Den här artikeln besvarar vanliga frågor om Azure Key Vault-certifikat.
Importera Azure Key Vault-certifikat
Hur importerar jag ett certifikat i Azure Key Vault?
För en certifikatimportåtgärd accepterar Azure Key Vault två certifikatfilformat: PEM och PFX. Även om det bara finns PEM-filer med den offentliga delen kräver och accepterar Key Vault endast en PEM- eller PFX-fil med en privat nyckel. Mer information finns i Importera ett certifikat till Key Vault.
Varför kan jag inte se lösenordet som är kopplat till det när jag har importerat ett lösenordsskyddat certifikat till Key Vault och sedan laddat ned det?
När ett certifikat har importerats och skyddats i Key Vault sparas inte dess associerade lösenord. Lösenordet krävs bara en gång under importåtgärden. Detta är avsiktligt, men du kan alltid hämta certifikatet som en hemlighet och konvertera det från Base64 till PFX genom att lägga till lösenordet via Azure PowerShell.
Hur kan jag lösa felet "Felaktig parameter"? Vilka certifikatformat som stöds för import till Key Vault?
När du importerar ett certifikat måste du se till att nyckeln ingår i filen. Om du har en privat nyckel lagrad separat i ett annat format måste du kombinera nyckeln med certifikatet. Vissa certifikatutfärdare tillhandahåller certifikat i andra format. Innan du importerar certifikatet kontrollerar du därför att det är i antingen PEM- eller PFX-filformat och att nyckeln använder antingen Kryptering av typen Rivest-Shamir-Adleman (RSA) eller elliptisk kryptering (ECC).
Mer information finns i certifikatkrav och krav på certifikatnyckel.
Kan jag importera ett certifikat med hjälp av en ARM-mall?
Nej, det går inte att utföra certifikatåtgärder med hjälp av en ARM-mall (Azure Resource Manager). En rekommenderad lösning är att använda metoderna för certifikatimport i Azure API, Azure CLI eller PowerShell. Om du har ett befintligt certifikat kan du importera det som en hemlighet.
När jag importerar ett certifikat via Azure-portalen får jag felet "Något gick fel". Hur kan jag undersöka vidare?
Om du vill visa ett mer beskrivande fel importerar du certifikatfilen med hjälp av Azure CLI eller PowerShell.
När jag importerar ett certifikat via Azure-portalen får jag felet "Storleken på X.509-certifikatet är för långt". Vad ska jag göra?
Felet anger att certifikatet kan vara för långt, det kan innehålla många certifikat i en enda fil. Det här är en hård gräns som inte kan ökas. Lösningen är att förkorta certifikatfilens innehåll så att det överensstämmer med vår storleksgräns.
Hur löser jag det här felet? "Feltyp: Åtkomst nekad eller användaren har inte behörighet att importera certifikat"
Importåtgärden kräver att du ger användaren behörighet att importera certifikatet under åtkomstprinciperna. Om du vill göra det går du till ditt nyckelvalv, väljer Åtkomstprinciper>Lägg till åtkomstprincip>Välj certifikatbehörigheters>huvudnamn, söker efter användaren och lägger sedan till användarens e-postadress.
Mer information om certifikatrelaterade åtkomstprinciper finns i Om Azure Key Vault-certifikat.
Hur löser jag det här felet? "Feltyp: Konflikt när ett certifikat skapas"
Varje certifikatnamn måste vara unikt. Ett certifikat med samma namn kan vara i ett mjukt borttaget tillstånd. Enligt sammansättningen av ett certifikat skapar det dessutom en adresserbar hemlighet med samma namn när ett nytt certifikat skapas, så om det finns en annan nyckel eller hemlighet i nyckelvalvet med samma namn som den du försöker ange för certifikatet misslyckas det att skapa certifikatet och du måste antingen ta bort nyckeln eller hemligheten eller använda ett annat namn för certifikatet.
Mer information finns i Hämta borttagen certifikatåtgärd.
Hur löser jag det här felet? "Feltyp: teckenlängden är för lång"
Det här felet kan orsakas av någon av två orsaker:
- Certifikatets ämnesnamn är begränsat till 200 tecken.
- Certifikatlösenordet är begränsat till 200 tecken.
Hur löser jag det här felet? "Det angivna PEM X.509-certifikatinnehållet är i ett oväntat format. Kontrollera om certifikatet är i giltigt PEM-format."
Kontrollera att innehållet i PEM-filen använder UNIX-linjeavgränsare (\n)
Kan jag importera ett utgånget certifikat till Azure Key Vault?
Nej, förfallna PFX-certifikat kan inte importeras till Key Vault.
Hur kan jag konvertera mitt certifikat till rätt format?
Du kan be certifikatutfärdare att ange certifikatet i det format som krävs. Det finns också verktyg från tredje part som kan hjälpa dig att konvertera certifikatet till rätt format.
Kan jag importera certifikat från certifikatutfärdare som inte är partner?
Ja, du kan importera certifikat från valfri certifikatutfärdare, men nyckelvalvet kan inte förnya dem automatiskt. Du kan ange att påminnelser ska meddelas om certifikatets giltighetstid.
Fungerar funktionen autorenewal fortfarande om jag importerar ett certifikat från en partnercertifikatutfärdare?
Ja. När du har laddat upp certifikatet måste du ange autorotationen i certifikatets utfärdandeprincip. Inställningarna gäller tills nästa cykel eller certifikatversion har släppts.
Varför kan jag inte se App Service-certifikatet som jag har importerat till Key Vault?
Om du har importerat certifikatet bör du kunna bekräfta det genom att gå till fönstret Hemligheter .
Hur kombinerar jag certifikat i en enda . PEM eller . PFX-fil för att få hela certifikatpaketet importerat till Key Vault?
Certifikatutfärdare kan ge möjlighet att antingen ladda ned certifikat individuellt (rot, mellanliggande, löv) eller ladda ned dem alla i en enda fil. När du importerar certifikat till Key Vault kan du importera en eller en hel kedja med certifikatutfärdare.
Förnya dina Azure Key Vault-certifikat
Vad händer om det utfärdade certifikatet har statusen *disabled* i Azure-portalen?
Gå till Certifikatåtgärd och visa certifikatets felmeddelande.
Hur löser jag det här felet? "Den CSR som användes för att hämta certifikatet har redan använts. Försök att generera ett nytt certifikat med en ny CSR."
Gå till avsnittet Avancerad princip i certifikatet och kontrollera om alternativet "återanvändningsnyckel vid förnyelse" är inaktiverat.
Hur kan jag testa autorotationsfunktionen i certifikatet?
Skapa ett självsignerat certifikat med en giltighet på en månad och ange sedan livslängdsåtgärden för rotation till 1 %. Du bör kunna visa certifikatversionshistoriken som skapas under de närmaste dagarna.
Replikeras taggarna efter autorenewal av certifikatet?
Ja, taggarna replikeras efter autorenewal.
Integrera Key Vault med integrerade certifikatutfärdare
Kan jag generera ett DigiCert-jokerteckencertifikat med hjälp av Key Vault?
Ja, även om det beror på hur du konfigurerade ditt DigiCert-konto.
Hur skapar jag ett OV SSL- eller EV SSL-certifikat med DigiCert?
Key Vault stöder skapandet av OV- och EV SSL-certifikat. När du skapar ett certifikat väljer du Avancerad principkonfiguration och anger sedan certifikattypen. Värden som stöds: OV-SSL
, EV-SSL
Du kan skapa den här typen av certifikat i Key Vault om ditt DigiCert-konto tillåter det. För den här typen av certifikat utförs verifieringen av DigiCert. Om verifieringen misslyckas kan DigiCert-supportteamet hjälpa till. Du kan lägga till information när du skapar ett certifikat genom att definiera informationen i subjectName
.
Exempel: SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US"
.
Tar det längre tid att skapa ett DigiCert-certifikat via integrering än det gör för att hämta det direkt från DigiCert?
Nej. När du skapar ett certifikat kan verifieringsprocessen ta tid. DigiCert styr den processen.