ожидается , что вы не сможете импортировать свой сертификат службы приложений после переноса подписки в новый каталог - хотя вы должны получить следующее предупреждение в вашем Хранилище ключей:
Выбранный каталог (XYZ) отличается от каталога этого хранилища ключей. Некоторые действия будут отключены. Щелкните здесь для получения более подробной информации. .
Когда это происходит, вы обычно также получаете следующее сообщение об ошибке в Ключах * 1016 вашего хранилища ключей. *, Секреты и / или Сертификаты вкладки:
Операция «Список» не включена в политике доступа этого хранилища ключей.
Эти сообщения не всегда отображаются сразу, вероятно, из-за зависимостей, перемещающихся между различными центрами обработки данных, из-за которых вы получаете менее информативные ошибки. Я предполагаю, что генерируемые c сообщения, которые вы видите, будут заменены этими указанными c сообщениями по времени, но оба они связаны с одной и той же основной проблемой.
Свяжите ваше хранилище ключей с вашим новый каталог
Тем не менее, неплохо бы убедиться, что хранилище ключей фактически связано с новым каталогом после передачи по подписке. В соответствии с инструкциями, связанными с Azure error , вы можете изменить каталог в модуле Azure PowerShell (Az) , используя следующие команды:
Select-AzSubscription -SubscriptionId <your-subscriptionId>
$vaultResourceId = (Get-AzKeyVault -VaultName myvault).ResourceId
$vault = Get-AzResource –ResourceId $vaultResourceId -ExpandProperties
$vault.Properties.TenantId = (Get-AzContext).Tenant.TenantId
$vault.Properties.AccessPolicies = @()
Set-AzResource -ResourceId $vaultResourceId -Properties $vault.Properties
В качестве альтернативы см. « Невозможно получить доступ к хранилищу ключей с использованием Azure Portal », здесь, в Переполнение стека, которое предоставляет аналогичные инструкции.
Примечание Полезно иметь установленный Azure модуль PowerShell (Az) . Если вы этого не сделаете, вы всегда можете использовать Azure Cloud Shell , который доступен на портале Azure через значок оболочки справа от панели поиска. В этом случае вам может потребоваться предоставить Azure учетную запись хранения, если вы этого еще не сделали.
Проверка разрешения
Приведенные выше шаги должны решить вашу проблему. Но есть два связанных условия, которые вы должны проверить, чтобы быть в безопасности.
Сертификат службы приложений
Сначала go к сертификату службы приложений на портале. Между сертификатом службы приложений и хранилищем ключей должна быть связь, которая позволяет хранить ваш закрытый ключ в хранилище ключей и извлекать его из приложений с соответствующей политикой доступа. Azure теперь имеет встроенный инструментарий для определения того, когда сертификат службы приложений неправильно связан с вашим хранилищем ключей. Чтобы получить доступ к этому, нажмите Конфигурация сертификата и убедитесь, что рядом с установлен флажок. Шаг 1: Храните . Если это не так, портал выдаст вам предупреждение, по которому вы можете нажать, чтобы автоматически восстановить sh эту ссылку.
Политика доступа к хранилищу ключей
Во-вторых, вернитесь в хранилище ключей и нажмите Ключи , Секреты или Сертификаты . Вы больше не должны получать никаких ошибок здесь. Однако, если вы это сделаете, вам может потребуется перенастроить или обновить Microsoft Azure Служба приложений Политика доступа, которая обычно создается при первом создании Azure Сертификата службы приложений * .
Примечание: Существует много сообщений переполнения стека для устранения неполадок и разрешения доступа к службам приложений с помощью политики доступа ( для пример ), поэтому я не буду вдаваться в подробности go здесь. Но я хочу признать эту конкретную возможность на тот случай, если после миграции сертификат службы приложения не будет зарегистрирован надлежащим образом.
После всего этого вы сможете использовать Import Сертификат службы приложений из службы приложений.