Exporter des certificats depuis Azure Key Vault

Découvrez comment exporter des certificats depuis Azure Key Vault. Vous pouvez exporter des certificats en utilisant Azure CLI, Azure PowerShell ou le portail Azure.

À propos des certificats Azure Key Vault

Azure Key Vault vous permet de provisionner, gérer et déployer facilement des certificats numériques pour votre réseau. Il permet également des communications sécurisées pour les applications. Pour plus d’informations, consultez Certificats Azure Key Vault.

Composition d’un certificat

Quand un certificat Key Vault est créé, une clé et un secret adressables sont créés avec le même nom. La clé Key Vault permet les opérations sur les clés. Le secret Key Vault permet de récupérer la valeur du certificat en tant que secret. Un certificat Key Vault contient également des métadonnées de certificat x509 publiques. Pour plus d’informations, consultez Composition d’un certificat.

Clés exportables et non exportables

Une fois qu’un certificat Key Vault est créé, vous pouvez le récupérer auprès du secret adressable avec la clé privée. Récupérez le certificat au format PFX ou PEM.

• Exportable : La stratégie utilisée pour créer le certificat indique que la clé est exportable.
• Non exportable : La stratégie utilisée pour créer le certificat indique que la clé n’est pas exportable. Dans ce cas, la clé privée ne fait pas partie de la valeur quand elle est récupérée en tant que secret.

Types de clés pris en charge : RSA, RSA-HSM, EC, EC-HSM, oct (listés ici) : « Exportable » est autorisé seulement avec RSA et EC. Les clés HSM sont non exportables.

Pour plus d’informations, consultez À propos des certificats Azure Key Vault.

Exporter des certificats stockés

Vous pouvez exporter des certificats stockés dans Azure Key Vault en utilisant Azure CLI, Azure PowerShell ou le portail Azure.

Notes

Exigez un mot de passe de certificat seulement quand vous importez le certificat dans le coffre de clés. Key Vault n’enregistre pas le mot de passe associé. Quand vous exportez le certificat, le mot de passe est vide.

Azure CLI

Utilisez la commande suivante dans Azure CLI pour télécharger la partie publique d’un certificat Key Vault.

az keyvault certificate download --file
                                 [--encoding {DER, PEM}]
                                 [--id]
                                 [--name]
                                 [--subscription]
                                 [--vault-name]
                                 [--version]

Pour plus d’informations, consultez Exemples et définitions de paramètres.

Le téléchargement sous forme de certificat suppose l’obtention de la partie publique. Si vous souhaitez disposer de la clé privée et des métadonnées publiques, procédez au téléchargement sous forme de secret.

az keyvault secret download --file {nameofcert.pfx}
                            [--encoding {ascii, base64, hex, utf-16be, utf-16le, utf-8}]
                            [--id]
                            [--name]
                            [--subscription]
                            [--vault-name]
                            [--version]

Pour plus d’informations, consultez Définitions de paramètres.

PowerShell

Utilisez cette commande dans Azure PowerShell pour récupérer le certificat nommé TestCert01 auprès du coffre de clés nommé ContosoKV01. Pour télécharger le certificat sous forme de fichier PFX, exécutez la commande suivante. Ces commandes accèdent à SecretId, puis enregistrent le contenu sous la forme d’un fichier PFX.

$vaultName = '<YourVault>'
$certificateName = '<YourCert>'
$password = '<YourPwd>'

$pfxSecret = Get-AzKeyVaultSecret -VaultName $vaultName -Name $certificateName -AsPlainText
$certBytes = [Convert]::FromBase64String($pfxSecret)

# Write to a file
Set-Content -Path cert.pfx -Value $certBytes -AsByteStream

Cette commande exporte la totalité de la chaîne de certificats avec la clé privée (c’est-à-dire la même que celle qui a été importée). Le certificat est protégé par un mot de passe.

Pour plus d’informations sur la commande et les paramètres de Get-AzKeyVaultCertificate, consultez Get-AzKeyVaultCertificate - Exemple 2.

Portail

Sur le portail Azure, après avoir créé/importé un certificat dans le panneau Certificat, vous recevez une notification indiquant que le certificat a été correctement créé. Sélectionnez le certificat et la version actuelle pour voir l’option de téléchargement.

Pour télécharger le certificat, sélectionnez Télécharger au format CER ou Télécharger au format PFX/PEM.

Exporter des certificats Azure App Service

Les certificats Azure App Service sont un moyen pratique d’acheter des certificats SSL. Vous pouvez les affecter à des applications Azure à partir du portail. Une fois importés, les certificats App Service se trouvent sous des secrets.

Pour plus d’informations, consultez les étapes pour exporter des certificats Azure App Service.

En savoir plus

• Différents types et définitions de fichiers de certificats