Exportación de certificados de Azure Key Vault

Artículo
03/09/2023

Aprenda a exportar certificados de Azure Key Vault. Para exportar certificados se deben usar Azure Portal, Azure PowerShell o la CLI de Azure.

Acerca de los certificados de Azure Key Vault

Azure Key Vault permite aprovisionar, administrar e implementar fácilmente certificados digitales en cualquier red. También habilita las comunicaciones seguras en las aplicaciones. Para más información, consulte Certificados de Azure Key Vault.

Composición de un certificado

Cuando se crea un certificado de Key Vault, se crean también una clave direccionable y un secreto que se llaman igual. La clave de Key Vault permite operaciones con clave. El secreto de Key Vault permite la recuperación del valor del certificado como un secreto. Un certificado de Key Vault también contiene metadatos del certificado X.509 público. Para más información, vaya a la sección Composición de un certificado.

Claves exportables y no exportables

Tras crear un certificado de Key Vault, se puede recuperar desde el secreto direccionable con la clave privada. Recupere el certificado en formato PFX o PEM.

Exportable: la directiva que se utiliza para crear el certificado indica que la clave se puede exportar.
No exportable: la directiva que se utiliza para crear el certificado indica que la clave no se puede exportar. En este caso, la clave privada no forma parte del valor cuando se recupera como un secreto.

Tipos de clave permitidos: RSA, RSA-HSM, EC, EC-HSM, Oct (se enumeran aquí). Exportable solo se permite con RSA y EC. Las claves HSM serían no exportables.

Para más información, consulte Acerca de los certificados de Azure Key Vault.

Exportación de certificados almacenados

Mediante la CLI de Azure, Azure Portal o Azure PowerShell se pueden exportar certificados almacenados en Azure Key Vault.

Nota

Cuando el certificado se importa en un almacén de claves solo se requiere una contraseña de certificado. Key Vault no guarda la contraseña asociada. Al exportar el certificado, la contraseña está en blanco.

Use el siguiente comando de la CLI de Azure para descargar la parte pública de un certificado de Key Vault.

az keyvault certificate download --file
                                 [--encoding {DER, PEM}]
                                 [--id]
                                 [--name]
                                 [--subscription]
                                 [--vault-name]
                                 [--version]

Para más información, vea ejemplos y definiciones de parámetros.

Descargar como certificado significa obtener la parte pública. Si desea la clave privada y los metadatos públicos, puede descargarlo como secreto.

az keyvault secret download --file {nameofcert.pfx}
                            [--encoding {ascii, base64, hex, utf-16be, utf-16le, utf-8}]
                            [--id]
                            [--name]
                            [--subscription]
                            [--vault-name]
                            [--version]

Para más información, vea las definiciones de los parámetros.

Use este comando en Azure PowerShell para obtener el certificado denominado TestCert01 del almacén de claves denominado ContosoKV01. Para descargar el certificado en forma de archivo PFX, ejecute el siguiente comando. Estos comandos acceden a SecretId y, después, guardan el contenido en forma de archivo PFX.

$vaultName = '<YourVault>'
$certificateName = '<YourCert>'
$password = '<YourPwd>'

$pfxSecret = Get-AzKeyVaultSecret -VaultName $vaultName -Name $certificateName -AsPlainText
$certBytes = [Convert]::FromBase64String($pfxSecret)

# Write to a file
Set-Content -Path cert.pfx -Value $certBytes -AsByteStream

Este comando exporta la cadena completa de certificados con clave privada (es decir, la misma que se importó). El certificado está protegido con contraseña.

Para más información sobre el comando Get-AzKeyVaultCertificate y sus parámetros, consulte Get-AzKeyVaultCertificate: ejemplo 2.

Más información

Diversos tipos y definiciones de archivos de certificado