本文解答了有关导入 Azure Key Vault 证书的常见问题。
如何在 Azure Key Vault 中导入证书?
对于证书导入操作,Azure Key Vault 接受两种证书文件格式:PEM 和 PFX。 尽管存在只包含公共部分的 PEM 文件,但 Key Vault 要求使用且仅接受包含私钥的 PEM 或 PFX 文件。 有关详细信息,请参阅将证书导入到 Key Vault。
将受密码保护的证书导入到 Key Vault 并下载它后,为什么无法看到与其关联的密码?
在 Key Vault 中导入证书并对其进行保护后,不会保存其关联的密码。 在导入操作期间,只需使用密码一次。 这是设计使然,但你始终可以获取机密形式的证书,并通过 Azure PowerShell 添加密码,将其从 Base64 转换为 PFX。
如何解决“错误的参数”错误? 支持将哪些格式的证书导入 Key Vault?
导入证书时,需要确保密钥包含在文件中。 如果你以另一种格式单独存储私钥,则需将该私钥与证书组合在一起。 某些证书颁发机构 (CA) 提供其他格式的证书。 因此,在导入证书之前,请确保该证书为 PEM 或 PFX 文件格式,并且密钥使用 Rivest-Shamir-Adleman (RSA) 或椭圆曲线加密 (ECC) 方式的加密。
能否使用 ARM 模板导入证书?
否,不能使用 Azure 资源管理器 (ARM) 模板执行证书操作。 建议的解决方法是使用 Azure API、Azure CLI 或 PowerShell 中的证书导入方法。 如果有现成的证书,可以将其作为机密导入。
通过 Azure 门户导入证书时,我遇到了“出现问题”错误。 如何进一步进行调查?
若要查看更详细描述的错误,请通过 Azure CLI 或 PowerShell 导入证书文件。
如何解决“错误类型:访问被拒绝或用户无权导入证书”错误?
导入操作要求你授予用户在访问策略下导入证书的权限。 若要执行此操作,请转到你的密钥保管库,选择“访问策略”>“添加访问策略”>“选择证书权限”>“主体”,搜索用户,然后添加用户的电子邮件地址。
若要了解证书相关访问策略的详细信息,请参阅关于 Azure Key Vault 证书。
如何解决“错误类型:创建证书时发生冲突”错误?
每个证书名称必须唯一。 可能有同名的证书处于软删除状态。 另外,根据证书的组成中的规定,当创建新证书时,它会创建一个同名的可寻址机密,因此,如果密钥保管库中有另一个密钥或机密与你尝试为证书指定的密钥或机密同名,则证书创建将失败,你需要删除该密钥或机密,或者为证书使用其他名称。
为什么收到“错误类型: 字符长度太长”错误?
此错误可能是由以下两个原因之一导致的:
- 证书使用者名称限制为 200 个字符。
- 证书密码限制为 200 个字符。
错误“指定的 PEM X.509 证书内容为意外格式。 请检查证书是否为有效的 PEM 格式。”
请验证 PEM 文件中的内容是否使用 UNIX 样式的行分隔符 (\n)
是否可以将过期的证书导入到 Azure Key Vault?
否。过期的 PFX 证书无法导入到 Key Vault。
如何将证书转换为正确的格式?
你可以要求 CA 提供所需格式的证书。 还有第三方工具可以帮助你将证书转换为正确的格式。
能否从非合作伙伴 CA 导入证书?
是的,你可以从任何 CA 导入证书,但你的密钥保管库将无法自动续订这些证书。 你可以设置提醒来接收有关证书过期的通知。
如果导入合作伙伴 CA 颁发的证书,自动续订功能是否仍然有效?
是的。 上传证书后,请确保在证书的颁发策略中指定自动轮换。 设置将一直有效,直到下一个周期或证书版本发布。
为什么看不到我导入到 Key Vault 的应用服务证书?
如果已成功导入证书,你应该可以通过转到“机密”窗格来确认证书。
如何在单个 .PEM 和 .PFX 中合并证书,以将整个证书捆绑导入到 Key Vault?
证书颁发机构可能会提供分别下载证书(根证书、中间证书、分支证书)或在单个文件中下载所有证书的选项。 在 Key Vault 中导入证书时,可通过该选项导入一个证书或整个链,这由你来决定。