秘密キーが原因で証明書のインポートに失敗
証明書キー・ペアからの秘密キーの暗号化に関連する様々な理由で、証明書のインポート中に障害が発生する可能性があります。
秘密キーの暗号化に使用されるパスワード・ベースのキー導出関数(PBKDF)アルゴリズムの非準拠実装
秘密キーをインポートしようとすると、「秘密キーの指定されたPEMを解析できません」というエラーが発生する可能性があります。これは、秘密キーが連邦情報処理標準(FIPS)に準拠しないPBKDFの実装によって暗号化されているためです。
証明書サービスでは、PBKDFのFIPS準拠の実装を使用して秘密キーを暗号化する必要があります。検証済みのFIPS 140-1およびFIPS 140-2暗号化モジュールのリストについては、FIPS 140-1およびFIPS 140-2 Vendor Listを参照してください。
秘密キーの暗号化中に指定されたパスフレーズが短すぎます
暗号化中に指定したパスフレーズ文字列が14文字未満の場合、エラー「privateKeyPemPassphraseは14文字(または112ビット)である必要があります」が発生します。
秘密キーを暗号化する場合は、14文字以上(112ビット)のパスフレーズを指定します。
パスフレーズのハッシュ中に使用された塩分が短すぎます
「指定された秘密鍵は連邦情報処理標準(FIPS)に準拠していません」というエラーは、パスフレーズのハッシュ中に使用される塩が128ビット(または16バイト)未満の場合に発生する可能性があります。
証明書サービスでは、パスフレーズをハッシュするときに128ビット(または16バイト)以上のソルトを使用する必要があります。OpenSSL PBKDF実装では、saltのデフォルトの長さは64ビット(または8バイト)です。このため、サービスは多くの場合、OpenSSL (バージョン3.0以降)で暗号化された秘密キーを拒否します。OpenSSLのsalt長を128ビットに変更するには、PKCS8ツールでsaltのデフォルトの長さを変更する必要があります。