Exportación de certificados de Azure Key Vault
Aprenda a exportar certificados de Azure Key Vault. Para exportar certificados se deben usar Azure Portal, Azure PowerShell o la CLI de Azure.
Acerca de los certificados de Azure Key Vault
Azure Key Vault permite aprovisionar, administrar e implementar fácilmente certificados digitales en cualquier red. También habilita las comunicaciones seguras en las aplicaciones. Para más información, consulte Certificados de Azure Key Vault.
Composición de un certificado
Cuando se crea un certificado de Key Vault, se crean también una clave direccionable y un secreto que se llaman igual. La clave de Key Vault permite operaciones con clave. El secreto de Key Vault permite la recuperación del valor del certificado como un secreto. Un certificado de Key Vault también contiene metadatos del certificado X.509 público. Para más información, vaya a la sección Composición de un certificado.
Claves exportables y no exportables
Tras crear un certificado de Key Vault, se puede recuperar desde el secreto direccionable con la clave privada. Recupere el certificado en formato PFX o PEM.
- Exportable: la directiva que se utiliza para crear el certificado indica que la clave se puede exportar.
- No exportable: la directiva que se utiliza para crear el certificado indica que la clave no se puede exportar. En este caso, la clave privada no forma parte del valor cuando se recupera como un secreto.
Tipos de clave permitidos: RSA, RSA-HSM, EC, EC-HSM, Oct (se enumeran aquí). Exportable solo se permite con RSA y EC. Las claves HSM serían no exportables.
Para más información, consulte Acerca de los certificados de Azure Key Vault.
Exportación de certificados almacenados
Mediante la CLI de Azure, Azure Portal o Azure PowerShell se pueden exportar certificados almacenados en Azure Key Vault.
Nota
Cuando el certificado se importa en un almacén de claves solo se requiere una contraseña de certificado. Key Vault no guarda la contraseña asociada. Al exportar el certificado, la contraseña está en blanco.
Use el siguiente comando de la CLI de Azure para descargar la parte pública de un certificado de Key Vault.
az keyvault certificate download --file
[--encoding {DER, PEM}]
[--id]
[--name]
[--subscription]
[--vault-name]
[--version]
Para más información, vea ejemplos y definiciones de parámetros.
Descargar como certificado significa obtener la parte pública. Si desea la clave privada y los metadatos públicos, puede descargarlo como secreto.
az keyvault secret download --file {nameofcert.pfx}
[--encoding {ascii, base64, hex, utf-16be, utf-16le, utf-8}]
[--id]
[--name]
[--subscription]
[--vault-name]
[--version]
Para más información, vea las definiciones de los parámetros.