Este artigo responde a perguntas frequentes sobre certificados do Azure Key Vault.
Importando certificados do Azure Key Vault
Como posso importar um certificado no Cofre da Chave do Azure?
Para uma operação de importação de certificado, o Azure Key Vault aceita dois formatos de arquivo de certificado: PEM e PFX. Embora existam arquivos PEM com apenas a parte pública, o Key Vault requer e aceita apenas um arquivo PEM ou PFX com uma chave privada. Para obter mais informações, consulte Importar um certificado para o Cofre da Chave.
Depois de importar um certificado protegido por senha para o Cofre de Chaves e baixá-lo, por que não consigo ver a senha associada a ele?
Depois que um certificado é importado e protegido no Cofre de Chaves, sua senha associada não é salva. A palavra-passe só é necessária uma vez durante a operação de importação. Isso ocorre por design, mas você sempre pode obter o certificado como um segredo e convertê-lo de Base64 para PFX adicionando a senha por meio do Azure PowerShell.
Como posso resolver um erro "Parâmetro incorreto"? Quais são os formatos de certificado suportados para importação para o Cofre de Chaves?
Ao importar um certificado, você precisa garantir que a chave esteja incluída no arquivo. Se você tiver uma chave privada armazenada separadamente em um formato diferente, precisará combinar a chave com o certificado. Algumas autoridades de certificação (CAs) fornecem certificados em outros formatos. Portanto, antes de importar o certificado, verifique se ele está no formato de arquivo PEM ou PFX e se a chave usa criptografia Rivest-Shamir-Adleman (RSA) ou criptografia de curva elíptica (ECC).
Para obter mais informações, consulte requisitos de certificado e requisitos de chave de certificado.
Posso importar um certificado usando um modelo ARM?
Não, não é possível executar operações de certificado usando um modelo do Azure Resource Manager (ARM). Uma solução alternativa recomendada seria usar os métodos de importação de certificado na API do Azure, na CLI do Azure ou no PowerShell. Se você tiver um certificado existente, poderá importá-lo como um segredo.
Quando importo um certificado através do portal do Azure, recebo um erro "Algo correu mal". Como posso investigar mais?
Para exibir um erro mais descritivo, importe o arquivo de certificado usando a CLI do Azure ou o PowerShell.
Quando importo um certificado através do portal do Azure, recebo um erro "O tamanho do certificado X.509 é demasiado longo". O que devo fazer?
O erro indica que seu certificado pode ser muito longo, pode estar incluindo muitos certificados em um único arquivo. Este é um limite rígido que não pode ser aumentado. A solução é encurtar o conteúdo do seu arquivo de certificado para que ele se alinhe ao nosso limite de tamanho.
Como posso resolver este erro? "Tipo de erro: Acesso negado ou usuário não autorizado a importar certificado"
A operação de importação requer que você conceda ao usuário permissões para importar o certificado sob as políticas de acesso. Para fazer isso, vá para o cofre de chaves, selecione Políticas>de acesso Adicionar política>de acesso Selecione Principal de permissões>de certificado, procure o usuário e adicione o endereço de e-mail do usuário.
Para obter mais informações sobre políticas de acesso relacionadas a certificados, consulte Sobre certificados do Azure Key Vault.
Como posso resolver este erro? "Tipo de erro: conflito ao criar um certificado"
Cada nome de certificado deve ser exclusivo. Um certificado com o mesmo nome pode estar em um estado de exclusão suave. Além disso, de acordo com a composição de um certificado, quando um novo certificado é criado, ele cria um segredo endereçável com o mesmo nome, portanto, se houver outra chave ou segredo no cofre de chaves com o mesmo nome daquele que você está tentando especificar para o certificado, a criação do certificado falhará e você precisará remover essa chave ou segredo ou usar um nome diferente para o certificado.
Para obter mais informações, consulte Operação Obter certificado excluído.
Como posso resolver este erro? "Tipo de erro: o comprimento do char é muito longo"
Este erro pode ser causado por um dos dois motivos:
- O nome do assunto do certificado é limitado a 200 caracteres.
- A senha do certificado é limitada a 200 caracteres.
Como posso resolver este erro? "O conteúdo do certificado PEM X.509 especificado está em um formato inesperado. Verifique se o certificado está no formato PEM válido."
Verifique se o conteúdo no arquivo PEM está usando separadores de linha no estilo UNIX (\n)
Posso importar um certificado expirado para o Azure Key Vault?
Não, os certificados PFX expirados não podem ser importados para o Cofre de Chaves.
Como posso converter o meu certificado para o formato adequado?
Pode pedir à sua autoridade de certificação que forneça o certificado no formato exigido. Há também ferramentas de terceiros que podem ajudá-lo a converter o certificado para o formato adequado.
Posso importar certificados de autoridades de certificação não parceiras?
Sim, você pode importar certificados de qualquer autoridade de certificação, mas seu cofre de chaves não poderá renová-los automaticamente. Você pode definir lembretes para ser notificado sobre a expiração do certificado.
Se eu importar um certificado de uma autoridade de certificação parceira, o recurso de renovação automática ainda funcionará?
Sim. Depois de carregar o certificado, certifique-se de especificar a rotação automática na política de emissão do certificado. Suas configurações permanecerão em vigor até que o próximo ciclo ou versão do certificado seja lançado.
Por que não consigo ver o certificado do Serviço de Aplicativo que importei para o Cofre de Chaves?
Se você importou o certificado com êxito, poderá confirmá-lo acessando o painel Segredos .
Como faço para combinar certificados em um único . PEM ou . PFX para ter todo o pacote de certificados importado para o Key Vault?
As autoridades de certificação podem oferecer a opção de baixar o certificado individualmente (root, intermediário, folha) ou baixar todos eles em um único arquivo. Quando você importa certificados para o Cofre de Chaves, as Autoridades de Certificação permitem importar uma ou toda uma cadeia.
Renovar seus certificados do Azure Key Vault
E se o certificado emitido estiver no status *disabled* no portal do Azure?
Vá para Operação do certificado e visualize a mensagem de erro do certificado.
Como resolvo este erro? "O CSR usado para obter o seu certificado já foi usado. Por favor, tente gerar um novo certificado com um novo CSR."
Vá para a seção 'Política avançada' do certificado e verifique se a opção 'chave de reutilização na renovação' está desativada.
Como posso testar o recurso de rotação automática do certificado?
Crie um certificado autoassinado com uma validade de um mês e, em seguida, defina a ação de tempo de vida para rotação em 1%. Você deve ser capaz de visualizar o histórico de versões do certificado que está sendo criado nos próximos dias.
As tags serão replicadas após a renovação automática do certificado?
Sim, as tags são replicadas após autorenewal.
Integre o Key Vault com autoridades de certificação integradas
Posso gerar um certificado curinga DigiCert usando o Cofre de Chaves?
Sim, embora dependa de como você configurou sua conta DigiCert.
Como posso criar um certificado OV SSL ou EV SSL com o DigiCert?
O Key Vault suporta a criação de certificados SSL OV e EV. Ao criar um certificado, selecione Configuração Avançada de Política e especifique o tipo de certificado. Valores suportados: OV-SSL, EV-SSL
Você pode criar este tipo de certificado no Key Vault se sua conta DigiCert permitir. Para este tipo de certificado, a validação é realizada pela DigiCert. Se a validação falhar, a equipe de suporte do DigiCert pode ajudar. Você pode adicionar informações ao criar um certificado definindo as informações em subjectName.
Por exemplo: SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US".
Demora mais tempo para criar um certificado DigiCert via integração do que para adquiri-lo diretamente da DigiCert?
Não Quando você cria um certificado, o processo de verificação pode levar tempo. A DigiCert controla esse processo.