本文可帮助你排查使用数字证书身份验证的 Azure 站点到站点 VPN 网关连接问题**。 其中列出了常见的错误代码,解释了其原因,并提供解决连接问题的推荐作。 使用本指南维护稳定的 VPN作,并最大程度地减少用户的中断。
常见错误代码和建议的作
| 错误代码 | 错误消息 | 建议的措施 |
|---|---|---|
| CannotSetConnectionAuthenticationForExpressRouteConnectionType | 无法为连接配置 ConnectionAuthentication {0} ,因为其类型为 ExpressRoute。 | 仅 VPN 网关连接(而不是 ExpressRoute)支持 ConnectionAuthentication。 |
| VpnGatewayKeyVaultTokenRequestParameterMissingError | 缺少请求 VPN 网关 {0}用户 Key Vault 访问令牌所需的参数。 | 网络资源提供程序(NRP)未从 Azure 资源管理器接收必要的托管标识属性。 若要解决此问题, 请开具 Azure 支持票证 以获取帮助。 |
| ManagedIdentityMissingAtGatewayLevel | 网关需要{0}才能从客户的 keyvault 连接{1}中使用 PSK/Certificate。 | 将 用户分配的托管标识 添加到网关,以从 Key Vault 访问证书或预共享密钥。 |
| MaxRootCertificatePublicKeySupported | 支持 最多 {0} 根证书和中间证书公钥({1})。 | 减少证书链长度。 Azure 支持证书链(根 + 中间证书), 最大长度为 5 个证书。 |
| VpnGatewayConnectionAuthenticationUsingCertInCustomerKeyvaultIsNotEnabled | 未为网关{0}启用基于 VPN 网关证书的连接身份验证。 | 未为 Azure 订阅启用数字证书身份验证。 若要解决此问题, 请开具 Azure 支持票证 以获取帮助。 |
| VpnGatewayManagedIdentitySupportIsNotEnabled | 未为 VPN 网关启用{0}。 | 你尝试将托管标识添加到 VPN 网关,但未为 Azure 订阅启用 数字证书身份验证 。 若要解决此问题, 请开具 Azure 支持票证 以获取帮助。 |
| VpnGatewayManagedIdentity | VpnGw1 或更高版本的 VPN 网关 SKU 支持托管标识。 | 若要使用托管标识,请确保 VPN 网关的大小为 VpnGw1 或更高版本。 |
| VpnGatewayConnectionAuthenticationUsingPskInCustomerKeyvaultIsNotEnabled | 未为网关启用使用存储在 Key Vault 中的 预共享密钥 的 VPN 网关 {0}连接身份验证。 | 未为 Azure 订阅启用 Key Vault 的预共享密钥身份验证。 若要启用此功能, 请开具 Azure 支持票证 以获取帮助。 |
| VpnConnectionAuthenticationRootCertificateDataInvalid | 证书身份验证的根/中间证书公钥 无效。 | 根证书无效。 验证证书格式并确保它是有效的 X.509 证书。 |
| VpnConnectionAuthenticationRootCertificateDataInvalidBecausePrivateKey | 证书身份验证的根/中间证书公钥无效,因为它具有 私钥。 | 根证书包含不支持的 私钥。 仅使用证书的 公钥部分 。 |
| VpnConnectionAuthenticationDuplicateRootCertificate | 证书身份验证的根/中间证书公钥具有 重复条目。 | 检测到重复的根证书。 删除重复的证书,然后重试连接。 |
| VpnConnectionAuthenticationCertChainCreationIssue | 使用指纹生成根/中间证书链时引发的异常: {0} 用于证书身份验证。 异常详细信息: {1}. | 证书链创建失败。 查看异常详细信息以识别和更正证书链问题。 |
| VpnConnectionAuthenticationRootCertificateIsExpired | 证书身份验证入站根证书 已过期。 添加新证书并重试。 | 将 过期的根证书 替换为有效的当前证书,然后重试连接。 |
| VpnConnectionOutBoundAuthenticationCertificateIsExpired | 证书身份验证出站证书 已过期。 添加新证书并重试。 | 使用有效的 非过期证书 更新出站证书,然后重试连接。 |
| VpnConnectionOutBoundAuthenticationCertificateIsEmpty | 证书身份验证出站证书为 空。 | VPN 网关无法从 Key Vault 检索证书。 验证证书是否存在,并且托管标识具有适当的访问权限。 |
| VpnConnectionOutBoundAuthenticationCertificateDoesNotHaveRSAPrivateKey | 证书身份验证出站证书没有 RSA 私钥。 | 出站证书缺少 RSA 私钥。 确保证书包含所需的 RSA 私钥。 |
| VpnConnectionOutBoundAuthenticationCertificateRSAPrivateKeyLength | 证书身份验证出站证书 RSA 私钥长度 至少 {0}应为 。 | 出站证书的 RSA 私钥长度不足。 使用至少具有所需长度的 RSA 私钥的证书。 |
| VpnConnectionOutBoundAuthenticationCertificateChainCreationIssue | 为证书身份验证出站证书创建证书链时出现问题。 异常详细信息 {0}。 | 查看异常详细信息并更正 用于出站身份验证的证书链。 |
| VpnConnectionOutBoundAuthenticationCertificateChainFault | 证书身份验证出站证书链 中应至少有 {0} 证书 ,但只有 {1} 证书。 | 添加 所需的证书数 以完成出站证书链。 |
| VpnConnectionInBoundAuthenticationCertificateChainFault | 证书身份验证入站证书链为 空。 | 添加包含根证书和中间证书 的有效证书链 ,以便进行入站身份验证。 |
| VpnConnectionOutBoundAuthenticationCertificateChainDoesNotHaveRootCert | 证书身份验证出站证书链没有 根证书。 | 将 有效的根证书 添加到出站证书链,然后重试连接。 |
| VpnConnectionInBoundAuthenticationCertificateChainDoesNotHaveRootCert | 证书身份验证入站证书链没有 根证书。 | 将 有效的根证书 添加到入站证书链,然后重试连接。 |
| VpnConnectionInBoundAuthenticationCertificateChainDoesNotHaveAllGivenCerts | 为证书身份验证提供的所有证书入站证书链不属于 单个证书链。 | 确保入站链中的所有证书都属于 单个有效的证书链。 |
| VpnConnectionOutBoundAuthenticationCertificateClientAndServerAuth | 证书身份验证出站证书应在增强型密钥使用扩展中同时具有 客户端和服务器身份验证 。 | 增强密钥用法扩展中的 客户端和服务器身份验证 缺少出站证书。 确保证书包含 这两种身份验证类型。 |
| ConnectionAuthenticationPSKAmbiguity | 预 共享密钥存在歧义。 SharedKey 和 SharedKeyKeyvaultId 都存在于连接对象中。 | 从连接对象中删除 SharedKey 或 SharedKeyvaultId ,以便 仅存在一个预共享密钥方法 。 |
| InvalidCertificateAuthenticationObject | 当 AuthenticationType 是预共享密钥时,CertificateAuthentication 应为 null。 | 使用基于预共享密钥的连接身份验证时删除 CertificateAuthentication 对象。 |
| CertificateAuthenticationObjectIsEmpty | 当 AuthenticationType 为 Certificate 时,CertificateAuthentication 不应为 null。 | 使用基于证书的连接身份验证时添加有效的 CertificateAuthentication 对象。 |
| InvalidPskExist | SharedKey/当 AuthenticationType 为 Certificate 时,SharedKeyvaultId 应为空。 | 使用基于证书的身份验证时删除 /SharedKeyvaultId。 |
| CertificateSubjectNameIsEmpty | 当 AuthenticationType 为 Certificate 时,CertificateAuthentication 中的 InboundAuthCertificateSubjectName 不应为空。 | 为入站身份验证证书提供 有效的使用者名称 。 |
| InboundAuthCertificateChainIsEmpty | 当 AuthenticationType 为 Certificate 时,CertificateAuthentication 中的 InboundAuthCertificateChain 不应为空。 | 添加用于入站身份验证 的有效证书链 。 |
| OutboundAuthCertificateIsEmpty | 当 AuthenticationType 为 Certificate 时,CertificateAuthentication 中的 OutboundAuthCertificate 不应为空。 | 添加 有效的出站身份验证证书。 |
| VpnGatewayKeyVaultTokenRequestError | Vpn 网关“”{0}。 | VPN 网关无法访问 Key Vault。 打开 Azure 支持票证 以获得帮助。 |
| VpnGatewayKeyVaultSecretException | 访问和验证与资源类型(ID 为“'){0}关联的 {1}时出现问题。 请参阅以下详细信息: | VPN 网关无法访问 Key Vault。 打开 Azure 支持票证 以获得帮助。 |
| VpnGatewayKeyVaultSecretNotFound | {0}资源类型(ID 为“')的 KeyVault 机密”{1}{2}”。 | 密钥保管库中 找不到机密或证书 。 验证机密是否存在且名称正确。 |
| VpnGatewayKeyVaultInaccessibleKeyvault | 对于资源类型为{0}“”ID 为“{1}”的 VPN 网关{2}。 | 验证 Key Vault 是否可访问 并正确配置 VPN 网关。 |
| VpnGatewayKeyVaultRequestTimeout | KeyVault 请求超时在等待资源类型{0}“”{1}时发生(ID 为“'{2})。 | 访问 Key Vault 时 VPN 网关请求 超时 。 重试该作,如果问题仍然存在, 请开具 Azure 支持票证 以获取帮助。 |
| VpnGatewayKeyVaultNameResolutionFailure | {0}资源类型的 KeyVault 主机 URL“{1}(ID 为”'{2})。 | 检查是否在 CertificateAuthentication 对象中指定了正确的出站证书 URL/路径。 |
| VpnGatewayKeyVaultSecretIsEmpty | 存储在 keyvault 中且 secretId 为“{0}”的机密对于资源类型(ID 为“'”{1})为{2}。 | 将 有效的机密 添加到指定资源的 Key Vault。 |
| VpnGatewayKeyVaultCertIsEmpty | 证书“{0}”存储在 keyvault 中的证书对于资源类型(ID 为“'{1}”)为{2}。 | 将 有效的证书 添加到指定资源的 Key Vault。 |
| PlainTextSharedKeyDoesnotExistCertIsGettingUsedForAuthentication | 作无效。 纯文本共享密钥不存在。 连接中使用身份验证类型{0}的 ConnectionAuthentication。 | 尝试检索共享密钥,但连接配置为用于 证书身份验证。 对连接类型使用 适当的身份验证方法 。 |
| PlainTextSharedKeyDoesnotExistSharedKeyStoredInKeyvaultIsGettingUsedForAuthentication | 作无效。 纯文本共享密钥不存在。 存储在 keyvault 中的共享密钥正在连接{0}中使用。 | 尝试检索共享密钥,但连接使用 存储在 Key Vault 中的预共享密钥。 对连接类型使用 适当的身份验证方法 。 |
| ResetSharedKeyIsNotSupportedBecauseNonPlainTextSharedKeyIsGettingUsedForConnectionAuthentication | 不支持的作。 连接中使用了{0}的 ConnectionAuthentication。 | 如果需要重置功能,请使用 纯文本共享密钥 进行连接身份验证。 |
| CannotDeleteManagedIdentity | 无法删除标识。 它通过连接 {0} 来访问 keyvault 机密 {1}。 | 托管 标识当前 正由用于 Key Vault 身份验证的连接使用。 在 删除该标识之前,请从连接中删除该标识。 |
| VpnGatewaySupportsUserAssignedIdentityTypeOnly | Vpn 网关“”仅支持 {0}。 提供的标识类型为 {1}. | 将标识类型更改为 VPN 网关的 UserAssigned 。 仅支持 用户分配的托管标识 。 |
| VpnGatewayAllowsOneUserAssignedIdentityOnly | Vpn 网关“”仅允许{0}。 | 删除任何其他 UserAssigned 标识,并确保 只有一个分配给 VPN 网关。 |