Create Certificate - Create Certificate
Crée un nouveau certificat.
S’il s’agit de la première version, la ressource de certificat est créée. Cette opération nécessite l’autorisation certificats/création.
POST {vaultBaseUrl}/certificates/{certificate-name}/create?api-version=2025-07-01Paramètres URI
| Nom | Dans | Obligatoire | Type | Description |
|---|---|---|---|---|
|
certificate-name
|
path | True |
string pattern: ^[0-9a-zA-Z-]+$ |
Nom du certificat. La valeur que vous fournissez peut être copiée globalement dans le but d’exécuter le service. La valeur fournie ne doit pas inclure d’informations personnellement identifiables ou sensibles. |
|
vault
|
path | True |
string (uri) |
|
|
api-version
|
query | True |
string minLength: 1 |
Version de l’API à utiliser pour cette opération. |
Corps de la demande
| Nom | Type | Description |
|---|---|---|
| attributes |
Les attributs du certificat (facultatif). |
|
| policy |
Stratégie de gestion du certificat. |
|
| preserveCertOrder |
boolean |
Spécifie si la chaîne de certificats conserve son ordre d’origine. La valeur par défaut est false, ce qui définit le certificat feuille à l’index 0. |
| tags |
object |
Métadonnées spécifiques à l’application sous la forme de paires clé-valeur. |
Réponses
| Nom | Type | Description |
|---|---|---|
| 202 Accepted |
La demande a été acceptée pour traitement, mais le traitement n’a pas encore été terminé. |
|
| Other Status Codes |
Réponse d’erreur inattendue. |
Sécurité
OAuth2Auth
Type:
oauth2
Flux:
implicit
URL d’autorisation:
https://login.microsoftonline.com/common/oauth2/authorize
Étendues
| Nom | Description |
|---|---|
| https://vault.azure.net/.default |
Exemples
CreateCertificate
Exemple de requête
POST https://myvault.vault.azure.net//certificates/selfSignedCert01/create?api-version=2025-07-01
{
"policy": {
"key_props": {
"exportable": true,
"kty": "RSA",
"key_size": 2048,
"reuse_key": false
},
"secret_props": {
"contentType": "application/x-pkcs12"
},
"x509_props": {
"subject": "CN=*.microsoft.com",
"sans": {
"dns_names": [
"onedrive.microsoft.com",
"xbox.microsoft.com"
]
}
},
"issuer": {
"name": "Self"
}
}
}
Exemple de réponse
{
"id": "https://myvault.vault.azure.net/certificates/selfSignedCert01/pending",
"issuer": {
"name": "Self"
},
"csr": "MIIC4zCCAcsCAQAwGjEYMBYGA1UEAwwPKi5taWNyb3NvZnQuY29tMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqe8aINnShK+wQC8QU7fwsviQc9+yiOnqU3adXA6qNjn21HTdRBa7cyQIk1STxHIBLTT/GaEJwqsUi6UvZaPEHokOWsr1bP9M7xOPTicBcRyMrr6bOxsmGczYtu1z2TzzXDD7q7IEignE7/LowGEaIADCIU9iuWk7TiJ+1Q/VLh/B3xPsgVjY+n7zEQ53gBiDHSl7XfELfwmslOQ28TVNogUyXsxHcVxQQYJeI7HqqY448LeleK69Ld86lkBixLEm1pD7HSbEx3WI2lyUQAGR6hD3YFaiIWVpQeEyI7p1jmtQlnfZdEL4q9wdlEEcwd3h3PAZpEBhCixahF54fci3pwIDAQABoIGDMIGABgkqhkiG9w0BCQ4xczBxMA4GA1UdDwEB/wQEAwIFoDAdBgNVHSUEFjAUBggrBgEFBQcDAQYIKwYBBQUHAwIwNQYDVR0RBC4wLIIWb25lZHJpdmUubWljcm9zb2Z0LmNvbYISeGJveC5taWNyb3NvZnQuY29tMAkGA1UdEwQCMAAwDQYJKoZIhvcNAQELBQADggEBACiLeghirF+yCuYGVUPDB3wKQJn2iLY1za9ncxCehIVqOkFK09AphzoxF6Yid90AKCaa/dT/Ohm7oTyVQ+YcZnT00LUNFVG48AOE8YDiw9tjAG9OORsAz80xnv2qaLw2TCVIQ6NjrI83LqAm1GJ8rAnpdD/ZTuWM7TvSO5g/jm/Q0oSuKpMgj3YxpwgB9Ac6YEfVzOnm76OkUcpvR5MS4BoTfRv4thdSnU+uwqxM+HtdSVTbHQeC2U/hM1cyzDMpl1rZRklmiEOoPUeDasEIBVTJhAxR8xAeKJJD7Wzj4mJPw4UMvF8zQZzW8EKYvB1hkVYY+HQ85L+XcXd8lco7hU4=",
"cancellation_requested": false,
"status": "inProgress",
"status_details": "Pending certificate created. Certificate request is in progress. This may take some time based on the issuer provider. Please check again later.",
"request_id": "6faacd568ab049a2803861e8dd3ae21f"
}Définitions
| Nom | Description |
|---|---|
| Action |
L’action qui sera exécutée. |
|
Certificate |
Les attributs de gestion des certificats. |
|
Certificate |
Le certificat crée des paramètres. |
|
Certificate |
Une opération de certificat est renvoyée en cas de requêtes asynchrones. |
|
Certificate |
Stratégie de gestion d’un certificat. |
|
Certificate |
Type de l’action. |
|
Deletion |
Reflète le niveau de récupération de suppression actuellement en vigueur pour les secrets dans le coffre-fort actuel. S’il contient « Purgable », le secret peut être définitivement supprimé par un utilisateur privilégié ; Dans le cas contraire, seul le système peut purger le secret, à la fin de l’intervalle de rétention. |
| Error | |
|
Issuer |
Paramètres de l’émetteur du composant X509 d’un certificat. |
|
Json |
Nom de la courbe elliptique. Pour obtenir des valeurs valides, consultez JsonWebKeyCurveName. |
|
Json |
Type de paire de clés à utiliser pour le certificat. |
|
Key |
Propriétés de la paire de clés qui sous-tend un certificat. |
|
Key |
Utilisations prises en charge d’une clé de certificat. |
|
Key |
Exception d’erreur du coffre de clés. |
|
Lifetime |
Action et son déclencheur qui seront exécutés par Key Vault pendant la durée de vie d’un certificat. |
|
Secret |
Propriétés de la clé qui sous-tend un certificat. |
|
Subject |
Objet Noms alternatifs d’un objet X509. |
| Trigger |
Une condition à remplir pour qu’une action soit exécutée. |
|
X509Certificate |
Propriétés du composant X509 d’un certificat. |
Action
L’action qui sera exécutée.
| Nom | Type | Description |
|---|---|---|
| action_type |
Type de l’action. |
CertificateAttributes
Les attributs de gestion des certificats.
| Nom | Type | Description |
|---|---|---|
| created |
integer (unixtime) |
Heure de création en UTC. |
| enabled |
boolean |
Détermine si l’objet est activé. |
| exp |
integer (unixtime) |
Date d’expiration en UTC. |
| nbf |
integer (unixtime) |
Pas avant la date en UTC. |
| recoverableDays |
integer (int32) |
Jours de conservation des données softDelete. La valeur doit être >=7 et <=90 lorsque la suppression douce est activée, sinon 0. |
| recoveryLevel |
Reflète le niveau de récupération de suppression actuellement en vigueur pour les certificats dans le coffre actuel. S’il contient « Purgable », le certificat peut être définitivement supprimé par un utilisateur privilégié ; Dans le cas contraire, seul le système peut purger le certificat, à la fin de l’intervalle de rétention. |
|
| updated |
integer (unixtime) |
Dernière mise à jour de l’heure en UTC. |
CertificateCreateParameters
Le certificat crée des paramètres.
| Nom | Type | Description |
|---|---|---|
| attributes |
Les attributs du certificat (facultatif). |
|
| policy |
Stratégie de gestion du certificat. |
|
| preserveCertOrder |
boolean |
Spécifie si la chaîne de certificats conserve son ordre d’origine. La valeur par défaut est false, ce qui définit le certificat feuille à l’index 0. |
| tags |
object |
Métadonnées spécifiques à l’application sous la forme de paires clé-valeur. |
CertificateOperation
Une opération de certificat est renvoyée en cas de requêtes asynchrones.
| Nom | Type | Description |
|---|---|---|
| cancellation_requested |
boolean |
Indique si l’annulation a été demandée sur l’opération de certificat. |
| csr |
string (byte) |
Demande de signature de certificat (CSR) utilisée dans l’opération de certificat. |
| error |
Erreur rencontrée, le cas échéant, lors de l’opération du certificat. |
|
| id |
string |
L’identifiant du certificat. |
| issuer |
Paramètres de l’émetteur du composant X509 d’un certificat. |
|
| preserveCertOrder |
boolean |
Spécifie si la chaîne de certificats conserve son ordre d’origine. La valeur par défaut est false, ce qui définit le certificat feuille à l’index 0. |
| request_id |
string |
Identificateur de l’opération de certificat. |
| status |
string |
Statut de l’opération de certificat. |
| status_details |
string |
Détails de l’état de l’opération de certificat. |
| target |
string |
Emplacement qui contient le résultat de l’opération de certificat. |
CertificatePolicy
Stratégie de gestion d’un certificat.
| Nom | Type | Description |
|---|---|---|
| attributes |
Les attributs du certificat. |
|
| id |
string |
L’identifiant du certificat. |
| issuer |
Paramètres de l’émetteur du composant X509 d’un certificat. |
|
| key_props |
Propriétés de la clé qui sous-tend un certificat. |
|
| lifetime_actions |
Actions qui seront effectuées par Key Vault pendant la durée de vie d’un certificat. |
|
| secret_props |
Propriétés du secret qui sous-tend un certificat. |
|
| x509_props |
Propriétés du composant X509 d’un certificat. |
CertificatePolicyAction
Type de l’action.
| Valeur | Description |
|---|---|
| EmailContacts |
Une politique de certificat qui enverra par e-mail aux contacts de certificat. |
| AutoRenew |
Une politique de certificat qui renouvellera automatiquement un certificat. |
DeletionRecoveryLevel
Reflète le niveau de récupération de suppression actuellement en vigueur pour les secrets dans le coffre-fort actuel. S’il contient « Purgable », le secret peut être définitivement supprimé par un utilisateur privilégié ; Dans le cas contraire, seul le système peut purger le secret, à la fin de l’intervalle de rétention.
| Valeur | Description |
|---|---|
| Purgeable |
Désigne un état de coffre-fort dans lequel la suppression est une opération irréversible, sans possibilité de récupération. Ce niveau correspond à l’absence de protection contre une opération de suppression ; les données sont irrémédiablement perdues lors de l’acceptation d’une opération de suppression au niveau de l’entité ou supérieur (coffre-fort, groupe de ressources, abonnement, etc.) |
| Recoverable+Purgeable |
Désigne un état de coffre-fort dans lequel la suppression est récupérable, et qui permet également une suppression immédiate et permanente (c’est-à-dire la purge). Ce niveau garantit la récupérabilité de l’entité supprimée pendant l’intervalle de rétention (90 jours), sauf si une opération de purge est demandée ou si l’abonnement est annulé. Le système le supprimera définitivement après 90 jours, s’il n’est pas récupéré |
| Recoverable |
Désigne un état de coffre-fort dans lequel la suppression est récupérable sans possibilité de suppression immédiate et permanente (c’est-à-dire la purge). Ce niveau garantit la récupérabilité de l’entité supprimée pendant l’intervalle de rétention (90 jours) et pendant que l’abonnement est toujours disponible. Le système le supprimera définitivement après 90 jours, s’il n’est pas récupéré |
| Recoverable+ProtectedSubscription |
Désigne un état de coffre-fort et d’abonnement dans lequel la suppression est récupérable dans un intervalle de rétention (90 jours), la suppression immédiate et définitive (c’est-à-dire la purge) n’est pas autorisée et dans lequel l’abonnement lui-même ne peut pas être annulé de manière permanente. Le système le supprimera définitivement après 90 jours, s’il n’est pas récupéré |
| CustomizedRecoverable+Purgeable |
Désigne un état de coffre-fort dans lequel la suppression est récupérable, et qui permet également une suppression immédiate et permanente (c’est-à-dire la purge lorsque 7 <= SoftDeleteRetentionInDays < 90). Ce niveau garantit la récupérabilité de l’entité supprimée pendant l’intervalle de rétention, sauf si une opération de purge est demandée ou si l’abonnement est annulé. |
| CustomizedRecoverable |
Désigne un état de coffre-fort dans lequel la suppression est récupérable sans possibilité de suppression immédiate et permanente (c’est-à-dire purge lorsque 7 <= SoftDeleteRetentionInDays < 90). Ce niveau garantit la récupérabilité de l’entité supprimée pendant l’intervalle de rétention et pendant que l’abonnement est toujours disponible. |
| CustomizedRecoverable+ProtectedSubscription |
Désigne un état de coffre-fort et d’abonnement dans lequel la suppression est récupérable, la suppression immédiate et permanente (c’est-à-dire la purge) n’est pas autorisée, et dans lequel l’abonnement lui-même ne peut pas être annulé définitivement lorsque 7 <= SoftDeleteRetentionInDays < 90. Ce niveau garantit la récupérabilité de l’entité supprimée pendant l’intervalle de rétention, et reflète également le fait que l’abonnement lui-même ne peut pas être annulé. |
Error
| Nom | Type | Description |
|---|---|---|
| code |
string |
Code d’erreur. |
| innererror |
Erreur de serveur Key Vault. |
|
| message |
string |
Message d’erreur. |
IssuerParameters
Paramètres de l’émetteur du composant X509 d’un certificat.
| Nom | Type | Description |
|---|---|---|
| cert_transparency |
boolean |
Indique si les certificats générés dans le cadre de cette politique doivent être publiés dans les journaux de transparence des certificats. |
| cty |
string |
Type de certificat pris en charge par le fournisseur (facultatif) ; Par exemple 'OV-SSL', 'EV-SSL' |
| name |
string |
Nom de l’objet émetteur référencé ou des noms réservés ; par exemple, « Soi » ou « Inconnu ». |
JsonWebKeyCurveName
Nom de la courbe elliptique. Pour obtenir des valeurs valides, consultez JsonWebKeyCurveName.
| Valeur | Description |
|---|---|
| P-256 |
La courbe elliptique NIST P-256, alias courbe SECG SECP256R1. |
| P-384 |
La courbe elliptique NIST P-384, alias courbe SECG SECP384R1. |
| P-521 |
La courbe elliptique NIST P-521, alias courbe SECG SECP521R1. |
| P-256K |
Le SECG SECP256K1 courbe elliptique. |
JsonWebKeyType
Type de paire de clés à utiliser pour le certificat.
| Valeur | Description |
|---|---|
| EC |
Courbe elliptique. |
| EC-HSM |
Courbe elliptique avec une clé privée qui n’est pas exportable à partir du HSM. |
| RSA | |
| RSA-HSM |
RSA avec une clé privée qui n’est pas exportable à partir du HSM. |
| oct |
Séquence d’octets (utilisée pour représenter les clés symétriques). |
| oct-HSM |
Séquence d’octets avec une clé privée qui n’est pas exportable à partir du HSM. |
KeyProperties
Propriétés de la paire de clés qui sous-tend un certificat.
| Nom | Type | Description |
|---|---|---|
| crv |
Nom de la courbe elliptique. Pour obtenir des valeurs valides, consultez JsonWebKeyCurveName. |
|
| exportable |
boolean |
Indique si la clé privée peut être exportée. La politique de mise en production doit être fournie lors de la création de la première version d’une clé exportable. |
| key_size |
integer (int32) |
Taille de clé en bits. Par exemple : 2048, 3072 ou 4096 pour RSA. |
| kty |
Type de paire de clés à utiliser pour le certificat. |
|
| reuse_key |
boolean |
Indique si la même paire de clés sera utilisée lors du renouvellement du certificat. |
KeyUsageType
Utilisations prises en charge d’une clé de certificat.
| Valeur | Description |
|---|---|
| digitalSignature |
Indique que la clé de certificat peut être utilisée comme signature numérique. |
| nonRepudiation |
Indique que la clé de certificat peut être utilisée pour l’authentification. |
| keyEncipherment |
Indique que la clé de certificat peut être utilisée pour le chiffrement de la clé. |
| dataEncipherment |
Indique que la clé de certificat peut être utilisée pour le chiffrement des données. |
| keyAgreement |
Indique que la clé de certificat peut être utilisée pour déterminer l’accord de clé, par exemple une clé créée à l’aide de l’algorithme d’accord de clé Diffie-Hellman. |
| keyCertSign |
Indique que la clé de certificat peut être utilisée pour signer des certificats. |
| cRLSign |
Indique que la clé de certificat peut être utilisée pour signer une liste de révocation de certificat. |
| encipherOnly |
Indique que la clé de certificat ne peut être utilisée qu’à des fins de chiffrement. |
| decipherOnly |
Indique que la clé de certificat ne peut être utilisée qu’à des fins de déchiffrement. |
KeyVaultError
Exception d’erreur du coffre de clés.
| Nom | Type | Description |
|---|---|---|
| error |
Erreur de serveur Key Vault. |
LifetimeAction
Action et son déclencheur qui seront exécutés par Key Vault pendant la durée de vie d’un certificat.
| Nom | Type | Description |
|---|---|---|
| action |
L’action qui sera exécutée. |
|
| trigger |
Condition qui exécutera l’action. |
SecretProperties
Propriétés de la clé qui sous-tend un certificat.
| Nom | Type | Description |
|---|---|---|
| contentType |
string |
Le type de média (type MIME). |
SubjectAlternativeNames
Objet Noms alternatifs d’un objet X509.
| Nom | Type | Description |
|---|---|---|
| dns_names |
string[] |
Noms de domaine. |
| emails |
string[] |
Adresses e-mail. |
| ipAddresses |
string[] |
adresses IP ; prend en charge IPv4 et IPv6. |
| upns |
string[] |
Noms d’utilisateur principaux. |
| uris |
string[] |
Identificateurs de ressources uniformes. |
Trigger
Une condition à remplir pour qu’une action soit exécutée.
| Nom | Type | Description |
|---|---|---|
| days_before_expiry |
integer (int32) |
Jours avant l’expiration pour tenter de renouveler. La valeur doit être comprise entre 1 et validity_in_months multipliée par 27. Si validity_in_months est 36, la valeur doit être comprise entre 1 et 972 (36 * 27). |
| lifetime_percentage |
integer (int32) minimum: 1maximum: 99 |
Pourcentage de la durée de vie à laquelle se déclencher. La valeur doit être comprise entre 1 et 99. |
X509CertificateProperties
Propriétés du composant X509 d’un certificat.
| Nom | Type | Description |
|---|---|---|
| ekus |
string[] |
L’utilisation améliorée des clés. |
| key_usage |
Définit la façon dont la clé du certificat peut être utilisée. |
|
| sans |
Les noms alternatifs du sujet. |
|
| subject |
string |
Le nom de l’objet. Doit être un nom distinctif X509 valide. |
| validity_months |
integer (int32) minimum: 0 |
La durée de validité du certificat en mois. |