編輯

匯入 Azure Key Vault 憑證的常見問題集

  • 常見問題集

本文會針對 Azure Key Vault 憑證的常見問題提供解答。

匯入 Azure Key Vault 憑證

如何在 Azure Key Vault 中匯入憑證?

針對憑證匯入作業,Azure Key Vault 接受兩種憑證檔案格式:PEM 和 PFX。 雖然有只具有公用部分的 PEM 檔案,但 Key Vault 需要且接受的只有具有私密金鑰的 PEM 或 PFX 檔案。 如需詳細資訊,請參閱將憑證匯入至 Key Vault

將受密碼保護的憑證匯入到 Key Vault 並加以下載之後,為何看不到與其相關聯的密碼?

憑證在匯入到 Key Vault 並獲得保護之後,就不會再儲存其相關聯的密碼。 匯入作業期間僅需要一次密碼。 設計上就是如此,但您一律可以取得秘密形式的憑證,並透過 Azure PowerShell 新增密碼而將此憑證從 Base64 轉換成 PFX。

如何解決「參數不正確」的錯誤? 可支援匯入到 Key Vault 的憑證格式為何?

當您匯入憑證時,您必須確定金鑰包含在該檔案中。 如果以不同的格式另外儲存私密金鑰,就必須將金鑰與憑證結合。 某些憑證授權單位 (CA) 會提供其他格式的憑證。 因此,在匯入憑證前,請先確定其採用的是 PEM 或 PFX 檔案格式,而且金鑰使用的是 Rivest-Shamir-Adleman (RSA) 或橢圓曲線密碼編譯 (ECC) 加密。

如需詳細資訊,請參閱憑證需求憑證金鑰需求

能否使用 ARM 範本來匯入憑證?

不行,您無法使用 Azure Resource Manager (ARM) 範本來執行憑證作業。 建議的因應措施是使用 Azure API、Azure CLI 或 PowerShell 中的憑證匯入方法。 如果您已有憑證,則可以透過秘密的形式來匯入憑證。

我在透過 Azure 入口網站匯入憑證時收到「發生錯誤」的錯誤。 該如何進一步調查?

若要檢視更清楚的錯誤說明,請使用 Azure CLIPowerShell 匯入憑證檔案。

當我透過 Azure 入口網站匯入憑證時,我收到「X.509 憑證的大小太長」錯誤。 我該怎麼做?

錯誤指出您的憑證可能太長,可能是在單一檔案中包含許多憑證。 這是無法增加的硬性限制。 解決方案是縮短憑證檔案的內容,使其符合大小限制。

如何解決此錯誤? 「錯誤類型:拒絕存取或使用者未經授權匯入憑證」

匯入作業會要求您根據存取原則向使用者授與可供匯入憑證的權限。 若要這樣做,請移至金鑰保存庫、選取 [存取原則]>[新增存取原則]>[選取憑證權限]>[主體]、搜尋使用者,然後新增使用者的電子郵件地址。

如需憑證相關存取原則的詳細資訊,請參閱關於 Azure Key Vault 憑證

如何解決此錯誤? 「錯誤類型:建立憑證時發生衝突」

每個憑證都必須有唯一的名稱。 同名的憑證可能處於已經虛刪除的狀態。 此外,根據憑證的構成方式,在建立新的憑證時,該憑證也會建立同名的可定址秘密,因此如果金鑰保存庫中有其他金鑰或秘密的名稱與您嘗試為憑證指定的名稱相同,就無法建立憑證,而且必須移除該金鑰或密碼,或是為憑證使用不同的名稱。

如需詳細資訊,請參閱取得已刪除的憑證作業

如何解決此錯誤? 「錯誤類型:字元長度太長」

此錯誤可能是由下列兩個原因的其中一個造成的:

  • 憑證主體名稱的長度限制在 200 個字元內。
  • 憑證密碼的長度限制在 200 個字元內。

如何解決此錯誤? 「指定的 PEM X.509 憑證內容採用未預期的格式。 請檢查憑證所用的 PEM 格式是否有效。」

確認 PEM 檔案中的內容使用 UNIX 樣式的行分隔符號 (\n)

能否將過期的憑證匯入到 Azure Key Vault 中?

不行,過期的 PFX 憑證無法匯入到 Key Vault 中。

如何將憑證轉換為適當格式?

您可以請 CA 提供所要求格式的憑證。 另外也有第三方工具可協助您將憑證轉換為適當格式。

是否可以匯入非合作夥伴 CA 的憑證?

是的,您可以匯入任何 CA 的憑證,但金鑰保存庫無法自動更新這些憑證。 您可以設定提醒以在憑證過期時收到通知。

如果匯入合作夥伴 CA 的憑證,自動更新功能是否仍會運作?

是。 在上傳憑證後,請務必於憑證的發行原則中指定自動輪替。 設定會保持有效狀態,直到下一個週期或憑證版本發行。

為何沒看到匯入到 Key Vault 的 App Service 憑證?

如果已成功匯入憑證,請移至 [秘密] 窗格便可進行確認。

如何將憑證合併到單一的 .PEM 或 .PFX 檔案中,以便將整包憑證匯入到 Key Vault 中?

憑證授權單位可能會提供選項讓您個別下載憑證 (根、中繼、分葉) 或在單一檔案中一次下載所有憑證。 當您將憑證匯入金鑰保存庫時,憑證授權單位單位可讓您匯入一或整個鏈結。

更新 Azure Key Vault 憑證

如果在 Azure 入口網站中發出的憑證處於已停用狀態,該怎麼辦?

移至 [憑證作業] 並檢視憑證的錯誤訊息。

如何解決此錯誤? 「已使用用來取得憑證的 CSR。 請嘗試使用新的 CSR 產生新憑證。」

移至憑證的 [進階原則] 區段,並檢查是否已關閉 [在續約時重複使用金鑰] 選項。

如何測試憑證的自動輪替功能?

建立有效性為 1 個月的自行簽發憑證,然後將輪替的存留期動作設為 1%。 您應該能夠在接下來的幾天內,查看即將建立的憑證版本歷程記錄。

憑證自動更新後是否會複寫標記?

是,標記會在自動更新之後複寫。

整合 Key Vault 與整合式憑證授權單位

我可以使用 Key Vault 來產生 DigiCert 的萬用字元憑證嗎?

可以,但這取決於 DigiCert 帳戶的設定方式。

如何使用 DigiCert 來建立 OV SSL 或 EV SSL 憑證?

Key Vault 可支援建立 OV 和 EV SSL 憑證。 在建立憑證時,請選取 [進階原則設定],然後指定憑證類型。 支援的值:OV-SSLEV-SSL

如果您的 DigiCert 帳戶允許,便可以在 Key Vault 中建立這種類型的憑證。 這種類型的憑證會由 DigiCert 執行驗證。 如果驗證失敗,DigiCert 支援小組可以提供協助。 您可以在 subjectName 中定義資訊,以在建立憑證時新增資訊。

例如: SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US"

透過整合來建立 DigiCert 憑證所需要的時間,是否會比直接從 DigiCert 取得還要久?

否。 在建立憑證時,驗證程序可能需要一些時間。 DigiCert 會控制該程序。

下一步