In diesem Artikel werden häufig gestellte Fragen zu Azure Key Vault Zertifikaten beantwortet.
Importieren von Azure Key Vault Zertifikaten
Wie kann ich ein Zertifikat in Azure Key Vault importieren?
Bei einem Zertifikatimportvorgang akzeptiert Azure Key Vault zwei Zertifikatdateiformate: PEM und PFX. Obwohl es PEM-Dateien nur mit dem öffentlichen Teil gibt, erfordert Key Vault nur eine PEM- oder PFX-Datei mit einem privaten Schlüssel. Weitere Informationen finden Sie unter Importieren eines Zertifikats für Key Vault.
Nachdem ich ein kennwortgeschütztes Zertifikat in Key Vault importiert und dann heruntergeladen habe, warum kann ich das Kennwort, das diesem zugeordnet ist, nicht sehen?
Nachdem ein Zertifikat in Key Vault importiert und geschützt wurde, wird das zugehörige Kennwort nicht gespeichert. Das Kennwort wird nur einmal während des Importvorgangs benötigt. Dies ist beabsichtigt, aber Sie können das Zertifikat immer als geheimer Schlüssel abrufen und von Base64 in PFX konvertieren, indem Sie das Kennwort über Azure PowerShell hinzufügen.
Wie kann ich einen Fehler vom Typ „Falscher Parameter“ beheben? Was sind die unterstützten Zertifikatformate für den Import in Key Vault?
Wenn Sie ein Zertifikat importieren, müssen Sie sicherstellen, dass der Schlüssel in der Datei enthalten ist. Falls Sie einen privaten Schlüssel in einem anderen Format gespeichert haben, müssen Sie den Schlüssel mit dem Zertifikat kombinieren. Einige Zertifizierungsstellen (ZS) stellen Zertifikate in anderen Formaten bereit. Stellen Sie daher vor dem Importieren des Zertifikats sicher, dass es im Dateiformat PEM oder PFX vorliegt und dass für den Schlüssel entweder die RSA- (Rivest-Shamir-Adleman) oder die ECC-Verschlüsselung (Elliptic Curve Cryptography) verwendet wird.
Weitere Informationen finden Sie unter Zertifikatanforderungen und Zertifikatschlüsselanforderungen.
Kann ich ein Zertifikat mit einer ARM-Vorlage importieren?
Nein, es ist nicht möglich, Zertifikatvorgänge mithilfe einer Azure Resource Manager(ARM)-Vorlage auszuführen. Eine empfohlene Problemumgehung wäre die Verwendung der Zertifikatimportmethoden in der Azure-API, der Azure CLI oder PowerShell. Wenn Sie über ein vorhandenes Zertifikat verfügen, können Sie es als Geheimnis importieren.
Beim Importieren eines Zertifikats über das Azure-Portal erhalte ich einen Fehler "Etwas hat nicht geklappt". Wie kann ich weitere Untersuchungen durchführen?
Um einen aussagekräftigeren Fehler anzuzeigen, importieren Sie die Zertifikatdatei mithilfe von the Azure CLI oder Azure PowerShell.
Beim Importieren eines Zertifikats über das Azure-Portal wird ein Fehler "Die Größe des X.509-Zertifikats ist zu lang" angezeigt. Wie sollte ich vorgehen?
Der Fehler weist darauf hin, dass Ihr Zertifikat möglicherweise zu lang ist. Unter Umständen enthält es zahlreiche Zertifikate in einer einzelnen Datei. Dies ist ein fester Grenzwert, der nicht erhöht werden kann. Die Lösung besteht darin, den Inhalt Ihrer Zertifikatdatei so zu kürzen, dass er unserer Größenbeschränkung entspricht.
Wie kann ich diesen Fehler beheben? „Fehlertyp: Zugriff verweigert, oder der Benutzer ist nicht autorisiert, das Zertifikat zu importieren.“
Der Importvorgang erfordert, dass Sie dem Benutzer Berechtigungen zum Importieren des Zertifikats erteilen. Wenn Sie Azure RBAC (empfohlen) verwenden, weisen Sie dem Benutzer die Rolle Key Vault Certificates Officer zu. Wenn Sie Zugriffsrichtlinien (veraltet) verwenden, wechseln Sie zu Ihrem Schlüsseltresor, wählen Sie Zugriffsrichtlinien>Zugriffsrichtlinie hinzufügen>Zertifikatberechtigungen>Principal, suchen nach dem Benutzer und fügen Sie dann die E-Mail-Adresse des Benutzers hinzu.
Weitere Informationen zur zertifikatbezogenen Zugriffssteuerung finden Sie unter About Azure Key Vault certificates.
Wie kann ich diesen Fehler beheben? „Fehlertyp: Konflikt beim Erstellen eines Zertifikats“
Jeder Zertifikatname muss eindeutig sein. Ein Zertifikat mit demselben Namen könnte sich im vorläufig gelöschten Zustand befinden. Außerdem gilt basierend auf der Zusammensetzung eines Zertifikats Folgendes: Wenn ein neues Zertifikat erstellt wird, wird ein adressierbares Geheimnis mit demselben Namen erstellt. Wenn also im Schlüsseltresor ein weiterer Schlüssel oder ein Geheimnis mit demselben Namen enthalten ist, den oder das Sie für Ihr Zertifikat festlegen möchten, schlägt die Zertifikaterstellung fehl, und Sie müssen den Schlüssel oder das Geheimnis entweder entfernen oder einen anderen Namen für Ihr Zertifikat verwenden.
Weitere Informationen finden Sie unter Vorgang „GetDeletedCertificate“.
Wie kann ich diesen Fehler beheben? „Fehlertyp: Char-Länge zu groß.“
Dieser Fehler kann aus zwei Gründen auftreten:
- Der Name des Zertifikatantragstellers ist auf eine Länge von 200 Zeichen beschränkt.
- Das Zertifikatkennwort ist auf eine Länge von 200 Zeichen beschränkt.
Wie kann ich diesen Fehler beheben? „Der Inhalt des angegebenen PEM-X.509-Zertifikats weist ein unerwartetes Format auf. Überprüfen Sie, ob das Zertifikat im gültigen PEM-Format ist.“
Überprüfen Sie, ob der Inhalt der PEM-Datei UNIX-Zeilenumbrüche verwendet (\n)
Kann ich ein abgelaufenes Zertifikat in Azure Key Vault importieren?
Nein, abgelaufene PFX-Zertifikate können nicht in Key Vault importiert werden.
Wie kann ich mein Zertifikat in das richtige Format konvertieren?
Sie können bei Ihrer Zertifizierungsstelle darum bitten, dass das Zertifikat im gewünschten Format bereitgestellt wird. Es gibt auch Drittanbietertools, mit denen Sie das Zertifikat in das richtige Format konvertieren können.
Kann ich Zertifikate von Zertifizierungsstellen importieren, die keine Partner sind?
Ja. Sie können Zertifikate von beliebigen Zertifizierungsstellen importieren, aber diese können von Ihrem Schlüsseltresor nicht automatisch verlängert werden. Sie können Erinnerungen einrichten, damit Sie über den Ablauf des Zertifikats benachrichtigt werden.
Funktioniert das Feature für die automatische Verlängerung auch, wenn ich ein Zertifikat von einer Partnerzertifizierungsstelle importiere?
Ja. Nachdem Sie das Zertifikat hochgeladen haben, müssen Sie die automatische Rotation in der Ausstellungsrichtlinie des Zertifikats angeben. Ihre Einstellungen bleiben so lange in Kraft, bis der nächste Zyklus beginnt oder die nächste Zertifikatversion veröffentlicht wird.
Warum wird das App Service-Zertifikat, das ich in Key Vault importiert habe, nicht angezeigt?
Wenn der Import des Zertifikats erfolgreich war, sollten Sie dies im Bereich Geheimnisse bestätigen können.
Wie verbinde ich Zertifikate in einem einzigen . PEM oder . PFX-Datei, damit das gesamte Zertifikatpaket in Key Vault importiert wird?
Zertifizierungsstellen können entweder zertifikate einzeln herunterladen (Stamm, Zwischenblatt) oder alle Zertifikate in einer einzigen Datei herunterladen. Wenn Sie Zertifikate in Key Vault importieren, erlauben Ihnen Zertifizierungsstellen, entweder ein einzelnes Zertifikat oder eine gesamte Kette zu importieren.
Verlängern Ihrer Azure Key Vault Zertifikate
Was geschieht, wenn sich das ausgestellte Zertifikat im Azure Portal im *disabled*-Status befindet?
Wechseln Sie zu Zertifikatvorgang, und zeigen Sie die Fehlermeldung des Zertifikats an.
Wie kann ich diesen Fehler beheben? Das CSR, das zur Anforderung Ihres Zertifikats verwendet wurde, ist bereits benutzt worden. Please try to generate a new certificate with a new CSR.“ (Die zum Abrufen Ihres Zertifikats verwendete CSR wurde bereits verwendet. Versuchen Sie, ein neues Zertifikat mit einer neuen CSR zu generieren.)
Navigieren Sie zum Abschnitt „Erweiterte Richtlinie“ des Zertifikats, und überprüfen Sie, ob die Option Schlüssel beim Erneuern wiederverwenden? deaktiviert ist.
Wie kann ich das Feature für die automatische Rotation des Zertifikats testen?
Erstellen Sie ein selbstsigniertes Zertifikat mit einer Gültigkeitsdauer von 1 Monat, und legen Sie dann die Lebensdaueraktion für die Rotation auf 1 % fest. Sie sollten den Versionsverlauf des Zertifikats anzeigen können, der in den nächsten Tagen erstellt wird.
Werden die Tags nach der automatischen Verlängerung des Zertifikats repliziert?
Ja. Die Tags werden nach der automatischen Verlängerung repliziert.
Integrieren von Key Vault in integrierte Zertifizierungsstellen
Kann ich ein DigiCert-Wildcardzertifikat mithilfe von Key Vault generieren?
Ja, dies hängt jedoch davon ab, wie Sie Ihr DigiCert-Konto konfiguriert haben.
Wie kann ich ein OV SSL- oder EV SSL-Zertifikat mit DigiCert erstellen?
Key Vault unterstützt die Erstellung von OV- und EV SSL-Zertifikaten. Wenn Sie ein Zertifikat erstellen, wählen Sie Erweiterte Richtlinienkonfiguration aus, und geben Sie dann den Zertifikatstyp an. Unterstützte Werte: OV-SSL, EV-SSL
Sie können diesen Zertifikattyp in Key Vault erstellen, wenn Ihr DigiCert-Konto es zulässt. Bei diesem Zertifikatstyp erfolgt die Validierung durch DigiCert. Wenn die Validierung fehlschlägt, kann das DigiCert-Supportteam helfen. Sie können beim Erstellen eines Zertifikats Informationen hinzufügen, indem Sie die Informationen in subjectName festlegen.
Beispiel: SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US".
Dauert es länger, ein DigiCert-Zertifikat über die Integration zu erstellen, als es direkt bei DigiCert zu beziehen?
Nein. Wenn Sie ein Zertifikat erstellen, kann der Überprüfungsprozess Zeit in Anspruch nehmen. DigiCert steuert diesen Prozess.