Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Zusammenfassung
Mit dem Anwendungsgateway können Kunden TLS-Zertifikate sicher in Azure Key Vault speichern. Bei verwendung einer Schlüsseltresorressource ist es wichtig, dass das Gateway immer Zugriff auf den verknüpften Schlüsseltresor hat. Wenn Ihr Anwendungsgateway das Zertifikat nicht abrufen kann, werden die zugehörigen HTTPS-Listener in einen deaktivierten Zustand versetzt. Weitere Informationen finden Sie unter Verständnis von deaktivierten Listenern.
Dieser Artikel hilft Ihnen, die Details der Fehlercodes und die Schritte zur Behebung solcher Schlüsseltresor-Fehlkonfigurationen zu verstehen.
Tipp
Verwenden Sie einen geheimen Bezeichner, der keine Version angibt. Auf diese Weise dreht Azure Application Gateway das Zertifikat automatisch, wenn eine neuere Version in Azure Key Vault verfügbar ist. Ein Beispiel für einen geheimen URI ohne Version ist: .
Azure Advisor Fehlercodes
In den folgenden Abschnitten werden die verschiedenen Fehler beschrieben, die auftreten können. Sie können überprüfen, ob ihr Gateway ein solches Problem hat, indem Sie Azure Advisor für Ihr Konto besuchen und diesen Problembehandlungsartikel verwenden, um das Problem zu beheben. Es wird empfohlen, Azure Advisor Warnungen so zu konfigurieren, dass sie informiert bleiben, wenn ein Schlüsseltresorproblem für Ihr Gateway erkannt wird.
Hinweis
Azure Application Gateway generiert alle vier Stunden Protokolle für die Diagnose des Key Vault. Wenn die Diagnose weiterhin den Fehler zeigt, nachdem Sie die Konfiguration behoben haben, müssen Sie möglicherweise warten, bis die Protokolle aktualisiert wurden.
Fehlercode: Benutzerzugewiesene Identität hat keine Abrufberechtigung für den Schlüsseltresor.
Beschreibung: Die zugeordnete vom Benutzer zugewiesene verwaltete Identität verfügt nicht über die erforderliche Berechtigung.
Lösung: Konfigurieren Sie die Zugriffsrichtlinien Ihres Schlüsselbundes, um der zugewiesenen, verwalteten Benutzeridentität Berechtigungen für Geheimnisse zu erteilen. Sie können dies auf eine der folgenden Arten tun:
Tresorzugriffsrichtlinie
- Wechseln Sie zum verknüpften Key Vault im Azure-Portal.
- Öffnen Sie das Blatt "Access-Richtlinien ".
- Wählen Sie im Berechtigungsmodell die Option "Tresorzugriffsrichtlinie" aus.
- Wählen Sie unter "Geheime Verwaltungsvorgänge" die Berechtigung "Abrufen " aus.
- Wählen Sie Speichern aus.
Screenshot, der zeigt, wie der Get-Berechtigungsfehler behoben wird.
Weitere Informationen finden Sie unter Zuweisen einer Schlüsselverwaltungszugriffsrichtlinie mit dem Azure-Portal.
Azure rollenbasierte Zugriffssteuerung
- Navigieren Sie zum verknüpften Schlüsseltresor im Azure-Portal.
- Öffnen Sie das "Zugriffsrichtlinien"-Blade.
- Wählen Sie für PermissionsmodellAzure rollenbasierte Zugriffssteuerung aus.
- Navigieren Sie zum Blatt Access Control (IAM), um Berechtigungen zu konfigurieren.
- Hinzufügen von Rollenzuweisungen für Ihre verwaltete Identität durch Auswählen der folgenden Option
a) Role: Key Vault Geheime Benutzer
b. Zugriff zuweisen an: Verwaltete Identität
c. Mitglieder: Wählen Sie die vom Benutzer zugewiesene verwaltete Identität aus, die Sie Ihrem Anwendungsgateway zugeordnet haben. - Wählen Sie "Überprüfen+ Zuweisen" aus.
Weitere Informationen finden Sie unter Azure rollenbasierte Zugriffssteuerung in Key Vault.
Hinweis
Die Portalunterstützung zum Hinzufügen eines neuen Schlüsseltresor-basierten Zertifikats ist derzeit nicht verfügbar, wenn Sie Azure rollenbasierte Zugriffssteuerung verwenden. Sie können dies mithilfe von ARM-Vorlagen, CLI oder PowerShell erreichen. Eine Anleitung finden Sie unter Key Vault Azure rollenbasiertes Zugriffssteuerungsberechtigungsmodell.
Fehlercode: SecretDisabled
Description: Das zugeordnete Zertifikat wurde in Key Vault deaktiviert.
Auflösung: Aktivieren Sie die derzeit für das Anwendungsgateway verwendete Zertifikatversion erneut.
- Wechseln Sie zum verknüpften Schlüsseltresor im Azure-Portal.
- Öffnen Sie den Bereich "Zertifikate ".
- Wählen Sie den erforderlichen Zertifikatnamen und dann die deaktivierte Version aus.
- Verwenden Sie auf der Verwaltungsseite die Umschaltfläche, um diese Zertifikatversion zu aktivieren.
Screenshot, der zeigt, wie Sie ein Geheimnis erneut aktivieren.
Fehlercode: SecretDeletedFromKeyVault
Description: Das zugeordnete Zertifikat wurde aus Key Vault gelöscht.
Auflösung: So stellen Sie ein gelöschtes Zertifikat wieder her:
- Wechseln Sie zum verknüpften Key Vault im Azure Portal.
- Öffnen Sie den Bereich "Zertifikate ".
- Verwenden Sie die Registerkarte "Verwaltete gelöschte Zertifikate ", um ein gelöschtes Zertifikat wiederherzustellen.
Wenn ein Zertifikatobjekt jedoch endgültig gelöscht wird, müssen Sie ein neues Zertifikat erstellen und das Anwendungsgateway mit den neuen Zertifikatdetails aktualisieren. Wenn Sie die Konfiguration über das Azure CLI oder Azure PowerShell durchführen, verwenden Sie einen geheimen Bezeichner-URI ohne Version. Diese Option ermöglicht Instanzen das Abrufen einer erneuerten Version des Zertifikats, sofern vorhanden.
Fehlercode: UserAssignedManagedIdentityNotFound
Beschreibung: Die zugeordnete vom Benutzer zugewiesene verwaltete Identität wurde gelöscht.
Auflösung: Erstellen Sie eine neue verwaltete Identität und verwenden Sie sie mit dem Key Vault.
- Erstellen Sie eine verwaltete Identität mit demselben Namen, der zuvor verwendet wurde, und unter derselben Ressourcengruppe erneut. (TIPP: Schauen Sie in den Ressourcenaktivitätsprotokollen nach, um Benennungsdetails zu finden.)
- Wechseln Sie zur gewünschten Key Vault-Ressource, und stellen Sie ihre Zugriffsrichtlinien ein, um der neuen verwalteten Identität die erforderliche Berechtigung zu gewähren. Sie können die gleichen Schritte ausführen, wie sie im Fehlercode "UserAssignedIdentityDoesNotHaveGetPermissionOnKeyVault" beschrieben sind.
Fehlercode: KeyVaultHasRestrictedAccess
Description: Es gibt eine eingeschränkte Netzwerkeinstellung für Key Vault.
Resolution: Dieser Fehler tritt auf, wenn Sie die Key Vault Firewall für eingeschränkten Zugriff aktivieren. Sie können das Anwendungsgateway weiterhin in einem eingeschränkten Netzwerk von Key Vault konfigurieren, indem Sie die folgenden Schritte ausführen:
- Öffnen Sie in Key Vault den Bereich Networking.
- Wählen Sie die Registerkarte "Firewalls" und "Virtuelle Netzwerke " und dann "Privater Endpunkt" und ausgewählte Netzwerke aus.
- Fügen Sie dann über „Virtuelle Netzwerke“ das virtuelle Netzwerk und das Subnetz Ihrer Application Gateway-Instanz hinzu. Konfigurieren Sie während des Prozesses auch den Dienstendpunkt „Microsoft.KeyVault“, indem Sie das zugehörige Kontrollkästchen aktivieren.
- Wählen Sie schließlich Yes aus, damit vertrauenswürdige Dienste die Firewall Key Vault umgehen können.
Screenshot, der zeigt, wie der eingeschränkte Netzwerkfehler umgangen wird.
Fehlercode: KeyVaultSoftDeleted
Beschreibung: Der zugeordnete Schlüsseltresor befindet sich im Zustand "Soft Delete".
Resolution: Suchen Sie im Azure-Portal nach key Vault. Wählen Sie unter "Dienste" die Option "Schlüsseltresore" aus.
Wählen Sie gelöschte, verwaltete Tresore aus. Von hier aus finden Sie die gelöschte Key Vault Ressource und stellen sie wieder her. Screenshot, der zeigt, wie man einen gelöschten Schlüsseltresor wiederherstellt.
Fehlercode: CustomerKeyVaultSubscriptionDisabled
Description: Das Abonnement für Key Vault ist deaktiviert.
Resolution: Ihr Azure-Abonnement kann aus verschiedenen Gründen deaktiviert werden. Um die erforderlichen Maßnahmen zur Behebung zu ergreifen, siehe Reaktivieren eines deaktivierten Azure-Abonnements.
Fehlercodes für Anwendungsgateway
Fehlercode: ApplicationGatewayCertificateDataOrKeyVaultSecretIdMustBeSpecified / ApplicationGatewaySslCertificateDataMustBeSpecified
Beschreibung: Möglicherweise tritt dieser Fehler auf, wenn Sie versuchen, ein Listenerzertifikat zu aktualisieren. Wenn dieser Fehler auftritt, wird die Änderung zum Aktualisieren des Zertifikats verworfen, und der Listener verarbeitet weiterhin Den Datenverkehr mit der zuvor definierten Konfiguration.
Auflösung: Um dieses Problem zu beheben, versuchen Sie bitte erneut, das Zertifikat hochzuladen. Beispielsweise können die folgenden PowerShell-Befehle verwendet werden, um Zertifikate zu aktualisieren, die auf das Anwendungsgateway hochgeladen wurden oder über Azure Key Vault referenziert werden.
Aktualisieren Sie das Zertifikat, das direkt in das Anwendungsgateway hochgeladen wurde:
$appgw = Get-AzApplicationGateway -ResourceGroupName "<ResourceGroup>" -Name "<AppGatewayName>"
$password = ConvertTo-SecureString -String "<password>" -Force -AsPlainText
Set-AzApplicationGatewaySSLCertificate -Name "<oldcertname>" -ApplicationGateway $appgw -CertificateFile "<newcertPath>" -Password $password
Set-AzApplicationGateway -ApplicationGateway $appgw
Aktualisieren des Zertifikats, auf das von Azure Key Vault verwiesen wird:
$appgw = Get-AzApplicationGateway -ResourceGroupName "<ResourceGroup>" -Name "<AppGatewayName>"
$secret = Get-AzKeyVaultSecret -VaultName "<KeyVaultName>" -Name "<CertificateName>"
$secretId = $secret.Id.Replace($secret.Version, "")
$cert = Set-AzApplicationGatewaySslCertificate -ApplicationGateway $AppGW -Name "<CertificateName>" -KeyVaultSecretId $secretId
Set-AzApplicationGateway -ApplicationGateway $appgw
Nächste Schritte
Diese Artikel zur Problembehandlung können hilfreich sein, wenn Sie weiterhin das Anwendungsgateway verwenden:
- Verstehen und Problembehebung bei deaktivierten Listenern
- Übersicht über Azure Application Gateway Resource Health