Tutorial: Importieren eines Zertifikats in Azure Key Vault

Azure Key Vault ist ein Clouddienst, der als sicherer Geheimnisspeicher fungiert. Dadurch können Schlüssel, Kennwörter, Zertifikate und andere Geheimnisse sicher gespeichert werden. Azure Key Vault-Instanzen können über das Azure-Portal erstellt und verwaltet werden. In diesem Tutorial erstellen Sie einen Schlüsseltresor und verwenden ihn dann zum Importieren eines Zertifikats. Weitere Informationen zu Key Vault finden Sie in der Übersicht.

Das Tutorial veranschaulicht folgende Vorgehensweisen:

• Erstellen eines Schlüsseltresors
• Importieren eines Zertifikats in Key Vault über das Portal
• Importieren eines Zertifikats in Key Vault mithilfe der CLI
• Importieren eines Zertifikats in Key Vault mithilfe von PowerShell

Machen Sie sich zunächst mit den grundlegenden Konzepten von Key Vault vertraut.

Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

Anmelden bei Azure

Melden Sie sich beim Azure-Portal an.

Erstellen eines Schlüsseltresors

Erstellen Sie einen Schlüsseltresor mit einer der folgenden drei Methoden:

• Erstellen eines Schlüsseltresors über das Azure-Portal
• Erstellen eines Schlüsseltresors über die Azure CLI
• Erstellen eines Schlüsseltresors mit Azure PowerShell

Importieren eines Zertifikats in Ihren Schlüsseltresor

Hinweis

Standardmäßig verfügen importierte Zertifikate über exportierbare private Schlüssel. Sie können das SDK, die Azure CLI oder PowerShell verwenden, um Richtlinien zu definieren, die verhindern, dass der private Schlüssel exportiert wird.

Zum Importieren eines Zertifikats in den Tresor benötigen Sie eine PEM- oder PFX-Zertifikatsdatei auf einem Datenträger. Wenn das Zertifikat im PEM-Format vorliegt, muss die PEM-Datei sowohl den Schlüssel als auch x509-Zertifikate enthalten. Für diesen Vorgang ist die Berechtigung für Zertifikate bzw. den Import erforderlich.

Wichtig

In Azure Key Vault werden die Zertifikatsformate PFX und PEM unterstützt.

• Das PEM-Dateiformat enthält mindestens eine X509-Zertifikatsdatei.
• Das PFX-Dateiformat ist ein Archivdateiformat zum Speichern mehrerer kryptografischer Objekte in einer einzelnen Datei. Bei diesen Objekten handelt es sich um das für Ihre Domäne ausgestellte Serverzertifikat, einen entsprechenden privaten Schlüssel und optional um eine Zwischenzertifizierungsstelle.

In diesem Fall erstellen wir ein Zertifikat namens ExampleCertificate oder importieren ein Zertifikat namens ExampleCertificate mit dem Pfad **/path/to/cert.pem". Sie können ein Zertifikat mit dem Azure-Portal, der Azure CLI oder Azure PowerShell importieren.

Azure portal

1. Wählen Sie auf der Seite für Ihren Schlüsseltresor Zertifikate aus.
2. Klicken Sie auf Generieren/Importieren.
3. Wählen Sie auf dem Bildschirm Zertifikat erstellen folgende Werte aus:
   • Methode der Zertifikaterstellung: Importieren.
   • Zertifikatsname: ExampleCertificate
   • Zertifikatdatei hochladen: Wählen Sie die Zertifikatsdatei vom Datenträger aus.
   • Kennwort: Wenn Sie eine kennwortgeschützte Zertifikatsdatei hochladen, geben Sie das Kennwort hier an. Lassen Sie dieses Feld andernfalls leer. Nachdem die Zertifikatsdatei erfolgreich importiert wurde, entfernt Key Vault das Kennwort.
4. Klicken Sie auf Erstellen.

Überprüfen Sie beim Importieren einer PEM-Datei, ob das Format wie folgt lautet:

-----BEGIN CERTIFICATE-----
MIID2TCCAsGg...
-----END CERTIFICATE-----
-----BEGIN PRIVATE KEY-----
MIIEvQIBADAN...
-----END PRIVATE KEY-----

Wenn Sie ein Zertifikat importieren, füllt Azure Key Vault die Zertifikatsparameter automatisch auf (z. B. Gültigkeitsdauer, Ausstellername, Aktivierungsdatum usw.).

Nachdem Sie die Meldung erhalten haben, dass das Zertifikat erfolgreich importiert wurde, können Sie in der Liste darauf klicken, um seine Eigenschaften anzuzeigen.

Azure-Befehlszeilenschnittstelle

Importieren Sie ein Zertifikat mithilfe des Azure CLI-Befehls az keyvault certificate import in Ihren Schlüsseltresor:

az keyvault certificate import --vault-name "<your-key-vault-name>" -n "ExampleCertificate" -f "/path/to/ExampleCertificate.pem"

Nach dem Importieren des Zertifikats können es mit dem Azure CLI-Befehl az keyvault certificate show anzeigen.

az keyvault certificate show --vault-name "<your-key-vault-name>" --name "ExampleCertificate"

Azure PowerShell

Sie können ein Zertifikat in Key Vault importieren, indem Sie das Azure PowerShell-Cmdlet Import-AzKeyVaultCertificate verwenden.

$Password = ConvertTo-SecureString -String "123" -AsPlainText -Force
Import-AzKeyVaultCertificate -VaultName "<your-key-vault-name>" -Name "ExampleCertificate" -FilePath "C:\path\to\ExampleCertificate.pem" -Password $Password

Nach dem Importieren des Zertifikats können Sie es mit dem Azure PowerShell-Cmdlet Get-AzKeyVaultCertificate anzeigen.

Get-AzKeyVaultCertificate -VaultName "<your-key-vault-name>" -Name "ExampleCertificate"

Nun haben Sie einen Schlüsseltresor erstellt, ein Zertifikat importiert und die Eigenschaften des Zertifikats angezeigt.

Bereinigen von Ressourcen

Andere Schnellstartanleitungen und Tutorials für Key Vault bauen auf dieser Schnellstartanleitung auf. Falls Sie mit weiteren Schnellstartanleitungen und Tutorials fortfahren möchten, sollten Sie die Ressourcen nicht bereinigen. Wenn Sie die Ressourcen nicht mehr benötigen, löschen Sie die Ressourcengruppe. Dadurch werden die Key Vault-Instanz und die dazugehörigen Ressourcen gelöscht. So löschen Sie die Ressourcengruppe über das Portal:

1. Geben Sie den Namen Ihrer Ressourcengruppe in das Suchfeld am oberen Rand des Portals ein. Klicken Sie in den Suchergebnissen auf die Ressourcengruppe aus dieser Schnellstartanleitung.
2. Wählen Sie die Option Ressourcengruppe löschen.
3. Geben Sie im Feld GEBEN SIE DEN RESSOURCENGRUPPENNAMEN EIN: den Namen der Ressourcengruppe ein, und klicken Sie anschließend auf Löschen.

Nächste Schritte

In diesem Tutorial haben Sie eine Key Vault-Instanz erstellt und ein Zertifikat importiert. Weitere Informationen zu Key Vault und zur Integration in Ihre Anwendungen finden Sie in den folgenden Artikeln:

• Informieren Sie sich ausführlicher über die Verwaltung der Zertifikaterstellung in Azure Key Vault.
• Sehen Sie sich Beispiele für das Importieren von Zertifikaten mithilfe von Rest-APIs an.
• Lesen Sie die Key Vault-Sicherheitsübersicht.