En este artículo se responden las preguntas más frecuentes sobre los certificados de Azure Key Vault.
Importación de certificados Azure Key Vault
¿Cómo puedo importar un certificado en Azure Key Vault?
Para una operación de importación de certificados, Azure Key Vault acepta dos formatos de archivo de certificado: PEM y PFX. Aunque solo hay archivos PEM con la parte pública, Key Vault requiere y acepta solo un archivo PEM o PFX con una clave privada. Para obtener más información, consulte Importar un certificado para Key Vault.
Después de importar un certificado protegido con contraseña para Key Vault y, a continuación, descárguelo, ¿por qué no puedo ver la contraseña asociada a él?
Después de importar y proteger un certificado en Key Vault, no se guarda su contraseña asociada. La contraseña solo es necesaria una vez durante la operación de importación. Esto es por diseño, pero siempre puede obtener el certificado como un secreto y convertirlo de Base64 a PFX agregando la contraseña a través de Azure PowerShell.
¿Cómo se puede resolver un error de "parámetro incorrecto"? ¿Cuáles son los formatos de certificado admitidos para importar a Key Vault?
Al importar un certificado, debe asegurarse de que la clave esté incluida en el archivo. Si tiene una clave privada almacenada por separado en un formato diferente, debe combinar la clave con el certificado. Algunas entidades de certificación (CA) proporcionan certificados en otros formatos. Por lo tanto, antes de importar el certificado, asegúrese de que se encuentra en formato de archivo PEM o PFX y de que la clave usa el cifrado de Rivest, Shamir y Adleman (RSA) o de criptografía de curva elíptica (ECC).
Para más información, consulte los requisitos de certificado y los requisitos de clave de certificado.
¿Se puede importar un certificado mediante una plantilla de ARM?
No, no es posible realizar operaciones de certificado mediante una plantilla de Azure Resource Manager (ARM). Una solución alternativa recomendada sería usar los métodos de importación de certificados en la API de Azure, el CLI de Azure o PowerShell. Si ya tiene un certificado, puede importarlo como secreto.
Al importar un certificado a través del portal de Azure, obtengo un error "Algo salió mal". ¿Cómo puedo investigar más?
Para ver un error más descriptivo, importe el archivo de certificado mediante la CLI de Azure o Azure PowerShell.
Al importar un certificado a través del portal de Azure, obtengo un error "El tamaño del certificado X.509 es demasiado largo". ¿Cuál debo hacer?
El error indica que el certificado puede que sea demasiado largo, podría incluir muchos certificados en un único archivo. Se trata de un límite rígido y, por consiguiente, no se puede aumentar. La solución es acortar el contenido del archivo de certificado para que se ajuste al límite de nuestro tamaño.
¿Cómo se resuelve este error? "Tipo de error: Acceso denegado o usuario no autorizado para importar el certificado"
La operación de importación requiere que conceda permisos de usuario para importar el certificado. Si usa Azure RBAC (recomendado), asigne el rol de Key Vault Certificates Officer al usuario. Si usas políticas de acceso (legacy), ve a tu bóveda de claves, selecciona políticas>de acceso Añadir política>de acceso Selecciona Certificate Permissions>Principal, busca el usuario y luego añade la dirección de correo electrónico del usuario.
Para obtener más información sobre el control de acceso relacionado con el certificado, consulte About Azure Key Vault certificates.
¿Cómo se resuelve este error? "Tipo de error: Conflicto al crear un certificado"
El nombre de cada certificado debe ser único. Un certificado con el mismo nombre podría estar en un estado de eliminación temporal. Además, según la composición de un certificado, cuando se crea un certificado, se crea un secreto direccionable con el mismo nombre, por lo que, si hay otra clave o secreto en el almacén de claves con el mismo nombre que el que intenta especificar para el certificado, no se podrá crear este y deberá quitar esa clave o secreto o usar un nombre diferente para él.
Para más información, consulte Operación de recuperación de certificado eliminado.
¿Cómo se resuelve este error? "Tipo de error: Longitud de caracteres demasiado larga"
Este error puede deberse a dos razones:
- El nombre del firmante del certificado está limitado a 200 caracteres.
- La contraseña del certificado está limitada a 200 caracteres.
¿Cómo se resuelve este error? "El contenido del certificado PEM X.509 especificado tiene un formato inesperado. Compruebe si el certificado tiene un formato PEM válido".
Compruebe que el contenido del archivo PEM usa separadores de línea de estilo UNIX (\n)
¿Puedo importar un certificado expirado a Azure Key Vault?
No, los certificados PFX expirados no se pueden importar a Key Vault.
¿Cómo se puede convertir el certificado al formato adecuado?
Puede pedir a la entidad de certificación que proporcione el certificado en el formato necesario. También hay herramientas de terceros que pueden ayudarle a convertir el certificado al formato adecuado.
¿Puedo importar certificados de entidades de certificación no asociadas?
Sí, puede importar certificados desde cualquier entidad de certificación, pero el almacén de claves no podrá renovarlos automáticamente. Puede establecer avisos para recibir notificaciones sobre la expiración del certificado.
Si se importa un certificado de una entidad de certificación asociada, ¿seguirá funcionando la característica de renovación automática?
Sí. Una vez cargado el certificado, asegúrese de especificar la rotación automática en la directiva de emisión del certificado. La configuración permanecerá en vigor hasta que se publique el siguiente ciclo o versión de certificado.
¿Por qué no puedo ver el certificado de App Service que he importado a Key Vault?
Si ha importado el certificado correctamente, debería poder confirmarlo en el panel Secretos.
¿Cómo combino certificados en un único archivo .PEM o .PFX para importar todo el paquete de certificados a Key Vault?
Las entidades de certificación pueden proporcionar la opción de descargar certificados individualmente (raíz, intermedio, hoja) o descargarlos todos en un único archivo. Al importar certificados en Key Vault, las entidades de certificación le permiten importar una o una cadena completa.
Renovación de los certificados de Azure Key Vault
¿Qué ocurre si el certificado emitido está en el estado *deshabilitado* en el portal de Azure?
Vaya a Operación de certificado y vea el mensaje de error del certificado.
¿Cómo se resuelve este problema? "El CSR utilizado para obtener su certificado ya ha sido usado." Please try to generate a new certificate with a new CSR." (El CSR usado para obtener el certificado ya se ha usado. Intente generar un nuevo certificado con un nuevo CSR).
Vaya a la sección "Directiva avanzada" del certificado y compruebe si la opción reuse key on renewal (usar clave al renovar) está desactivada.
¿Cómo se puede probar la característica de rotación automática del certificado?
Cree un certificado autofirmado con una validez de un mes y, a continuación, establezca la acción de ciclo de vida para la rotación en 1%. Debería poder ver el historial de versiones del certificado que se va a crear en los próximos días.
¿Se replicarán las etiquetas después de la renovación automática del certificado?
Sí, las etiquetas se replican después de la renovación automática.
Integración de Key Vault con entidades de certificación integradas
¿Puedo generar un certificado comodín de DigiCert mediante Key Vault?
Sí, aunque depende de cómo haya configurado la cuenta de DigiCert.
¿Cómo puedo crear un certificado OV SSL o EV SSL con DigiCert?
Key Vault admite la creación de certificados SSL de OV y EV. Al crear un certificado, seleccione Configuración de directiva avanzada y, a continuación, especifique el tipo de certificado. Valores admitidos: OV-SSL, EV-SSL
Puede crear este tipo de certificado en Key Vault si la cuenta de DigiCert la permite. Para este tipo de certificado, DigiCert realiza la validación. Si se produce un error en la validación, el equipo de soporte técnico de DigiCert puede ayudarle. Puede agregar información al crear un certificado definiendo la información en subjectName.
Por ejemplo: SubjectName="CN = mms.heiai.top, OU = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = WA, C = US".
¿Se tarda más tiempo en crear un certificado de DigiCert a través de la integración que en adquirirlo directamente de DigiCert?
No. Al crear un certificado, el proceso de comprobación puede tardar tiempo. DigiCert controla ese proceso.