Dieser Artikel beantwortet häufig gestellte Fragen zu Azure Key Vault-Zertifikaten.
Importieren von Azure Key Vault-Zertifikaten
Wie kann ich ein Zertifikat in Azure Key Vault importieren?
Für den Vorgang zum Importieren von Zertifikaten akzeptiert Azure Key Vault zwei Zertifikatformate: PEM und PFX. Es gibt zwar auch PEM-Dateien, die nur den öffentlichen Teil enthalten, aber Key Vault benötigt und akzeptiert nur eine PEM- oder PFX-Datei mit einem privaten Schlüssel. Weitere Informationen finden Sie unter Importieren eines Zertifikats in Key Vault.
Warum kann ich nach dem Importieren eines kennwortgeschützten Zertifikats in Key Vault und dem anschließenden Download das zugehörige Kennwort nicht sehen?
Nachdem ein Zertifikat in Key Vault importiert und geschützt wurde, wird das zugehörige Kennwort nicht mehr gespeichert. Das Kennwort wird nur einmal während des Importvorgangs benötigt. Dies ist so beabsichtigt, aber Sie können das Zertifikat immer als Geheimnis abrufen und aus Base64 in PFX konvertieren, indem Sie das Kennwort über Azure PowerShell hinzufügen.
Wie kann ich einen Fehler vom Typ „Falscher Parameter“ beheben? Welche Zertifikatformate werden beim Importieren in Key Vault unterstützt?
Wenn Sie ein Zertifikat importieren, müssen Sie sicherstellen, dass der Schlüssel in der Datei enthalten ist. Falls Sie einen privaten Schlüssel in einem anderen Format gespeichert haben, müssen Sie den Schlüssel mit dem Zertifikat kombinieren. Einige Zertifizierungsstellen (ZS) stellen Zertifikate in anderen Formaten bereit. Stellen Sie daher vor dem Importieren des Zertifikats sicher, dass es im Dateiformat PEM oder PFX vorliegt und dass für den Schlüssel entweder die RSA- (Rivest-Shamir-Adleman) oder die ECC-Verschlüsselung (Elliptic Curve Cryptography) verwendet wird.
Weitere Informationen finden Sie unter Zertifikatanforderungen und Kryptografischer Schutz.
Kann ich ein Zertifikat mit einer ARM-Vorlage importieren?
Nein. Es ist nicht möglich, Zertifikatvorgänge mit einer ARM-Vorlage (Azure Resource Manager) durchzuführen. Eine empfohlene Problemumgehung ist die Verwendung der Methoden für den Zertifikatimport in der Azure API, in der Azure CLI oder in PowerShell. Wenn Sie über ein vorhandenes Zertifikat verfügen, können Sie es als Geheimnis importieren.
Wenn ich ein Zertifikat über das Azure-Portal importiere, tritt ein Fehler der Art „Es ist ein Problem aufgetreten“ auf. Wie kann ich weitere Untersuchungen durchführen?
Importieren Sie die Zertifikatsdatei mit der Azure CLI oder mit PowerShell, wenn Sie einen Fehler mit aussagekräftigeren Informationen anzeigen möchten.
Wenn ich ein Zertifikat über die Azure-Portal importiere, erhalte ich den Fehler „Das X.509-Zertifikat ist zu lang.“. Wie sollte ich vorgehen?
Der Fehler weist darauf hin, dass Ihr Zertifikat möglicherweise zu lang ist. Unter Umständen enthält es zahlreiche Zertifikate in einer einzelnen Datei. Dies ist ein fester Grenzwert, der nicht erhöht werden kann. Die Lösung besteht darin, den Inhalt Ihrer Zertifikatdatei so zu kürzen, dass er unserer Größenbeschränkung entspricht.
Wie kann ich diesen Fehler beheben? „Fehlertyp: Zugriff verweigert, oder der Benutzer ist nicht autorisiert, das Zertifikat zu importieren.“
Für den Importvorgang müssen Sie die Benutzerberechtigungen zum Importieren des Zertifikats über die Zugriffsrichtlinien gewähren. Navigieren Sie hierfür zu Ihrem Schlüsseltresor, wählen Sie Zugriffsrichtlinien>Zugriffsrichtlinie hinzufügen>Zertifikatberechtigungen auswählen>Prinzipal aus, suchen Sie nach dem Benutzer, und fügen Sie anschließend die E-Mail-Adresse des Benutzers hinzu.
Weitere Informationen zu zertifikatbezogenen Zugriffsrichtlinien finden Sie unter Informationen zu Azure Key Vault-Zertifikaten.
Wie kann ich diesen Fehler beheben? „Fehlertyp: Konflikt beim Erstellen eines Zertifikats“
Jeder Zertifikatname muss eindeutig sein. Ein Zertifikat mit demselben Namen kann sich unter Umständen im vorläufig gelöschten Zustand befinden. Außerdem gilt basierend auf der Zusammensetzung eines Zertifikats Folgendes: Wenn ein neues Zertifikat erstellt wird, wird ein adressierbares Geheimnis mit demselben Namen erstellt. Wenn also im Schlüsseltresor ein weiterer Schlüssel oder ein Geheimnis mit demselben Namen enthalten ist, den oder das Sie für Ihr Zertifikat festlegen möchten, schlägt die Zertifikaterstellung fehl, und Sie müssen den Schlüssel oder das Geheimnis entweder entfernen oder einen anderen Namen für Ihr Zertifikat verwenden.
Weitere Informationen finden Sie unter Vorgang „GetDeletedCertificate“.
Wie kann ich diesen Fehler beheben? „Fehlertyp: Char-Länge zu groß.“
Dieser Fehler kann aus zwei Gründen auftreten:
- Der Name des Zertifikatantragstellers ist auf eine Länge von 200 Zeichen beschränkt.
- Das Zertifikatkennwort ist auf eine Länge von 200 Zeichen beschränkt.
Wie kann ich diesen Fehler beheben? „Der Inhalt des angegebenen PEM-X.509-Zertifikats weist ein unerwartetes Format auf. Überprüfen Sie, ob das Zertifikat im gültigen PEM-Format ist.“
Vergewissern Sie sich, dass der Inhalt der PEM-Datei Zeilentrennzeichen im UNIX-Stil ((\n)) verwendet.
Kann ich ein abgelaufenes Zertifikat in Azure Key Vault importieren?
Nein. Abgelaufene PFX-Zertifikate können nicht in Key Vault importiert werden.
Wie kann ich mein Zertifikat in das richtige Format konvertieren?
Sie können bei Ihrer Zertifizierungsstelle darum bitten, dass das Zertifikat im gewünschten Format bereitgestellt wird. Es gibt auch Drittanbietertools, mit denen Sie das Zertifikat in das richtige Format konvertieren können.
Kann ich Zertifikate von Zertifizierungsstellen importieren, die keine Partner sind?
Ja. Sie können Zertifikate von beliebigen Zertifizierungsstellen importieren, aber diese können von Ihrem Schlüsseltresor nicht automatisch verlängert werden. Sie können Erinnerungen einrichten, damit Sie über den Ablauf des Zertifikats benachrichtigt werden.
Funktioniert das Feature für die automatische Verlängerung auch, wenn ich ein Zertifikat von einer Partnerzertifizierungsstelle importiere?
Ja. Nachdem Sie das Zertifikat hochgeladen haben, müssen Sie die automatische Rotation in der Ausstellungsrichtlinie des Zertifikats angeben. Ihre Einstellungen bleiben so lange in Kraft, bis der nächste Zyklus beginnt oder die nächste Zertifikatversion veröffentlicht wird.
Warum kann ich das App Service-Zertifikat nicht sehen, dass ich in Key Vault importiert habe?
Wenn der Import des Zertifikats erfolgreich war, sollten Sie dies im Bereich Geheimnisse bestätigen können.
Wie kombiniere ich Zertifikate in einer einzigen PEM-oder PFX-Datei, damit das gesamte Zertifikatpaket in Key Vault importiert wird?
Zertifizierungsstellen können Ihnen die Option zum einzelnen Herunterladen des Zertifikats (Stamm, Zwischen, Blatt (root, intermediate, leaf)) oder zum Herunterladen aller Zertifikate in einer einzelnen Datei bereitstellen. Wenn Sie Zertifikate in Key Vault importieren, gestatten Ihnen Zertifizierungsstellen den Import eines einzelnen Zertifikats oder einer ganzen Kette.
Verlängern Ihrer Azure Key Vault-Zertifikate
Was geschieht, wenn das ausgestellte Zertifikat im Azure-Portal den Status *deaktiviert* hat?
Wechseln Sie zu Zertifikatvorgang, und zeigen Sie die Fehlermeldung des Zertifikats an.
Wie kann ich diesen Fehler beheben? „The CSR used to get your certificate has already been used. Please try to generate a new certificate with a new CSR.“ (Die zum Abrufen Ihres Zertifikats verwendete CSR wurde bereits verwendet. Versuchen Sie, ein neues Zertifikat mit einer neuen CSR zu generieren.)
Navigieren Sie zum Abschnitt „Erweiterte Richtlinie“ des Zertifikats, und überprüfen Sie, ob die Option Schlüssel beim Erneuern wiederverwenden? deaktiviert ist.
Wie kann ich das Feature für die automatische Rotation des Zertifikats testen?
Erstellen Sie ein selbstsigniertes Zertifikat mit einer Gültigkeitsdauer von 1 Monat, und legen Sie dann die Lebensdaueraktion für die Rotation auf 1 % fest. Sie sollten den Verlauf der Zertifikatversion anzeigen können, der in den nächsten Tagen erstellt wird.
Werden die Tags nach der automatischen Verlängerung des Zertifikats repliziert?
Ja. Die Tags werden nach der automatischen Verlängerung repliziert.
Integrieren von Key Vault in integrierte Zertifizierungsstellen
Kann ich mit Key Vault ein DigiCert-Platzhalterzertifikat generieren?
Ja, dies hängt jedoch davon ab, wie Sie Ihr DigiCert-Konto konfiguriert haben.
Wie kann ich ein OV SSL- oder EV SSL-Zertifikat mit DigiCert erstellen?
Key Vault unterstützt die Erstellung von OV- und EV SSL-Zertifikaten. Wenn Sie ein Zertifikat erstellen, wählen Sie Erweiterte Richtlinienkonfiguration aus, und geben Sie dann den Zertifikatstyp an. Unterstützte Werte: OV-SSL, EV-SSL
Sie können dieser Typ von Zertifikat in Key Vault erstellen, sofern Ihr DigiCert-Konto dies zulässt. Bei diesem Zertifikatstyp erfolgt die Validierung durch DigiCert. Wenn die Validierung fehlschlägt, kann das DigiCert-Supportteam helfen. Sie können beim Erstellen eines Zertifikats Informationen hinzufügen, indem Sie die Informationen in subjectName festlegen.
Beispiel: SubjectName="CN = learn.microsoft.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US".
Dauert es länger, ein DigiCert-Zertifikat über die Integration zu erstellen, als es direkt bei DigiCert zu beziehen?
Nein. Wenn Sie ein Zertifikat erstellen, kann der Überprüfungsprozess Zeit in Anspruch nehmen. DigiCert steuert diesen Prozess.