Domande frequenti sull'importazione dei certificati di Azure Key Vault

Questo articolo contiene le risposte alle domande frequenti sui certificati di Azure Key Vault.

Importazione dei certificati di Azure Key Vault

Come è possibile importare un certificato in Azure Key Vault?

Per un'operazione di importazione del certificato, Azure Key Vault accetta due formati di file di certificato: PEM e PFX. Anche se esistono file PEM con la sola parte pubblica, Key Vault richiede e accetta solo un file PEM o PFX con una chiave privata. Per altre informazioni, vedere Importare un certificato in Key Vault.

Perché, dopo aver importato un certificato protetto da password in Key Vault e averlo scaricato, non è possibile visualizzare la password associata?

Quando si importa e si protegge un certificato in Key Vault, la password associata non viene salvata. La password è richiesta solo una volta durante l'importazione. Questo comportamento è previsto dalla progettazione, ma è sempre possibile ottenere il certificato come segreto e convertirlo da Base64 a PFX aggiungendo la password tramite Azure PowerShell.

Come è possibile risolvere un errore "Il parametro non è valido"? Quali sono i formati di certificato supportati per l'importazione in Key Vault?

Quando si importa il certificato è necessario assicurarsi che la chiave sia inclusa nel file. Se si ha una chiave privata archiviata separatamente in un formato diverso, è necessario combinare la chiave con il certificato. Alcune autorità di certificazione (CA) forniscono i certificati in altri formati. Di conseguenza, prima di importare il certificato, assicurarsi che sia in formato PEM o PFX e che la chiave usi la crittografia Rivest-Shamir-Adleman (RSA) o la crittografia a curva ellittica (ECC).

Per altre informazioni, vedere i requisiti per i certificati e i requisiti per le chiavi dei certificati.

È possibile importare un certificato usando un modello di Resource Manager?

No, non è possibile eseguire operazioni relative ai certificati usando un modello di Azure Resource Manager (ARM). Una soluzione alternativa consigliata consiste nell'usare i metodi di importazione dei certificati nell'API di Azure, nell'interfaccia della riga di comando di Azure o in PowerShell. Se si ha un certificato esistente, è possibile importarlo come segreto.

Quando si importa un certificato tramite il portale di Azure, viene visualizzato un errore "Si è verificato un problema". Come si può eseguire un'analisi più approfondita?

Per visualizzare un errore più descrittivo, importare il file del certificato usando l'interfaccia della riga di comando di Azure o PowerShell.

Quando si importa un certificato tramite il portale di Azure, viene visualizzato l'errore "Le dimensioni del certificato X.509 sono eccessive". Cosa devo fare?

L'errore indica che il certificato potrebbe essere troppo lungo; potrebbe includere molti certificati in un unico file. Si tratta di un limite rigido che non può essere aumentato. La soluzione consiste nell'abbreviare il contenuto del file di certificato in modo che rientri nei limiti di dimensioni.

Come è possibile risolvere questo errore? Tipo di errore: accesso negato oppure l'utente non è autorizzato a importare il certificato"

Per l'operazione di importazione è necessario concedere all'utente le autorizzazioni per importare il certificato all'interno dei criteri di accesso. A tale scopo, passare all'istanza di Key Vault, selezionare Criteri di accesso>Aggiungi criterio di accesso>Selezionare Autorizzazioni del certificato>Entità di sicurezza, cercare l'utente e quindi aggiungere l'indirizzo e-mail dell'utente.

Per altre informazioni sui criteri di accesso correlati ai certificati, vedere Informazioni sui certificati di Azure Key Vault.

Come è possibile risolvere questo errore? "Tipo di errore: conflitto durante la creazione di un certificato"

Il nome di ogni certificato deve essere univoco. Un certificato con lo stesso nome potrebbe essere in stato di eliminazione temporanea. Inoltre, in base alla composizione di un certificato, quando viene creato un nuovo certificato, crea un segreto indirizzabile con lo stesso nome. Di conseguenza, se nell'istanza di Key Vault è presente un altro segreto o un'altra chiave con lo stesso nome che si sta provando a specificare per il certificato, la creazione del certificato avrà esito negativo e sarà necessario rimuovere tale chiave o segreto oppure usare un nome diverso per il certificato.

Per altre informazioni, vedere l'operazione Get Deleted Certificate.

Come è possibile risolvere questo errore? "Tipo di errore: la lunghezza in caratteri è troppo lunga"

Questo errore può essere causato da uno dei due motivi seguenti:

  • Il nome soggetto del certificato ha un limite di 200 caratteri.
  • La password del certificato ha un limite di 200 caratteri.

Come è possibile risolvere questo errore? "Il formato del contenuto del certificato PEM X.509 specificato è diverso da quanto previsto. Assicurarsi che il formato PEM del certificato sia valido."

Verificare che il contenuto nel file PEM usi separatori di riga in stile UNIX (\n)

È possibile importare un certificato scaduto in Azure Key Vault?

No, i certificati PFX scaduti non possono essere importati in Key Vault.

Come è possibile convertire il certificato nel formato corretto?

È possibile chiedere alla CA di fornire il certificato nel formato richiesto. Sono disponibili anche strumenti di terze parti che consentono di convertire il certificato nel formato corretto.

È possibile importare certificati da CA non partner?

Sì, è possibile importare certificati da qualsiasi CA, ma Key Vault non sarà in grado di rinnovarli automaticamente. È possibile impostare promemoria per ricevere una notifica sulla scadenza del certificato.

Se si importa un certificato da una CA partner, la funzionalità di rinnovo automatico funzionerà ancora?

Sì. Dopo aver caricato il certificato, assicurarsi di specificare la rotazione automatica nel criterio di rilascio del certificato. Le impostazioni rimarranno effettive fino al ciclo successivo o al rilascio della versione successiva del certificato.

Perché non è possibile visualizzare il certificato del servizio app importato in Key Vault?

Se il certificato è stato importato correttamente, dovrebbe essere possibile confermarlo passando al riquadro Segreti.

Come è possibile combinare i certificati in un singolo file PEM o PFX per importare l'intero bundle di certificati in Key Vault?

Le autorità di certificazione possono offrire la possibilità di scaricare il certificato singolarmente (radice, intermedio, foglia) o di scaricare tutto in un singolo file. Quando si importano certificati in Key Vault, le autorità di certificazione consentono di importare un certificato o un'intera catena.

Rinnovare i certificati di Azure Key Vault

Cosa succede se il certificato emesso risulta in stato disabilitato nel portale di Azure?

Passare a Operazione relativa al certificato e visualizzare il messaggio di errore del certificato.

Come si risolve questo errore? "La richiesta CSR usata per ottenere il certificato è già stata usata. Provare a generare un nuovo certificato con una nuova richiesta CSR."

Passare alla sezione "Criteri avanzati" del certificato e verificare se l'opzione "Usare di nuovo la chiave in fase di rinnovo?" è disattivata.

Come si può testare la funzionalità di rotazione automatica del certificato?

Creare un certificato autofirmato con validità pari a un mese e quindi impostare l'azione della durata per la rotazione su 1%. Entro pochi giorni dovrebbe essere possibile visualizzare la cronologia delle versioni del certificato.

I tag verranno replicati dopo il rinnovo automatico del certificato?

Sì, i tag vengono replicati dopo il rinnovo automatico.

Integrare Key Vault con autorità di certificazione integrate

È possibile generare un certificato con caratteri jolly DigiCert usando KeyVault?

Sì, anche se dipende dal modo in cui è stato configurato l'account DigiCert.

Come si crea un certificato OV-SSL o EV-SSL con DigiCert?

Key Vault supporta la creazione di certificati OV-SSL ed EV-SSL. Durante la creazione di un certificato, selezionare Configurazione avanzata dei criteri e quindi specificare il tipo di certificato. Valori supportati: OV-SSL, EV-SSL

È possibile creare questo tipo di certificato in Key Vault se l'account Digicert lo consente. Per questo tipo di certificato, la convalida viene eseguita da DigiCert. Se la convalida ha esito negativo, è possibile rivolgersi al team di supporto di DigiCert. È possibile aggiungere le informazioni al momento della creazione del certificato, definendole in subjectName.

Ad esempio: SubjectName="CN = video2.skills-academy.com, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US".

La creazione di un certificato DigiCert mediante l'integrazione richiede più tempo rispetto ad acquisirlo direttamente da DigiCert?

No. Quando si crea un certificato, il processo di verifica può richiedere del tempo. Il processo è controllato da DigiCert.

Passaggi successivi