导入 Azure Key Vault 证书常见问题解答

对于证书导入操作，Azure Key Vault 接受两种证书文件格式：PEM 和 PFX。 尽管存在只包含公共部分的 PEM 文件，但 Key Vault 要求使用且仅接受包含私钥的 PEM 或 PFX 文件。 有关详细信息，请参阅将证书导入到 Key Vault。

在 Key Vault 中导入证书并对其进行保护后，不会保存其关联的密码。 在导入操作期间，只需使用密码一次。 这是设计使然，但你始终可以获取机密形式的证书，并通过 Azure PowerShell 添加密码，将其从 Base64 转换为 PFX。

导入证书时，需要确保密钥包含在文件中。 如果你以另一种格式单独存储私钥，则需将该私钥与证书组合在一起。 某些证书颁发机构 (CA) 提供其他格式的证书。 因此，在导入证书之前，请确保该证书为 PEM 或 PFX 文件格式，并且密钥使用 Rivest-Shamir-Adleman (RSA) 或椭圆曲线加密 (ECC) 方式的加密。

有关详细信息，请参阅证书要求和证书密钥要求。

否，不能使用 Azure 资源管理器 (ARM) 模板执行证书操作。 建议的解决方法是使用 Azure API、Azure CLI 或 PowerShell 中的证书导入方法。 如果有现成的证书，可以将其作为机密导入。

若要查看更详细描述的错误，请通过 Azure CLI 或 PowerShell 导入证书文件。

该错误表明证书可能太长，它可能包括单个文件中的许多证书。 这是无法增加的硬限制。 解决方案是缩短证书文件的内容，使其符合我们的大小限制。

导入操作要求你授予用户在访问策略下导入证书的权限。 若要执行此操作，请转到你的密钥保管库，选择“访问策略”>“添加访问策略”>“选择证书权限”>“主体”，搜索用户，然后添加用户的电子邮件地址。

若要了解证书相关访问策略的详细信息，请参阅关于 Azure Key Vault 证书。

每个证书名称必须唯一。 可能有同名的证书处于软删除状态。 另外，根据证书的组成中的规定，当创建新证书时，它会创建一个同名的可寻址机密，因此，如果密钥保管库中有另一个密钥或机密与你尝试为证书指定的密钥或机密同名，则证书创建将失败，你需要删除该密钥或机密，或者为证书使用其他名称。

有关详细信息，请参阅“获取删除的证书”操作。

此错误可能是由以下两个原因之一导致的：

• 证书使用者名称限制为 200 个字符。
• 证书密码限制为 200 个字符。

验证 PEM 文件中的内容是否使用 UNIX 样式的行分隔符 (\n)

否。过期的 PFX 证书无法导入到 Key Vault。

你可以要求 CA 提供所需格式的证书。 还有第三方工具可以帮助你将证书转换为正确的格式。

是的，你可以从任何 CA 导入证书，但你的密钥保管库将无法自动续订这些证书。 你可以设置提醒来接收有关证书过期的通知。

是的。 上传证书后，请确保在证书的颁发策略中指定自动轮换。 设置将一直有效，直到下一个周期或证书版本发布。

如果已成功导入证书，你应该可以通过转到“机密”窗格来确认证书。

证书颁发机构可能会提供分别下载证书（根证书、中间证书、分支证书）或在单个文件中下载所有证书的选项。 在将证书导入 Key Vault 时，证书颁发机构将允许导入一个证书或整个链。

转到“证书操作”并查看证书的错误消息。

转到证书的“高级策略”部分，检查是否关闭了“续订时重用密钥”选项。

创建一个有效期为 1 个月的自签名证书，然后将其轮换的生存期操作设置为 1%。 你应该能够查看在接下来几天内创建的证书版本历史记录。

是的，在自动续订后复制标记。

是的，但这取决于你对 DigiCert 帐户的配置。

密钥保管库支持创建 OV 和 EV SSL 证书。 创建证书时，选择“高级策略配置”，然后指定证书类型。 支持的值：OV-SSL、EV-SSL

如果 DigiCert 帐户允许，可以在密钥保管库中创建这种类型的证书。 对于这种类型的证书，验证由 DigiCert 执行。 如果验证失败，DigiCert 支持团队可以提供帮助。 通过在 subjectName 中定义信息，可以在创建证书时添加信息。

例如：SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US"。

否。 创建证书时，验证过程可能需要一些时间。 DigiCert 控制该过程。

后续步骤

• Azure Key Vault 证书