Azure Key Vault-VM-Erweiterung für Windows

Die Azure Key Vault Virtual Machine (VM)-Erweiterung bietet eine automatische Aktualisierung von Zertifikaten, die in einem Azure Key Vault gespeichert sind. Die Erweiterung überwacht eine Liste der in Schlüsseltresoren gespeicherten, berücksichtigten Zertifikate. Wenn eine Änderung erkannt wird, ruft die Erweiterung die entsprechenden Zertifikate ab und installiert sie. In diesem Artikel werden die unterstützten Plattformen, Konfigurationen und Bereitstellungsoptionen für die Key Vault-VM-Erweiterung für Windows beschrieben.

Hinweis

Testen Sie die VM-Unterstützung für eine schnellere Diagnose. Es wird empfohlen, vm assist for Windows or VM assist for Linux auszuführen. Diese skriptbasierten Diagnosetools helfen Ihnen, häufige Probleme zu identifizieren, die sich auf den Azure VM-Gast-Agent und die allgemeine VM-Integrität auswirken.

Wenn Leistungsprobleme mit virtuellen Computern auftreten, führen Sie diese Tools aus, bevor Sie sich an den Support wenden.

Betriebssysteme

Die Key Vault VM-Erweiterung unterstützt Windows Server 2022 und Windows Server 2025 sowohl auf AMD64 als auch ARM64. Auf Windows Server 2025 werden private Schlüssel in KeyGuard gespeichert.

Hinweis

Version 4.0 der Key Vault VM-Erweiterung wird nicht auf Windows Server 2019 oder früheren Versionen installiert.

Unterstützte Zertifikate

Die Vm-Erweiterung Key Vault unterstützt die folgenden Zertifikatinhaltstypen:

  • PKCS #12
  • PEM

Hinweis

Die Key Vault-VM-Erweiterung lädt alle Zertifikate in den Windows-Zertifikatspeicher oder an den Speicherort herunter, der in der Eigenschaft in den certificateStoreLocation VM-Erweiterungseinstellungen angegeben ist.

Features

Die Key Vault VM-Erweiterung für Windows Version 4.0:

  • Installiert private Schlüssel in KeyGuard, wenn sie auf Windows Server 2025 ausgeführt wird.
  • Installiert die zwei neuesten Versionen jedes Zertifikats.
  • Führt die Überprüfung der Zertifikatkette vor der Installation eines Zertifikats aus, das die Erweiterte Schlüsselverwendung (Extended Key Usage, EKU) der TLS-Serverauthentifizierung enthält, einschließlich Zertifikaten, die andere EKUs zusammenführen (z. B. Clientauthentifizierung). Fehler bei der Kettenvalidierung verursachen einen Bereitstellungsfehler der Erweiterung. Zertifikate ohne die Serverauthentifizierungs-EKU unterliegen dieser Überprüfung nicht.

Aktualisierung von Version 3.0

Wenn Sie von 3.0 aktualisieren, werden die folgenden Features geändert oder entfernt:

  • pollingIntervalInS ist jetzt auf 5 bis 60 Minuten begrenzt. Standardmäßig wird die Abfrage einmal pro Stunde ausgeführt.
  • linkOnRenewal wurde entfernt. Verknüpfungen erfolgen immer.
  • keyExportable wurde entfernt. Private Schlüssel können nicht mehr exportiert werden.
  • requireInitialSync wurde entfernt. Die Erweiterung meldet nur erfolg, wenn alle konfigurierten Zertifikate installiert sind.
  • Das Konfigurieren einer bestimmten Version eines Zertifikats ist nicht mehr möglich.
  • Private Schlüssel werden jetzt immer über die Kryptografie-API gespeichert: Next Generation (CNG) anstelle von CAPI.

Voraussetzungen

Überprüfen Sie die folgenden Voraussetzungen für die Verwendung der Key Vault-VM-Erweiterung für Windows:

Hinweis

Das alte Zugriffsrichtlinienberechtigungsmodell kann auch verwendet werden, um Zugriff auf VMs und VM Scale Sets bereitzustellen. Für diese Methode ist eine Richtlinie mit get- und list-Berechtigungen für Geheimnisse erforderlich. Weitere Informationen finden Sie unter Zuweisen einer Key Vault-Zugriffsrichtlinie.

Erweiterungsschema

Im folgenden JSON-Code ist das Schema für die Key Vault-VM-Erweiterung dargestellt. Bevor Sie die Schemaimplementierungsoptionen berücksichtigen, lesen Sie die folgenden wichtigen Hinweise.

  • Für die Erweiterung sind keine geschützten Einstellungen erforderlich. Alle Einstellungen werden als öffentliche Informationen betrachtet.

  • Beobachtete Zertifikat-URLs sollten dem Formular https://myVaultName.vault.azure.net/secrets/myCertNamezugeordnet sein.

    Dieses Formular wird bevorzugt, da der /secrets Pfad das vollständige Zertifikat zurückgibt, einschließlich des privaten Schlüssels, aber /certificates der Pfad nicht. Weitere Informationen zu Zertifikaten finden Sie unter Azure Key Vault-Schlüssel, Geheimschlüssel und Zertifikatübersicht.

  • Die authenticationSettings Eigenschaft ist für VMs mit allen vom Benutzer zugewiesenen Identitätenerforderlich.

    Diese Eigenschaft gibt die Identität an, die für die Authentifizierung für Key Vault verwendet werden soll. Definieren Sie diese Eigenschaft mit einer vom System zugewiesenen Identität, um Probleme mit einer VM-Erweiterung mit mehreren Identitäten zu vermeiden.

{
   "type": "Microsoft.Compute/virtualMachines/extensions",
   "name": "KVVMExtensionForWindows",
   "apiVersion": "2025-04-01",
   "location": "<location>",
   "dependsOn": [
      "[concat('Microsoft.Compute/virtualMachines/', <vmName>)]"
   ],
   "properties": {
      "publisher": "Microsoft.Azure.KeyVault",
      "type": "KeyVaultForWindows",
      "typeHandlerVersion": "4.0",
      "autoUpgradeMinorVersion": true,
      "enableAutomaticUpgrade": true,
      "settings": {
         "secretsManagementSettings": {
             "observedCertificates": <An array of KeyVault URIs that represent monitored certificates, including certificate store location and ACL permission to certificate private key. Example: 
             [
                {
                    "url": <A Key Vault URI to the secret portion of the certificate. Example: "https://myvault.vault.azure.net/secrets/mycertificate1">,
                    "certificateStoreName": <The certificate store name. Example: "MY">,
                    "certificateStoreLocation": <The certificate store location, which currently works locally only. Example: "LocalMachine">,
                    "accounts": <Optional. An array of preferred accounts with read access to certificate private keys. Administrators and SYSTEM get Full Control by default. Example: ["Network Service", "Local Service"]>
                },
                {
                    "url": <Example: "https://myvault.vault.azure.net/secrets/mycertificate2">,
                    "certificateStoreName": <Example: "MY">,
                    "certificateStoreLocation": <Example: "CurrentUser">,
                    "accounts": <Example: ["Local Service"]>
                },
                {
                    "url": <Example: "https://myvault.vault.azure.net/secrets/mycertificate3">,
                    "certificateStoreName": <Example: "TrustedPeople">,
                    "certificateStoreLocation": <Example: "LocalMachine">
                }
             ]>
         },
         "authenticationSettings": {
             "msiEndpoint":  <Required when the msiClientId property is used. Specifies the MSI endpoint. Example for most Azure VMs: "http://169.254.169.254/metadata/identity/oauth2/token">,
             "msiClientId":  <Required when the VM has any user assigned identities. Specifies the MSI identity. Example:  "00001111-aaaa-2222-bbbb-3333cccc4444">
         }
      }
   }
}

Immobilienwerte

Das JSON-Schema enthält die folgenden Eigenschaften.

Name Beispiel/Wert Datentyp
apiVersion 2025-04-01 date
publisher Microsoft.Azure.KeyVault Schnur
type KeyVaultForWindows Schnur
typeHandlerVersion "4.0" Schnur
observedCertificates [{...}, {...}] Zeichenfolgenarray
observedCertificates/url „https://myvault.vault.azure.net/secrets/mycertificate" Schnur
observedCertificates/certificateStoreName MY Schnur
observedCertificates/certificateStoreLocation LocalMachine oder CurrentUser (Groß-/Kleinschreibung beachten) Schnur
observedCertificates/accounts (wahlweise) ["Netzwerkdienst"; "Lokaler Dienst"] Zeichenfolgenarray
msiEndpoint „http://169.254.169.254/metadata/identity/oauth2/token" Schnur
msiClientId 00001111-aaaa-2222-bbbb-3333cccc44444 Schnur

Bereitstellung von Vorlagen

Azure VM-Erweiterungen können mithilfe von Azure Resource Manager-Vorlagen (ARM-Vorlagen) bereitgestellt werden. Vorlagen sind ideal, wenn Sie virtuelle Computer bereitstellen, für die nach der Bereitstellung eine Aktualisierung der Zertifikate erforderlich ist. Die Erweiterung kann auf einzelne VMs oder Instanzen von Virtual Machine Scale Sets bereitgestellt werden. Das Schema und die Konfiguration sind für beide Vorlagentypen gleich.

Die JSON-Konfiguration für eine Key Vault-Erweiterung ist in der VM- oder Virtual Machine Scale Sets-Vorlage eingebettet. Bei einer VM-Ressourcenerweiterung wird die Konfiguration unter dem Objekt des "resources": [] virtuellen Computers geschachtelt. Bei einer Instanzerweiterung von Virtual Machine Scale Sets wird die Konfiguration unter dem "virtualMachineProfile":"extensionProfile":{"extensions" :[]-Objekt verschachtelt.

Die folgenden JSON-Codeausschnitte stellen Beispieleinstellungen für eine ARM-Vorlagenbereitstellung der Key Vault-VM-Erweiterung bereit.

{
   "type": "Microsoft.Compute/virtualMachines/extensions",
   "name": "KeyVaultForWindows",
   "apiVersion": "2025-04-01",
   "location": "<location>",
   "dependsOn": [
      "[concat('Microsoft.Compute/virtualMachines/', <vmName>)]"
   ],
   "properties": {
      "publisher": "Microsoft.Azure.KeyVault",
      "type": "KeyVaultForWindows",
      "typeHandlerVersion": "4.0",
      "autoUpgradeMinorVersion": true,
      "enableAutomaticUpgrade": true,
      "settings": {
         "secretsManagementSettings": {
             "observedCertificates": <An array of KeyVault URIs that represent monitored certificates, including certificate store location and ACL permission to certificate private key. Example:
             [
                {
                    "url": <A Key Vault URI to the secret portion of the certificate. Example: "https://myvault.vault.azure.net/secrets/mycertificate1">,
                    "certificateStoreName": <The certificate store name. Example: "MY">,
                    "certificateStoreLocation": <The certificate store location, which currently works locally only. Example: "LocalMachine">,
                    "accounts": <Optional. An array of preferred accounts with read access to certificate private keys. Administrators and SYSTEM get Full Control by default. Example: ["Network Service", "Local Service"]>
                },
                {
                    "url": <Example: "https://myvault.vault.azure.net/secrets/mycertificate2">,
                    "certificateStoreName": <Example: "MY">,
                    "certificateStoreLocation": <Example: "CurrentUser">,
                    "accounts": <Example: ["Local Service"]>
                },
                {
                    "url": <Example: "https://myvault.vault.azure.net/secrets/mycertificate3">,
                    "certificateStoreName": <Example: "TrustedPeople">,
                    "certificateStoreLocation": <Example: "LocalMachine">
                }
             ]>           
         },
         "authenticationSettings": {
            "msiEndpoint":  <Required when the msiClientId property is used. Specifies the MSI endpoint. Example for most Azure VMs: "http://169.254.169.254/metadata/identity/oauth2/token">,
            "msiClientId":  <Required when the VM has any user assigned identities. Specifies the MSI identity. Example: "00001111-aaaa-2222-bbbb-3333cccc4444">
         }
      }
   }
}

Automatisches Upgrade der Erweiterung

Die Key Vault VM-Erweiterung unterstützt das automatische Erweiterungsupgrade für virtuelle Computer und Skalierungssätze in Azure. Die Erweiterung wird automatisch auf dem neuesten Stand gehalten, wenn die Eigenschaften autoUpgradeMinorVersion und enableAutomaticUpgrade in den vorherigen Beispielen auf true gesetzt sind.

Reihenfolge von Erweiterungsabhängigkeiten

Die Key Vault VM-Erweiterung unterstützt die Sortierung von Erweiterungsabhängigkeiten. Die Erweiterung meldet einen erfolgreichen Start nach dem Herunterladen und Installieren aller Zertifikate.

Wenn Sie andere Erweiterungen verwenden, für die eine Installation von Zertifikaten erforderlich ist, bevor sie beginnen, können Sie die Erweiterungsabhängigkeitsbestellung verwenden, um eine Abhängigkeit von der Key Vault VM-Erweiterung zu deklarieren.

Beim Start versucht die Key Vault VM-Erweiterung, das Herunterladen und die Installation von Zertifikaten bis zu 25 Mal erneut, wobei die Rückoff-Zeiträume dabei immer länger werden, und verbleibt in einem Zustand Transitioning. Wenn die Wiederholungen erschöpft sind, meldet die Erweiterung einen Fehler-Status. Nachdem alle Zertifikate erfolgreich installiert wurden, meldet die Key Vault-VM-Erweiterung einen erfolgreichen Start.

Weitere Informationen zum Einrichten von Abhängigkeiten zwischen Erweiterungen finden Sie unter Bereitstellung der Sequenz-Erweiterung in virtuellen Computer-Skalierungssätzen.

Von Bedeutung

Die Erweiterungsabhängigkeits-Sortierungsfunktion ist nicht mit einer ARM-Vorlage kompatibel, die eine vom System zugewiesene Identität erstellt und eine Key Vault-Zugriffsrichtlinie mit dieser Identität aktualisiert. Wenn Sie versuchen, das Feature in diesem Szenario zu verwenden, tritt ein Deadlock auf, da die Key Vault-Zugriffsrichtlinie erst aktualisiert werden kann, nachdem alle Erweiterungen gestartet wurden. Verwenden Sie stattdessen eine einzelne benutzerseitig zugewiesene MSI-Identität, und wenden Sie vor der Bereitstellung eine Zugriffssteuerungsliste mit dieser Identität auf Ihre Schlüsseltresore an.

Azure PowerShell-Bereitstellung

Die Azure Key Vault-VM-Erweiterung kann mit Azure PowerShell bereitgestellt werden. Speichern Sie die Key Vault-VM-Erweiterungseinstellungen in einer JSON-Datei (settings.json).

Die folgenden JSON-Codeschnipsel enthalten Beispieleinstellungen für die Bereitstellung der Key Vault-VM-Erweiterung mit PowerShell.

{   
   "secretsManagementSettings": {
   "observedCertificates":
   [
      {
          "url": "https://<examplekv>.vault.azure.net/secrets/certificate1",
          "certificateStoreName": "MY",
          "certificateStoreLocation": "LocalMachine",
          "accounts": [
             "Network Service"
          ]
      },
      {
          "url": "https://<examplekv>.vault.azure.net/secrets/certificate2",
          "certificateStoreName": "MY",
          "certificateStoreLocation": "LocalMachine",
          "accounts": [
             "Network Service",
             "Local Service"
          ]
      }
   ]},
   "authenticationSettings": {
      "msiEndpoint":  "http://169.254.169.254/metadata/identity/oauth2/token",
      "msiClientId":  "00001111-aaaa-2222-bbbb-3333cccc4444"
   }      
}

Bereitstellen auf einer VM

# Build settings
$settings = (get-content -raw ".\settings.json")
$extName =  "KeyVaultForWindows"
$extPublisher = "Microsoft.Azure.KeyVault"
$extType = "KeyVaultForWindows"
 
# Start the deployment
Set-AzVmExtension -TypeHandlerVersion "4.0" -ResourceGroupName <ResourceGroupName> -Location <Location> -VMName <VMName> -Name $extName -Publisher $extPublisher -Type $extType -SettingString $settings

Bereitstellen in einer Virtual Machine Scale Sets-Instanz

# Build settings
$settings = ".\settings.json"
$extName = "KeyVaultForWindows"
$extPublisher = "Microsoft.Azure.KeyVault"
$extType = "KeyVaultForWindows"
  
# Add extension to Virtual Machine Scale Sets
$vmss = Get-AzVmss -ResourceGroupName <ResourceGroupName> -VMScaleSetName <VmssName>
Add-AzVmssExtension -VirtualMachineScaleSet $vmss  -Name $extName -Publisher $extPublisher -Type $extType -TypeHandlerVersion "4.0" -Setting $settings

# Start the deployment
Update-AzVmss -ResourceGroupName <ResourceGroupName> -VMScaleSetName <VmssName> -VirtualMachineScaleSet $vmss

Bereitstellung mithilfe der Azure-Befehlszeilenschnittstelle

Die Azure Key Vault-VM-Erweiterung kann mit der Azure CLI bereitgestellt werden. Speichern Sie die Key Vault-VM-Erweiterungseinstellungen in einer JSON-Datei (settings.json).

Die folgenden JSON-Codeschnipsel enthalten Beispieleinstellungen für die Bereitstellung der Key Vault-VM-Erweiterung mit der Azure CLI.

   {   
        "secretsManagementSettings": {
          "observedCertificates": [
            {
                "url": "https://<examplekv>.vault.azure.net/secrets/certificate1",
                "certificateStoreName": "MY",
                "certificateStoreLocation": "LocalMachine",
                "accounts": [
                    "Network Service"
                ]
            },
            {
                "url": "https://<examplekv>.vault.azure.net/secrets/certificate2",
                "certificateStoreName": "MY",
                "certificateStoreLocation": "LocalMachine",                
                "accounts": [
                    "Network Service",
                    "Local Service"
                ]
            }
        ]
        },
          "authenticationSettings": {
          "msiEndpoint":  "http://169.254.169.254/metadata/identity/oauth2/token",
          "msiClientId":  "00001111-aaaa-2222-bbbb-3333cccc4444"
        }      
     }

Bereitstellen auf einer VM

# Start the deployment
az vm extension set --name "KeyVaultForWindows" `
 --publisher Microsoft.Azure.KeyVault `
 --resource-group "<resourcegroup>" `
 --vm-name "<vmName>" `
 --settings "@settings.json" `
 --version "4.0"

Bereitstellen in einer Virtual Machine Scale Sets-Instanz

# Start the deployment
az vmss extension set --name "KeyVaultForWindows" `
 --publisher Microsoft.Azure.KeyVault `
 --resource-group "<resourcegroup>" `
 --vmss-name "<vmssName>" `
 --settings "@settings.json" `
 --version "4.0"

Tipp

Wenn die Erweiterungsbereitstellung fehlschlägt, müssen Sie die vorhandene Erweiterung möglicherweise löschen, bevor Sie sie mit der richtigen Version erneut installieren. Azure lässt erweiterungsabstufungen nicht zu. Daher kann das Entfernen der fehlerhaften Erweiterung zuerst erforderlich sein:

az vm extension delete --name "KeyVaultForWindows" --resource-group "<resourcegroup>" --vm-name "<vmName>"

Probleme beheben

Hier finden Sie einige Vorschläge für die Behandlung von Bereitstellungsproblemen.

Häufig gestellte Fragen überprüfen

Gibt es eine Beschränkung der Anzahl beobachteter Zertifikate?

Nein. Die Vm-Erweiterung "Key Vault" beschränkt nicht die Anzahl der beobachteten Zertifikate (observedCertificates).

Was ist die Standardberechtigung, wenn kein Konto angegeben wird?

Standardmäßig erhalten Administratoren und SYSTEM vollzugriff.

Wie bestimmen Sie, ob ein Zertifikatschlüssel CAPI1 oder CNG ist?

Ab Key Vault VM-Erweiterung 4.0 werden die privaten Schlüssel für alle Zertifikate über CNG gespeichert.

Unterstützt die Erweiterung die automatische Neubindung des Zertifikats?

Ja, die Azure Key Vault-VM-Erweiterung unterstützt die automatische Neubindung von Zertifikaten. Die Key Vault VM-Erweiterung unterstützt die S-Kanalbindung bei der Zertifikatverlängerung.

Für IIS können Sie die automatische Neubindung konfigurieren, indem Sie die automatische Neubindung von Zertifikatverlängerungen in IIS aktivieren. Die Azure Key Vault-VM-Erweiterung generiert Zertifikatlebenszyklusbenachrichtigungen, wenn ein Zertifikat mit einem übereinstimmenden SAN installiert wird. IIS verwendet dieses Ereignis, um das Zertifikat automatisch neu zu binden. Weitere Informationen finden Sie unter Certificate Rebind in IIS.

Anzeigen des Erweiterungsstatus

Überprüfen Sie den Status Ihrer Erweiterungsbereitstellung im Azure-Portal, oder mithilfe von PowerShell oder der Azure CLI.

Führen Sie den folgenden Befehl aus, um den Bereitstellungsstatus von Erweiterungen für eine bestimmte VM anzuzeigen.

  • Azure PowerShell:

    Get-AzVMExtension -ResourceGroupName <myResourceGroup> -VMName <myVM> -Name <myExtensionName>

  • Die Azure CLI:

    az vm get-instance-view --resource-group <myResourceGroup> --name <myVM> --query "instanceView.extensions"

Überprüfen von Protokollen und Konfigurationen

Die Key Vault-VM-Erweiterungsprotokolle sind nur lokal auf der VM vorhanden. Überprüfen Sie die Protokolldetails, um hilfe bei der Problembehandlung zu erhalten.

Protokolldatei BESCHREIBUNG
C:\WindowsAzure\Logs\WaAppAgent.log' Zeigt an, wann Aktualisierungen an der Erweiterung vorgenommen werden.
C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.KeyVault.KeyVaultForWindows<neueste Version>\ Zeigt den Status des Zertifikatdownloads an. Der Speicherort für den Download ist immer der persönliche Windows-Speicher („certlm.msc“) des Computers.
C:\Packages\Plugins\Microsoft.Azure.KeyVault.KeyVaultForWindows<neueste Version>\RuntimeSettings\ Die Key Vault-VM-Erweiterungsdienstprotokolle zeigen den Status des Diensts „akvvm_service“ an.
C:\Packages\Plugins\Microsoft.Azure.KeyVault.KeyVaultForWindows<neueste Version>\Status\ Die Konfiguration und Binärdateien für den Key Vault-VM-Erweiterungsdienst.

Zertifikatinstallation unter Windows

Die Key Vault-VM-Erweiterung für Windows installiert Zertifikate im Windows-Zertifikatspeicher. Wenn ein Zertifikat aus Key Vault heruntergeladen wird, ist die Erweiterung wie folgt:

  1. Installiert alle Zwischen- und Blattzertifikate, unabhängig davon, wie viele Zwischenzertifikate vorhanden sind. Stammzertifikate sind nicht installiert, da die Erweiterung nicht berechtigt ist, die Stamminstallation durchzuführen. Es liegt in der Verantwortung des Dienstbesitzers, sicherzustellen, dass das Stammzertifikat auf dem System vertrauenswürdig ist.
    • Untergeordnete Zertifikate werden im angegebenen Zertifikatspeicher (certificateStoreName) und Speicherort (certificateStoreLocation) installiert.
    • Zertifikate von Zwischenzertifizierungsstellen werden im Speicher für Zwischenzertifizierungsstellen installiert.
  2. Platziert die Zertifikate im angegebenen Zertifikatspeicher (certificateStoreName) und speicherort (certificateStoreLocation)
  3. Wendet geeignete Berechtigungen auf den privaten Schlüssel basierend auf dem in der Konfiguration angegebenen accounts an.
  4. Legt die CERT_RENEWAL Eigenschaft fest, um sicherzustellen, dass Zertifikatbindungen in Anwendungen wie IIS automatisch aktualisiert werden, wenn Zertifikate erneuert werden.

Standardzertifikatspeicher

Wenn nicht angegeben, werden Zertifikate standardmäßig an den folgenden Speicherorten installiert:

  • Speichername: MY (Persönlich)
  • Speicherort: LocalMachine

Zertifikatzugriffskontrolle

Standardmäßig erhalten Administratoren und SYSTEM Vollzugriffsberechtigungen für installierte Zertifikate. Sie können den Zugriff mithilfe des accounts Arrays in der Zertifikatkonfiguration anpassen:

"accounts": ["Network Service", "Local Service"]

Dadurch wird Lesezugriff auf die angegebenen Konten gewährt, sodass Anwendungen, die unter diesen Identitäten ausgeführt werden, die Zertifikate verwenden können.

Zertifikatverlängerung

Wenn Zertifikate im Key Vault erneuert werden, führt die Erweiterung dies automatisch durch.

  1. Lädt die neue Zertifikatversion herunter.
  2. Installiert sie im konfigurierten Zertifikatspeicher.
  3. Verwaltet vorhandene Bindungen über die CERT_RENEWAL Eigenschaft.

Verwalten des Zertifikatlebenszyklus

Für Anwendungen wie IIS, die Zertifikatdienste-Lebenszyklusbenachrichtigungen unterstützen, löst die Key Vault-VM-Erweiterung Event 1001 im Windows-Ereignisprotokoll aus, wenn ein Zertifikat mit einem übereinstimmenden alternativen Subjektnamen (Subject Alternative Name, SAN) installiert wird. IIS abonniert dieses Ereignis, um das erneuerte Zertifikat automatisch erneut zu binden, ohne den Dienst zu unterbrechen. Andere Anwendungen und Teams können auch auf Ereignis 1001 lauschen, um bei Bedarf auf Zertifikatverlängerungen zu reagieren. Weitere Informationen finden Sie unter Certificate Services Lifecycle Notifications.

Unterstützung erhalten

Hier finden Sie einige weitere Optionen, die Ihnen bei der Behebung von Bereitstellungsproblemen helfen können:

  • Um Hilfe zu erhalten, wenden Sie sich an die Azure Experten in Microsoft Q& A.

  • Wenn Sie auf der Website keine Antwort finden, können Sie eine Frage an Microsoft oder andere Mitglieder der Community stellen.

  • Sie können auch den Microsoft-Support kontaktieren. Informationen zur Verwendung von Azure-Support finden Sie unter How to create an Azure-Support request.

  • Last updated on