Compartir a través de

Errores comunes de la bóveda de claves en Azure Application Gateway

Resumen

Application Gateway permite a los clientes almacenar de forma segura certificados TLS en Azure Key Vault. Al usar un recurso de almacén de claves, es importante que la puerta de enlace siempre tenga acceso al almacén de claves vinculado. Si Application Gateway no puede capturar el certificado, los agentes de escucha HTTPS asociados se colocarán en un estado deshabilitado. Para obtener más información, consulte Comprender los listeners deshabilitados.

Este artículo ayuda a comprender los detalles sobre los códigos de error y los pasos para resolver tales errores de configuración del Key Vault.

Sugerencia

Use un identificador secreto que no especifique una versión. De este modo, Azure Application Gateway rotará automáticamente el certificado, si hay disponible una versión más reciente en Azure Key Vault. Un ejemplo de un URI secreto sin una versión es: .

códigos de error de Azure Advisor

En las secciones siguientes se describen los distintos errores que podría encontrar. Puede verificar si su puerta de enlace tiene algún problema visitando Azure Advisor para su cuenta, y utilizando este artículo de resolución de problemas para solucionarlo. Se recomienda configurar Azure Advisor alertas para mantenerse informados cuando se detecta un problema del almacén de claves para la puerta de enlace.

Nota:

Azure Application Gateway genera registros para los diagnósticos de la bóveda de claves cada cuatro horas. Si el diagnóstico sigue mostrando el error después de corregir la configuración, es posible que tenga que esperar a que se actualicen los registros.

Código de error: UserAssignedIdentityDoesNotHaveGetPermissionOnKeyVault

Descripción: La identidad administrada asignada por el usuario asociada no tiene el permiso necesario.

Resolución: Configure las directivas de acceso de su almacén de claves para conceder permiso a la identidad administrada asignada por el usuario para acceder a los secretos. Puede hacerlo de cualquiera de las siguientes maneras:

Directiva de acceso del almacén

  1. Acceda a la bóveda de claves vinculada en el portal de Azure.
  2. Abra la hoja Directivas de acceso .
  3. En el Modelo de permisos, seleccione la política de acceso del Vault.
  4. En Operaciones de administración de secretos, seleccione el permiso Obtener .
  5. Haga clic en Guardar.

Captura de pantalla que muestra cómo resolver el error Obtener permiso.

Para obtener más información, consulte Assignar una directiva de acceso de Key Vault mediante el portal de Azure.

Control de acceso basado en roles de Azure

  1. Acceda a la bóveda de claves vinculada en el portal de Azure.
  2. Abra la hoja Directivas de acceso .
  3. Para el modelo de permisos, seleccione control de acceso basado en roles de Azure.
  4. Vaya a Access Control (IAM) hoja para configurar los permisos.
  5. Para agregar la asignación de roles para la identidad administrada, elija lo siguiente:
    a) Role: usuario de secretos de Key Vault
    b. Asignación de acceso a: Identidad administrada
    c. Miembros: seleccione la identidad gestionada y asignada por el usuario que ha asociado a su gateway de aplicaciones.
  6. Seleccione Revisar y asignar.

Para obtener más información, consulte control de acceso basado en roles de Azure en Key Vault.

Nota:

La compatibilidad del portal para agregar un nuevo certificado basado en el almacén de claves no está disponible actualmente al usar el control de acceso basado en roles de Azure. Puede hacerlo mediante la plantilla de ARM, la CLI o PowerShell. Consulte Key Vault Azure modelo de permisos de control de acceso basado en rol para obtener instrucciones.

Código de error: SecretDisabled

Description: El certificado asociado se ha deshabilitado en Key Vault.

Resolución: Vuelva a habilitar la versión del certificado que está actualmente en uso para Application Gateway.

  1. Acceda a la bóveda de claves vinculada en el portal de Azure.
  2. Abra el panel Certificados .
  3. Seleccione el nombre del certificado necesario y, a continuación, seleccione la versión deshabilitada.
  4. En la página de administración, use el botón de alternancia para habilitar esa versión del certificado.

Captura de pantalla que muestra cómo volver a habilitar un secreto.

Código de error: SecretDeletedFromKeyVault

Description: El certificado asociado se ha eliminado de Key Vault.

Resolución: Para recuperar un certificado eliminado:

  1. Acceda a la bóveda de claves vinculada en el portal de Azure.
  2. Abra el panel Certificados .
  3. Use la pestaña Certificados eliminados administrados para recuperar un certificado eliminado.

Por otro lado, si se elimina permanentemente un objeto de certificado, deberá crear un nuevo certificado y actualizar Application Gateway con los nuevos detalles del certificado. Al configurar a través de CLI de Azure o Azure PowerShell, use un URI de secreto sin versión. Esta opción permite que las instancias recuperen una versión renovada del certificado, si existe.

Screenshot que muestra cómo recuperar un certificado eliminado en Key Vault.

Código de error: "UserAssignedManagedIdentityNotFound"

Descripción: Se ha eliminado la identidad administrada de usuario asociada.

Resolución: Cree una nueva identidad administrada y úsela con la bóveda de claves.

  1. Vuelva a crear una identidad administrada con el mismo nombre que se usó anteriormente y en el mismo grupo de recursos. (SUGERENCIA: Consulte los registros de actividad de recursos para obtener detalles de nomenclatura).
  2. Vaya al recurso de almacén de claves deseado y establezca sus directivas de acceso para conceder a esta nueva identidad administrada el permiso necesario. Puede seguir los mismos pasos que se mencionan como en el caso del código de error: UserAssignedIdentityDoesNotHaveGetPermissionOnKeyVault.

Código de error: KeyVaultHasRestrictedAccess

Description: Hay una configuración de red restringida para Key Vault.

Resolution: Se produce este error al habilitar el firewall de Key Vault para el acceso restringido. Puede configurar Application Gateway en una red restringida de Key Vault siguiendo estos pasos:

  1. En Key Vault, abra el panel Networking.
  2. Seleccione la pestaña Firewalls y redes virtuales y seleccione Punto de conexión privado y redes seleccionadas.
  3. A continuación, use Virtual Network para agregar la red virtual y la subred de Application Gateway. Durante el proceso, configure también el punto de conexión de servicio "Microsoft.KeyVault" activando la casilla correspondiente.
  4. Por último, seleccione Es para permitir que los servicios de confianza omitan el firewall de Key Vault.

Captura de pantalla que muestra cómo solucionar el error de red restringida.

Código de error: KeyVaultSoftDeleted

Descripción: El almacén de claves asociado está en estado de eliminación temporal.

Resolution: En el portal de Azure, busque key vault. En el apartado de Servicios, seleccione Almacenes de claves.

Captura de pantalla que muestra cómo buscar el servicio de Key Vault.

Seleccione Almacenes eliminados administrados. Desde aquí, puede encontrar el recurso Key Vault eliminado y recuperarlo. Captura de pantalla que muestra cómo recuperar un almacén de claves eliminado.

Código de error: CustomerKeyVaultSubscriptionDisabled

Description: La suscripción para Key Vault está deshabilitada.

Resolution: La suscripción de Azure puede deshabilitarse por varios motivos. Para realizar la acción necesaria para resolverlo, consulte Activar una suscripción de Azure deshabilitada.

Códigos de error de Application Gateway

Código de error: ApplicationGatewayCertificateDataOrKeyVaultSecretIdMustBeSpecified / ApplicationGatewaySslCertificateDataMustBeSpecified

Descripción: Es posible que encuentre este error al intentar actualizar un certificado de escucha. Cuando se produce este error, se descartará el cambio para actualizar el certificado y el agente de escucha seguirá controlando el tráfico con la configuración definida anteriormente.

Resolución: Para resolver este problema, intente volver a cargar el certificado. Por ejemplo, los siguientes comandos de PowerShell se pueden usar para actualizar los certificados cargados en Application Gateway o a los que se hace referencia a través de Azure Key Vault.

Actualice el certificado cargado directamente en Application Gateway:

$appgw = Get-AzApplicationGateway -ResourceGroupName "<ResourceGroup>" -Name "<AppGatewayName>"

$password = ConvertTo-SecureString -String "<password>" -Force -AsPlainText

Set-AzApplicationGatewaySSLCertificate -Name "<oldcertname>" -ApplicationGateway $appgw -CertificateFile "<newcertPath>" -Password $password

Set-AzApplicationGateway -ApplicationGateway $appgw

Actualice el certificado al que se hace referencia desde Azure Key Vault:

$appgw = Get-AzApplicationGateway -ResourceGroupName "<ResourceGroup>" -Name "<AppGatewayName>"

$secret = Get-AzKeyVaultSecret -VaultName "<KeyVaultName>" -Name "<CertificateName>" 
$secretId = $secret.Id.Replace($secret.Version, "") 
$cert = Set-AzApplicationGatewaySslCertificate -ApplicationGateway $AppGW -Name "<CertificateName>" -KeyVaultSecretId $secretId 

Set-AzApplicationGateway -ApplicationGateway $appgw

Pasos siguientes

Estos artículos de solución de problemas pueden resultar útiles a medida que sigue usando Application Gateway:

  • Last updated on