%. Você deve ser capaz de exibir o histórico de versão do certificado que está sendo criado nos próximos dias.

As marcas serão replicadas após a renovação automática do certificado?

Sim, as marcas serão replicadas após a renovação automática.

Integração do Key Vault com Autoridades de Certificação incorporadas

Posso gerar um certificado curinga DigiCert usando o Key Vault?

Sim, embora isso dependa de como você configurou sua conta digiCert.

Como posso criar um certificado OV-SSL ou EV-SSL com o DigiCert?

O Key Vault dá suporte à criação de certificados SSL OV e EV. Ao criar um certificado, selecione Configuração de política avançada e especifique o tipo de certificado. Valores com suporte: OV SSL, EV SSL

Você pode criar esse tipo de certificado no Key Vault, se a sua conta do DigiCert permitir. Para esse tipo de certificado, a validação é executada por DigiCert. Se a validação falhar, a equipe de suporte do DigiCert poderá ajudar. Você pode adicionar informações ao criar um certificado definindo as informações em subjectName.

Por exemplo: SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US".

Leva mais tempo para criar um certificado DigiCert por meio da integração do que para adquiri-lo diretamente do DigiCert?

Não. Quando você cria um certificado, o processo de verificação pode demorar. O DigiCert controla esse processo.