Импорт сертификатов Azure Key Vault: вопросы и ответы

В этой статье вы найдете ответы на часто задаваемые вопросы о сертификатах Azure Key Vault.

Импорт сертификатов Azure Key Vault

Как импортировать сертификат в Azure Key Vault?

Для импорта Azure Key Vault принимает сертификаты в двух форматах: PEM и PFX. Существуют PEM-файлы, содержащие только общедоступную часть, однако Key Vault требует и принимает только файлы PEM или PFX с закрытым ключом. Подробнее см. в разделе Импорт сертификата в Key Vault.

Почему, когда я импортирую защищенный паролем сертификат в Key Vault, а потом скачиваю его, не отображается связанный с ним пароль?

У сертификата, импортированного в Key Vault и защищенного с его помощью, пароль не сохраняется. Пароль нужен только для операции импорта. Это заложено изначально, но вы всегда можете получить сертификат в виде секрета и преобразовать его из Base64 в PFX, добавив пароль с помощью Azure PowerShell.

Как устранить ошибку "Неверный параметр"? Какие форматы сертификатов поддерживаются для импорта в Key Vault?

При импорте сертификата убедитесь, что файл содержит ключ. Если закрытый ключ хранится отдельно в другом формате, необходимо объединить его с сертификатом. Некоторые центры сертификации предоставляют сертификаты в других форматах. Поэтому перед импортом сертификата убедитесь, что он имеет формат PEM или PFX и что ключ использует алгоритм шифрования Ривеста-Шамира-Адельмана (RSA) или шифрование на основе эллиптических кривых (ECC).

Подробнее см. в требованиях к сертификату и требованиях к ключу сертификата.

Можно ли импортировать сертификат с помощью шаблона ARM?

Нет, операции с сертификатами невозможно выполнить с помощью шаблона Azure Resource Manager (ARM). В качестве альтернативы рекомендуется использовать методы импорта сертификатов с помощью API Azure, Azure CLI или PowerShell. Если у вас уже есть сертификат, его можно импортировать в виде секрета.

При импорте сертификата на портале Azure появляется сообщение об ошибке "Что-то пошло не так". Как получить более подробную информацию?

Чтобы получить ошибку с более понятным описанием, импортируйте файл сертификата с помощью Azure CLI или PowerShell.

При импорте сертификата через портал Azure возникает ошибка "Размер сертификата X.509 слишком длинный". Что делать?

Ошибка указывает, что сертификат может быть слишком длинным, как вариант, содержать несколько сертификатов в одном файле. Это жесткое ограничение, которое нельзя увеличить. Решение заключается в сокращении содержимого файла сертификата, чтобы оно соответствовало ограничению размера.

Как устранить эту ошибку? "Тип ошибки: доступ запрещен или пользователь не авторизован для импорта сертификата"

Для операции импорта необходимо предоставить пользователю разрешения на импорт сертификата в политиках доступа. Для этого перейдите в хранилище ключей, выберите Политики доступа > Добавить политику доступа > Выбрать разрешения сертификата > Субъект, найдите пользователя, а затем добавьте адрес электронной почты пользователя.

Дополнительные сведения о политиках доступа, связанных с сертификатами, см. в статье Сведения о сертификатах Azure Key Vault.

Как устранить эту ошибку? "Тип ошибки: конфликт при создании сертификата"

Имя сертификата должно быть уникальным. Сертификат с тем же именем может находиться в состоянии обратимого удаления. Кроме того, в соответствии с композицией сертификата, при создании нового сертификата генерируется адресуемый секрет с тем же именем, поэтому если в хранилище ключей есть другой ключ или секрет с именем, которое вы пытаетесь указать для своего сертификата, создание сертификата завершится сбоем и вам нужно будет либо удалить этот ключ или секрет, либо использовать другое имя для сертификата.

Подробнее см. в разделе Операция получения удаленного сертификата.

Как устранить эту ошибку? "Тип ошибки: длина символа слишком длинна"

У этой ошибки есть две причины:

  • Длина имени субъекта сертификата не должна превышать 200 символов.
  • Длина пароля сертификата не должна превышать 200 символов.

Как устранить эту ошибку? "Указанное содержимое сертификата PEM X.509 имеет непредвиденный формат. Убедитесь, что сертификат имеет допустимый формат PEM”.

Убедитесь, что в файле PEM используются разделители строк в стиле UNIX (\n)

Можно ли импортировать сертификат с истекшим сроком действия в Azure Key Vault?

Нет, сертификаты PFX с истекшим сроком действия невозможно импортировать в Key Vault.

Как преобразовать сертификат в правильный формат?

Вы можете попросить центр сертификации предоставить сертификат в нужном формате. Кроме того, существуют сторонние средства, которые позволяют преобразовать сертификат в нужный формат.

Можно ли импортировать сертификаты из непартнерских центров сертификации?

Да, сертификаты можно импортировать из любого центра сертификации, но хранилище ключей не сможет автоматически их обновлять. Вы можете настроить напоминания об истечении срока действия сертификата.

Если импортировать сертификат из партнерского центра сертификации, будет ли по-прежнему работать функция автоматического продления?

Да. После отправки сертификата не забудьте задать авторотацию в политике выдачи сертификата. Параметры будут действовать, пока не появится следующий цикл или версия сертификата.

Почему не отображается сертификат службы приложений, импортированный в Key Vault?

Если сертификат успешно импортирован, вы сможете в этом убедиться, открыв панель Секреты.

Как объединить сертификаты в один PEM- или PFX-файл, чтобы весь пакет сертификатов можно было импортировать в Key Vault?

Центры сертификации могут предоставлять возможность скачивания сертификатов по отдельности (корневой, промежуточный, конечный) или в одном файле. При импорте сертификатов в Key Vault центры сертификации позволяют импортировать один сертификат или всю цепочку.

Продление сертификатов Azure Key Vault

Что делать, если на портале Azure для выпущенного сертификата указано состояние "отключено"?

Перейдите в раздел Операция с сертификатом и просмотрите сообщение об ошибке сертификата.

Как устранить эту ошибку? "Файл CSR, используемый для получения сертификата, уже используется. Please try to generate a new certificate with a new CSR. (Файл CSR, используемый для получения сертификата, уже используется. Попытайтесь создать новый сертификат с новым файлом CSR.)

Перейдите в раздел "Расширенная политика" сертификата и проверьте, отключен ли параметр reuse key on renewal (Использовать ключ повторно при возобновлении действия).

Как можно проверить функцию автоматической смены сертификата?

Создайте самозаверяющий сертификат со сроком действия в один месяц, а затем задайте действие времени существования, при котором смена будет происходить при 1%. У вас должны быть возможность просматривать журнал версий сертификатов, создаваемый в течение следующих нескольких дней.

Будут ли реплицированы теги после автопродления сертификата?

Да, теги реплицируются после автопродления.

Интеграция Key Vault с интегрированными центрами сертификации

Можно ли создать групповой сертификат DigiCert посредством Key Vault?

Да, хотя это зависит от того, как настроена учетная запись DigiCert.

Как создать сертификат OV-SSL или EV-SSL с использованием DigiCert?

Key Vault поддерживает создание SSL-сертификатов OV и EV. При создании сертификата выберите Расширенная конфигурация политики, а затем укажите тип сертификата. Поддерживаемые значения: OV-SSL, EV-SSL

Вы можете создать сертификат такого типа в Key Vault, если это разрешено учетной записью DigiCert. Для сертификата такого типа проверка выполняется с помощью DigiCert. Если выполнить проверку не удается, обратитесь в техническую поддержку DigiCert. Чтобы добавить информацию при создании сертификата, определите ее в subjectName.

Например: SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US".

Занимает ли создание сертификата DigiCert посредством интеграции больше времени, чем его получение непосредственно от DigiCert?

№ При создании сертификата процесс проверки может занять некоторое время. Это процесс контролируется DigiCert.

Следующие шаги