Блог

Насколько я понимаю, обновление / обновление сертификата, который хранится в Azure Keyvault, будет обновляться автоматически, хотя это может занять пару дней. Как стало известно сегодня, это не так. Я надеюсь, что я просто что-то пропустил.

Все прослушиватели моего Azure Application Gateway используют сертификаты из одного и того же Azure Keyvault. При обновлении сертификатов я вижу, что текущая версия — это мой обновленный сертификат, а более старые версии отключены, как и ожидалось.

Похоже, мне чего-то не хватает, чтобы вызвать шлюз приложений, чтобы увидеть, что в хранилище ключей есть новая версия сертификата.

Согласно MS, это должно происходить каждые 4 часа. Смотрите здесь: завершение работы TLS с сертификатами хранилища ключей https://learn.microsoft.com/en-us/azure/application-gateway/key-vault-certs

Если это не работает должным образом, я бы обратился в службу поддержки Microsoft.

Это старый пост, но я подумал, что мог бы уточнить правильный ответ. Когда безопасные прослушиватели добавляются через портал Azure и привязываются к сертификату хранилища ключей, идентификатор KeyVaultSecretID прослушивателей включает версию сертификата. При версии, примененной к KeyVaultSecretID, app gateway предполагает, что вам всегда нужен этот сертификат.

Решение состоит в том, чтобы использовать powershell и обрезать версию из KeyVaultSecretID прослушивателей. Прослушиватель отслеживает версию отдельно, поэтому теперь, когда шлюз приложений проверяет сертификат хранилища ключей, он синхронизируется, если находит более новую версию.

На мой взгляд, это ошибка на портале Azure, поскольку он не должен сохранять версию в прослушивателе.KeyVaultSecretID, когда он уже сохраняет его в прослушивателе.Version