导入 Azure Key Vault 证书常见问题解答

本文解答了有关 Azure Key Vault 证书的常见问题。

导入 Azure Key Vault 证书

如何在 Azure Key Vault 中导入证书?

对于证书导入操作,Azure Key Vault 接受两种证书文件格式:PEM 和 PFX。 尽管存在只包含公共部分的 PEM 文件,但 Key Vault 要求使用且仅接受包含私钥的 PEM 或 PFX 文件。 有关详细信息,请参阅将证书导入到 Key Vault

将受密码保护的证书导入到 Key Vault 并下载它后,为什么无法看到与其关联的密码?

在 Key Vault 中导入证书并对其进行保护后,不会保存其关联的密码。 在导入操作期间,只需使用密码一次。 这是设计使然,但你始终可以获取机密形式的证书,并通过 Azure PowerShell 添加密码,将其从 Base64 转换为 PFX。

如何解决“错误的参数”错误? 支持将哪些格式的证书导入 Key Vault?

导入证书时,需要确保密钥包含在文件中。 如果你以另一种格式单独存储私钥,则需将该私钥与证书组合在一起。 某些证书颁发机构 (CA) 提供其他格式的证书。 因此,在导入证书之前,请确保该证书为 PEM 或 PFX 文件格式,并且密钥使用 Rivest-Shamir-Adleman (RSA) 或椭圆曲线加密 (ECC) 方式的加密。

有关详细信息,请参阅证书要求证书密钥要求

能否使用 ARM 模板导入证书?

否,不能使用 Azure 资源管理器 (ARM) 模板执行证书操作。 建议的解决方法是使用 Azure API、Azure CLI 或 PowerShell 中的证书导入方法。 如果有现成的证书,可以将其作为机密导入。

通过 Azure 门户导入证书时,我遇到了“出现问题”错误。 如何进一步进行调查?

若要查看更详细描述的错误,请通过 Azure CLIPowerShell 导入证书文件。

通过 Azure 门户导入证书时,出现“X.509 证书的大小太长”错误。 应采取何种操作?

该错误表明证书可能太长,它可能包括单个文件中的许多证书。 这是无法增加的硬限制。 解决方案是缩短证书文件的内容,使其符合我们的大小限制。

如何解决此错误? “错误类型:访问被拒绝或用户无权导入证书”

导入操作要求你授予用户在访问策略下导入证书的权限。 若要执行此操作,请转到你的密钥保管库,选择“访问策略”>“添加访问策略”>“选择证书权限”>“主体”,搜索用户,然后添加用户的电子邮件地址。

若要了解证书相关访问策略的详细信息,请参阅关于 Azure Key Vault 证书

如何解决此错误? “错误类型:创建证书时发生冲突”

每个证书名称必须唯一。 可能有同名的证书处于软删除状态。 另外,根据证书的组成中的规定,当创建新证书时,它会创建一个同名的可寻址机密,因此,如果密钥保管库中有另一个密钥或机密与你尝试为证书指定的密钥或机密同名,则证书创建将失败,你需要删除该密钥或机密,或者为证书使用其他名称。

有关详细信息,请参阅“获取删除的证书”操作

如何解决此错误? “错误类型:字符长度太长”

此错误可能是由以下两个原因之一导致的:

  • 证书使用者名称限制为 200 个字符。
  • 证书密码限制为 200 个字符。

如何解决此错误? “指定的 PEM X.509 证书内容的格式异常。 请检查证书是否为有效的 PEM 格式。”

验证 PEM 文件中的内容是否使用 UNIX 样式的行分隔符 (\n)

是否可以将过期的证书导入到 Azure Key Vault?

否。过期的 PFX 证书无法导入到 Key Vault。

如何将证书转换为正确的格式?

你可以要求 CA 提供所需格式的证书。 还有第三方工具可以帮助你将证书转换为正确的格式。

能否从非合作伙伴 CA 导入证书?

是的,你可以从任何 CA 导入证书,但你的密钥保管库将无法自动续订这些证书。 你可以设置提醒来接收有关证书过期的通知。

如果导入合作伙伴 CA 颁发的证书,自动续订功能是否仍然有效?

是的。 上传证书后,请确保在证书的颁发策略中指定自动轮换。 设置将一直有效,直到下一个周期或证书版本发布。

为什么看不到我导入到 Key Vault 的应用服务证书?

如果已成功导入证书,你应该可以通过转到“机密”窗格来确认证书。

如何在单个 .PEM 和 .PFX 中合并证书,以将整个证书捆绑导入到 Key Vault?

证书颁发机构可能会提供分别下载证书(根证书、中间证书、分支证书)或在单个文件中下载所有证书的选项。 在将证书导入 Key Vault 时,证书颁发机构将允许导入一个证书或整个链。

续订 Azure Key Vault 证书

如果颁发的证书在 Azure 门户中处于禁用状态怎么办?

转到“证书操作”并查看证书的错误消息。

如何解决此错误? “用于获取证书的 CSR 已被使用。 请尝试使用新的 CSR 生成新的证书。”

转到证书的“高级策略”部分,检查是否关闭了“续订时重用密钥”选项。

如何测试证书的自动轮换功能?

创建一个有效期为 1 个月的自签名证书,然后将其轮换的生存期操作设置为 1%。 你应该能够查看在接下来几天内创建的证书版本历史记录。

在自动续订证书后是否复制标记?

是的,在自动续订后复制标记。

将 Key Vault 与集成证书颁发机构集成

能否使用密钥保管库生成 DigiCert 通配符证书?

是的,但这取决于你对 DigiCert 帐户的配置。

如何使用 DigiCert 创建 OV SSL 或 EV SSL 证书?

密钥保管库支持创建 OV 和 EV SSL 证书。 创建证书时,选择“高级策略配置”,然后指定证书类型。 支持的值:OV-SSLEV-SSL

如果 DigiCert 帐户允许,可以在密钥保管库中创建这种类型的证书。 对于这种类型的证书,验证由 DigiCert 执行。 如果验证失败,DigiCert 支持团队可以提供帮助。 通过在 subjectName 中定义信息,可以在创建证书时添加信息。

例如:SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US"

通过集成创建 DigiCert 证书的时间是否比直接从 DigiCert 获取证书长?

否。 创建证书时,验证过程可能需要一些时间。 DigiCert 控制该过程。