Azure 应用服务无法验证 .pfx 文件:证书验证失败,因为无法加载
Mat*_*kan 23 ssl certificate azure pfx azure-web-app-service
多年来,我一直能够使用Stack Overflow 答案中的 OpenSSL 创建方法上传新的 pfx 文件,以在 Azure 应用服务上进行 SSL 绑定:
openssl pkcs12 -export -out domain.name.pfx -inkey domain.name.key -in domain.name.crt
但是,现在执行相同的操作会出现此错误:
至少有一个证书无效(证书验证失败,因为无法加载。)
有哪些方法可以解决这个问题?
Mat*_*kan 46
应用服务私有证书要求
应用服务私有证书必须满足以下要求:
- 导出为受密码保护的 PFX 文件,并使用三重 DES 加密。
- 包含至少 2048 位长的私钥
- 包含证书链中的所有中间证书和根证书。
选项 1:在 OpenSSL 3+ 中使用旧提供程序
OpenSSL 3+ 不再默认使用 DES 加密。原始命令需要附加-legacy和-provider-path(路径legacy.dll)参数:
openssl pkcs12 -export -out domain.name.pfx -inkey domain.name.key -in domain.name.crt -legacy -provider-path 'C:\Program Files\OpenSSL-Win64\bin'
选项 2:让 Windows 重新加密文件
如果由于某种原因您的 OpenSSL 安装不包含旧提供程序:
打开 PowerShell 并运行此命令,替换-FilePath为非工作 pfx 文件的路径,并将密码-String参数替换为其各自的密码:
Import-PfxCertificate -FilePath "pfx file path" -CertStoreLocation Cert:\LocalMachine\My -Password (ConvertTo-SecureString -String 'MyPassword' -AsPlainText -Force) -Exportable
成功的输出将如下所示:
使用此指纹将证书导出到新的 pfx 文件,替换-Cert、-FilePath和密码-String参数:
Export-PfxCertificate -Cert Microsoft.PowerShell.Security\Certificate::LocalMachine\My\B56CE9B122FB04E29A974A4D0DB3F6EAC2D150C0 -FilePath 'newPfxName.pfx' -Password (ConvertTo-SecureString -String 'MyPassword' -AsPlainText -Force)
Azure 现在应该能够验证新的 pfx 文件输出。
- 对于使用 OpenSSL 3+ 在 WSL/Linux 上执行此操作的用户,请添加 -legacy 选项:`openssl pkcs12 -export -outcertificate.pfx -inkey privateKey.key -incertificate.crt -legacy` (18认同)
- 谢谢!TripleDES 是我的问题。 (3认同)
- 选项 1 在 Windows 上对我不起作用 - OpenSSL 3.1.1。选项2成功了,谢谢 (2认同)