Tutorial: Importación de un certificado en Azure Key Vault

Azure Key Vault es un servicio de almacenamiento seguro de secretos en la nube. Puede almacenar de forma segura claves, contraseñas, certificados y otros secretos. Las instancias de Azure Key Vault se pueden crear y administrar a través de Azure Portal. En este tutorial creará un almacén de claves y lo usará para importar un certificado. Para más información sobre Key Vault, consulte esta introducción.

En este tutorial se muestra cómo realizar las siguientes acciones:

• Cree un almacén de claves.
• Importe un certificado en Key Vault mediante el portal.
• Importe un certificado en Key Vault mediante la CLI.
• Importe un certificado en Key Vault mediante PowerShell.

Antes de empezar, lea los conceptos básicos de Key Vault.

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Inicio de sesión en Azure

Inicie sesión en Azure Portal.

Creación de un Almacén de claves

Cree un almacén de claves mediante uno de estos tres métodos:

• Creación de un almacén de claves mediante Azure Portal
• Creación de un almacén de claves mediante la CLI de Azure
• Creación de un almacén de claves mediante Azure PowerShell

Importación de un certificado a su almacén de claves

Nota:

De forma predeterminada, los certificados importados tienen claves privadas exportables. Puede usar el SDK, la CLI de Azure o PowerShell para definir directivas que impidan que se exporte la clave privada.

Para importar un certificado en el almacén, debe tener un archivo de certificado PEM o PFX en el disco. Si el certificado está en formato PEM, el archivo PEM debe contener la clave, así como los certificados X509. Esta operación requiere el permiso certificados/importar.

Importante

En Azure Key Vault, los formatos de certificado admitidos son PFX y PEM.

• El formato de archivo .pem contiene uno o varios archivos de certificado X509.
• El formato de archivo .pfx es un formato de archivo de almacenamiento para almacenar varios objetos criptográficos en un único archivo, por ejemplo, un certificado de servidor (emitido para su dominio), una clave privada coincidente y puede incluir opcionalmente una CA intermedia.

En este caso, crearemos un certificado denominado ExampleCertificate, o bien importaremos uno denominado ExampleCertificate con una ruta de acceso de **/path/to/cert.pem". Puede importar un certificado con Azure Portal, la CLI de Azure o Azure PowerShell.

Azure Portal

1. En la página del almacén de claves, seleccione Certificados.
2. Haga clic en Generar o Importar.
3. En la pantalla Creación de certificado, elija los siguientes valores:
   • Método de creación de certificados: Importación.
   • Nombre del certificado: ExampleCertificate.
   • Cargar el archivo de certificado: seleccione el archivo de certificado del disco.
   • Contraseña: si va a cargar un archivo de certificado protegido con contraseña, proporcione esa contraseña aquí. De lo contrario, déjelo en blanco. Una vez que el archivo de certificado se haya importado correctamente, Key Vault quitará esa contraseña.
4. Haga clic en Crear.

Al importar un archivo .pem, compruebe si el formato es el siguiente:

-----BEGIN CERTIFICATE-----
MIID2TCCAsGg…
-----END CERTIFICATE-----
-----BEGIN PRIVATE KEY-----
MIIEvQIBADAN…
-----END PRIVATE KEY-----

Al importar un certificado, Azure Key Vault rellenará automáticamente los parámetros de certificado (es decir, el período de validez, el nombre del emisor, la fecha de activación, etc.).

Una vez recibido el mensaje de que el certificado se ha importado correctamente, puede hacer clic en él en la lista para ver sus propiedades.

CLI de Azure

Importe un certificado en el almacén de claves mediante el comando az keyvault certificate import de la CLI de Azure:

az keyvault certificate import --vault-name "<your-key-vault-name>" -n "ExampleCertificate" -f "/path/to/ExampleCertificate.pem"

Después de importar el certificado, puede usar el comando az keyvault certificate show de la CLI de Azure para verlo.

az keyvault certificate show --vault-name "<your-key-vault-name>" --name "ExampleCertificate"

Azure PowerShell

Puede importar un certificado en Key Vault con el cmdlet Import-AzKeyVaultCertificate de Azure PowerShell.

$Password = ConvertTo-SecureString -String "123" -AsPlainText -Force
Import-AzKeyVaultCertificate -VaultName "<your-key-vault-name>" -Name "ExampleCertificate" -FilePath "C:\path\to\ExampleCertificate.pem" -Password $Password

Después de importar el certificado, use el cmdlet Get-AzKeyVaultCertificate de Azure PowerShell para verlo.

Get-AzKeyVaultCertificate -VaultName "<your-key-vault-name>" -Name "ExampleCertificate"

Ahora, ya creó un almacén de claves, importó un certificado y vio las propiedades de un certificado.

Limpieza de recursos

Otras guías de inicio rápido y tutoriales de Key Vault se basan en esta. Si tiene pensado seguir trabajando en otras guías de inicio rápido y tutoriales, considere la posibilidad de dejar estos recursos activos. Cuando ya no lo necesite, elimine el grupo de recursos; de este modo se eliminarán también Key Vault y los recursos relacionados. Para eliminar el grupo de recursos mediante el portal:

1. Escriba el nombre del grupo de recursos en el cuadro de búsqueda de la parte superior del portal. Cuando vea el grupo de recursos que se utiliza en esta guía de inicio rápido en los resultados de búsqueda, selecciónelo.
2. Seleccione Eliminar grupo de recursos.
3. En el cuadro ESCRIBA EL NOMBRE DEL GRUPO DE RECURSOS: escriba el nombre del grupo de recursos y seleccione Eliminar.

Pasos siguientes

En este tutorial, ha creado un almacén de claves e importado un certificado en él. Para más información sobre Key Vault y cómo integrarlo con las aplicaciones, continúe con los artículos siguientes.

• Más información sobre la administración de la creación de certificados en Azure Key Vault.
• Consulte ejemplos de Importación de certificados mediante las API REST.
• Consulte Introducción a la seguridad de Azure Key Vault