Tento článek odpovídá na nejčastější dotazy týkající se certifikátů služby Azure Key Vault.
Import certifikátů azure Key Vaultu
Jak můžu importovat certifikát ve službě Azure Key Vault?
Pro operaci importu certifikátu služba Azure Key Vault přijímá dva formáty souborů certifikátu: PEM a PFX. I když existují soubory PEM pouze s veřejnou částí, Key Vault vyžaduje a přijímá pouze soubor PEM nebo PFX s privátním klíčem. Další informace najdete v tématu Import certifikátu do služby Key Vault.
Po importu certifikátu chráněného heslem do služby Key Vault a jeho následném stažení se mi nezobrazuje heslo, které je k němu přidružené?
Po importu a chráněném certifikátu ve službě Key Vault se přidružené heslo neuloží. Heslo se během operace importu vyžaduje pouze jednou. Je to záměrně, ale certifikát můžete vždy získat jako tajný kód a převést ho z Base64 na PFX přidáním hesla prostřednictvím Azure PowerShellu.
Jak můžu vyřešit chybu Chybný parametr? Jaké jsou podporované formáty certifikátů pro import do služby Key Vault?
Při importu certifikátu je nutné zajistit, aby byl klíč součástí souboru. Pokud máte privátní klíč uložený samostatně v jiném formátu, musíte klíč s certifikátem zkombinovat. Některé certifikační autority (CA) poskytují certifikáty v jiných formátech. Před importem certifikátu se proto ujistěte, že je ve formátu souboru PEM nebo PFX a že klíč používá šifrování Rivest-Shamir-Adleman (RSA) nebo šifrování ECC (elliptic-curve cryptography).
Další informace najdete v požadavcích na certifikáty a požadavcích na klíč certifikátu.
Můžu importovat certifikát pomocí šablony ARM?
Ne, není možné provádět operace s certifikáty pomocí šablony Azure Resource Manageru (ARM). Doporučeným alternativním řešením je použít metody importu certifikátů v rozhraní Azure API, Azure CLI nebo PowerShellu. Pokud máte existující certifikát, můžete ho importovat jako tajný klíč.
Když naimportuji certifikát přes Azure Portal, zobrazí se chyba Něco se nepovedlo. Jak můžu dále prozkoumat?
Pokud chcete zobrazit popisnější chybu, importujte soubor certifikátu pomocí Azure CLI nebo PowerShellu.
Při importu certifikátu přes Azure Portal se zobrazí chyba "Velikost certifikátu X.509 je příliš dlouhá". Co mám dělat?
Tato chyba značí, že váš certifikát může být příliš dlouhý, může obsahovat mnoho certifikátů do jednoho souboru. Jedná se o pevný limit, který nelze zvýšit. Řešením je zkrátit obsah souboru certifikátu tak, aby odpovídal limitu velikosti.
Jak můžu tuto chybu vyřešit? "Typ chyby: Přístup byl odepřen nebo uživatel nemá oprávnění k importu certifikátu"
Operace importu vyžaduje, abyste uživateli udělili oprávnění k importu certifikátu v rámci zásad přístupu. Uděláte to tak, že přejdete do trezoru klíčů, vyberete Zásady přístupu– Přidat zásady>>přístupu– Objekt oprávnění k certifikátu>, vyhledáte uživatele a pak přidáte e-mailovou adresu uživatele.
Jak můžu tuto chybu vyřešit? "Typ chyby: Konflikt při vytváření certifikátu"
Každý název certifikátu musí být jedinečný. Certifikát se stejným názvem může být ve stavu obnovitelného odstranění. Podle složení certifikátu se při vytvoření nového certifikátu vytvoří adresovatelný tajný klíč se stejným názvem, takže pokud je v trezoru klíčů jiný klíč nebo tajný klíč se stejným názvem jako ten, který se pokoušíte zadat pro certifikát, vytvoření certifikátu se nezdaří a budete muset tento klíč nebo tajný klíč odebrat nebo použít jiný název certifikátu.
Další informace naleznete v tématu Získání operace odstraněného certifikátu.
Jak můžu tuto chybu vyřešit? "Typ chyby: Délka znaku je příliš dlouhá"
Tato chyba může být způsobena některým ze dvou důvodů:
- Název subjektu certifikátu je omezen na 200 znaků.
- Heslo certifikátu je omezeno na 200 znaků.
Jak můžu tuto chybu vyřešit? "Zadaný obsah certifikátu PEM X.509 je v neočekávaném formátu. Zkontrolujte, jestli je certifikát v platném formátu PEM.
Ověřte, že obsah v souboru PEM používá oddělovače čar ve stylu UNIX. (\n)
Můžu importovat certifikát s vypršenou platností do služby Azure Key Vault?
Ne, certifikáty PFX s vypršenou platností nejde importovat do služby Key Vault.
Jak můžu převést certifikát do správného formátu?
Můžete požádat certifikační autoritu o poskytnutí certifikátu v požadovaném formátu. K dispozici jsou také nástroje třetích stran, které vám můžou pomoct převést certifikát na správný formát.
Můžu importovat certifikáty z partnerských certifikačních autorit?
Ano, certifikáty můžete importovat z libovolné certifikační autority, ale trezor klíčů je nebude moct obnovit automaticky. Připomenutí můžete nastavit tak, aby se zobrazovala oznámení o vypršení platnosti certifikátu.
Pokud importuji certifikát z certifikační autority partnera, bude funkce autorenewal stále fungovat?
Ano. Po nahrání certifikátu nezapomeňte v zásadách vystavování certifikátu zadat automatickérotování. Nastavení zůstane platné, dokud se nevyvolá další cyklus nebo verze certifikátu.
Proč se mi nezobrazuje certifikát služby App Service, který jsem naimportoval do služby Key Vault?
Pokud jste certifikát úspěšně naimportovali, měli byste ho ověřit v podokně Tajné kódy .
Návody kombinovat certifikáty v jednom . PEM nebo . Soubor PFX pro import celé sady certifikátů do služby Key Vault?
Certifikační autority mohou poskytnout možnost stáhnout certifikát jednotlivě (kořenový, zprostředkující, list) nebo stáhnout všechny z nich v jednom souboru. Při importu certifikátů do služby Key Vault vám certifikační autority umožňují importovat jeden nebo celý řetěz.
Obnovení certifikátů služby Azure Key Vault
Co když je vystavený certifikát ve stavu *disabled* na webu Azure Portal?
Přejděte do operace certifikátu a zobrazte chybovou zprávu certifikátu.
Návody tuto chybu vyřešit? "Certifikát csr použitý k získání vašeho certifikátu už byl použit. Zkuste vygenerovat nový certifikát s novou CSR.
Přejděte do části Rozšířené zásady certifikátu a zkontrolujte, jestli je možnost opětovného použití klíče při prodlužování platnosti vypnutá.
Jak můžu otestovat funkci automatického zápisu certifikátu?
Vytvořte certifikát podepsaný svým držitelem s platností jednoho měsíce a pak nastavte akci životnosti pro rotaci na 1 %. Během několika příštích dnů byste měli být schopni zobrazit historii verzí certifikátu.
Budou se značky replikovat po autorenewalu certifikátu?
Ano, značky se replikují po autorenewalu.
Integrace služby Key Vault s integrovanými certifikačními autoritami
Můžu pomocí služby Key Vault vygenerovat zástupný certifikát DigiCert?
Ano, ale záleží na tom, jak jste nakonfigurovali účet DigiCert.
Jak můžu pomocí digiCertu vytvořit certifikát SSL nebo EV SSL OV?
Key Vault podporuje vytváření certifikátů OV a EV SSL. Při vytváření certifikátu vyberte Pokročilá konfigurace zásad a pak zadejte typ certifikátu. Podporované hodnoty: OV-SSL, EV-SSL
Tento typ certifikátu můžete vytvořit ve službě Key Vault, pokud to váš účet DigiCert umožňuje. Pro tento typ certifikátu provádí ověření DigiCert. Pokud se ověření nezdaří, může vám pomoct tým podpory DigiCert. Informace můžete přidat při vytváření certifikátu definováním informací v subjectNamesouboru .
Například: SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US".
Vytvoření certifikátu DigiCert prostřednictvím integrace trvá déle, než když ho získá přímo od DigiCertu?
Ne. Při vytváření certifikátu může proces ověření nějakou dobu trvat. DigiCert řídí tento proces.