Cet article offre des réponses aux questions fréquemment posées sur les certificats Azure Key Vault.
Importation de certificats Azure Key Vault
Comment importer un certificat dans Azure Key Vault ?
Pour une opération d’importation de certificat, Azure Key Vault accepte deux formats de fichier de certificat : PEM et PFX. Bien qu’il existe des fichiers PEM avec uniquement la partie publique, Key Vault requiert et accepte uniquement un fichier PEM ou PFX avec une clé privée. Pour plus d’informations, consultez Importer un certificat dans Key Vault.
Après avoir importé, puis téléchargé, un certificat protégé par mot de passe dans Key Vault, pourquoi ne puis-je pas voir le mot de passe qui lui est associé ?
Une fois qu’un certificat est importé et protégé dans Key Vault, son mot de passe associé n’est pas enregistré. Le mot de passe n’est requis qu’une seule fois pendant l’opération d’importation. Cela est fait exprès, mais vous pouvez toujours obtenir le certificat en tant que secret et le convertir de Base64 en PFX en ajoutant le mot de passe via Azure PowerShell.
Comment résoudre le problème « Erreur de paramètre incorrect » ? Quels sont les formats de certificat pris en charge pour l’importation dans Key Vault ?
Quand vous importez un certificat, vous devez vérifier que la clé est incluse dans le fichier. Si vous avez une clé privée stockée séparément dans un autre format, vous devez associer la clé au certificat. Certaines autorités de certification (CA) fournissent des certificats dans d’autres formats. Par conséquent, avant d’importer le certificat, assurez-vous qu’il est au format de fichier PEM ou PFX et que la clé utilise le chiffrement RSA (Rivest–Shamir–Adleman) ou ECC (Elliptic-Curve Cryptography).
Pour plus d’informations, consultez les conditions requises des certificats et les conditions requises relatives aux clés de certificat.
Puis-je importer un certificat à l’aide d’un modèle ARM ?
Non, il n’est pas possible d’effectuer des opérations liées au certificat à l’aide d’un modèle Azure Resource Manager (ARM). La solution recommandée consiste à utiliser les méthodes d’importation de certificat dans l’API Azure, l’interface Azure CLI ou PowerShell. Si vous disposez d’un certificat existant, vous pouvez l’importer en tant que secret.
Lorsque j’importe un certificat via le portail Azure, j’obtiens le message « Une erreur s’est produite ». Comment approfondir les investigations ?
Pour voir une erreur plus descriptive, importez le fichier de certificat via Azure CLI ou PowerShell.
Quand j’importe un certificat via le portail Azure, je reçois une erreur « La taille du certificat X.509 est trop longue ». Que dois-je faire ?
L’erreur indique que votre certificat peut être trop long : il peut inclure de nombreux certificats dans un seul fichier. C’est une limite fixe qui ne peut pas être augmentée. La solution consiste à raccourcir le contenu de votre fichier de certificat afin qu’il s’aligne sur notre limite de taille.
Comment faire pour résoudre cette erreur ? « Type d’erreur : Accès refusé ou l’utilisateur n’est pas autorisé à importer un certificat »
L’opération d’importation nécessite que vous accordiez à l’utilisateur des autorisations pour importer le certificat sous les stratégies d’accès. Pour ce faire, accédez à votre coffre de clés, sélectionnez Stratégies d’accès>Ajouter une stratégie d’accès>Sélectionner les autorisations de certificat>Principal, recherchez l’utilisateur, puis ajoutez l’adresse e-mail de l’utilisateur.
Pour plus d’informations sur les stratégies d’accès liées aux certificats, consultez À propos des certificats Azure Key Vault.
Comment faire pour résoudre cette erreur ? « Type d’erreur : Conflit lors de la création d’un certificat »
Le nom de chaque certificat doit être unique. Un certificat portant le même nom peut être dans un état de suppression réversible. En outre, selon la composition d’un certificat, quand un nouveau certificat est créé, il crée un secret adressable portant le même nom. Ainsi, il existe une autre clé ou un autre secret dans le coffre de clés portant le même nom que la clé ou le secret que vous essayez de spécifier pour votre certificat, l’opération de création du certificat échoue et vous devez supprimer cette clé ou ce secret, ou utiliser un autre nom pour votre certificat.
Pour plus d’informations, consultez Opération Obtenir un certificat supprimé.
Comment faire pour résoudre cette erreur ? « Type d’erreur : la longueur des caractères est trop longue »
Cette erreur peut se produire pour deux raisons :
- Le nom d’objet du certificat est limité à 200 caractères.
- Le mot de passe du certificat est limité à 200 caractères.
Comment faire pour résoudre cette erreur ? « Le contenu du certificat PEM X.509 spécifié est dans un format inattendu. Vérifiez si le certificat est au format PEM valide. »
Vérifiez que le contenu du fichier PEM utilise des séparateurs de ligne de type UNIX (\n)
Puis-je importer un certificat arrivé à expiration dans Azure Key Vault ?
Non, les certificats PFX arrivés à expiration ne peuvent pas être importés dans Key Vault.
Comment puis-je convertir mon certificat au format approprié ?
Vous pouvez demander à votre autorité de certification de fournir le certificat dans le format requis. Il existe également des outils tiers qui peuvent vous aider à convertir le certificat dans le format approprié.
Puis-je importer des certificats d’autorités de certification non-partenaires ?
Oui, vous pouvez importer des certificats à partir de n’importe quelle autorité de certification, mais votre coffre de clés ne pourra pas renouveler automatiquement ces certificats. Vous pouvez définir des rappels pour être informé de l’expiration du certificat.
Si j’importe un certificat d’une autorité de certification partenaire, la fonctionnalité de renouvellement automatique fonctionnera-t-elle toujours ?
Oui. Une fois le chargement du certificat effectué, veillez à spécifier la rotation automatique dans la stratégie d’émission du certificat. Vos paramètres restent en vigueur jusqu’au prochain cycle ou la publication de la version de certificat suivante.
Pourquoi le certificat App Service que j’ai importé dans Key Vault ne s’affiche-t-il pas ?
Si vous avez correctement importé le certificat, vous devriez être en mesure de le confirmer en accédant au volet Secrets.
Comment combiner des certificats dans un seul fichier .PEM ou .PFX pour importer le certificat entier dans Key Vault ?
Des autorités de certification peuvent offrir la possibilité de télécharger un certificat individuellement (racine, intermédiaire, feuille) ou de télécharger tous les certificats dans un seul fichier. Lorsque vous importez des certificats dans Key Vault, les autorités de certification vous permettent d’importer un ou une chaîne entière.
Renouveler des certificats Azure Key Vault
Que se passe-t-il si le certificat émis présente l’état *désactivé* dans le portail Azure ?
Accédez à Opération de certificat et affichez le message d’erreur du certificat.
Comment faire pour résoudre cette erreur ? « La CSR utilisée pour obtenir votre certificat a déjà été utilisée. Essayez de générer un nouveau certificat avec une nouvelle CSR. »
Accédez à la section « Stratégie avancée » du certificat et vérifiez si l’option « Réutiliser la clé lors du renouvellement » est désactivée.
Comment faire pour tester la fonctionnalité de rotation automatique du certificat ?
Créez un certificat auto-signé avec une validité de 1 mois, puis définissez l’action de durée de vie pour la rotation à 1 %. Vous devriez être en mesure de voir l’historique des versions de certificats créé au cours des prochains jours.
Les étiquettes seront-elles répliquées après le renouvellement automatique du certificat ?
Oui, les étiquettes sont répliquées après le renouvellement automatique.
Intégration de Key Vault aux autorités de certification intégrées
Puis-je générer un certificat avec caractères génériques DigiCert à l'aide de KeyVault ?
Oui, mais cela dépend de la façon dont vous avez configuré votre compte DigiCert.
Comment créer un certificat OV SSL ou EV SSL avec DigiCert ?
Key Vault prend en charge la création des certificats OV et EV SSL. Lorsque vous créez un certificat, sélectionnez Configuration de stratégie avancée, puis spécifiez le type de certificat. Valeurs prises en charge : OV-SSL
, EV-SSL
Vous pouvez créer ce type de certificat dans Key Vault si votre compte DigiCert le permet. Pour ce type de certificat, la validation est effectuée par DigiCert. En cas d'échec de la validation, l'équipe du support technique DigiCert peut vous aider. Lors de la création d'un certificat, vous pouvez ajouter des informations en les définissant dans subjectName
.
Par exemple : SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US"
.
La création d'un certificat DigiCert via l'intégration prend-elle plus de temps que son acquisition directe auprès de DigiCert ?
Non. Lorsque vous créez un certificat, le processus de vérification peut prendre du temps. DigiCert contrôle ce processus.