Esportare certificati da Azure Key Vault

Informazioni su come esportare i certificati da Azure Key Vault. Per esportare i certificati, è possibile usare l'interfaccia della riga di comando di Azure, Azure PowerShell o il portale di Azure.

Informazioni sui certificati di Azure Key Vault

Azure Key Vault consente di effettuare facilmente il provisioning, la gestione e la distribuzione di certificati digitali per la rete. Permette inoltre di offrire comunicazioni sicure per le applicazioni. Per altre informazioni, vedere Certificati di Azure Key Vault.

Componenti di un certificato

Quando viene creato un certificato Key Vault, vengono creati una chiave e un segreto indirizzabili con lo stesso nome. La chiave di Key Vault consente di eseguire operazioni relative alle chiavi. Il segreto di Key Vault consente invece di recuperare il valore del certificato come segreto. Un certificato di Key Vault contiene anche i metadati del certificato x509 pubblico. Per altre informazioni, vedere Componenti di un certificato.

Chiavi esportabili e non esportabili

Un certificato di Key Vault creato può essere recuperato dal segreto indirizzabile con la chiave privata. Recuperare il certificato in formato PFX o PEM.

• Esportabile: i criteri usati per creare il certificato indicano che la chiave è esportabile.
• Non esportabile:: i criteri usati per creare il certificato indicano che la chiave non è esportabile. In questo caso, la chiave privata non è inclusa nel valore quando viene recuperata come segreto.

Tipi di chiavi supportati: RSA, RSA-HSM, EC, EC-HSM, oct (elencati qui) L'esportabilità è consentita solo con RSA, EC. Le chiavi HSM non possono essere esportate.

Per altre informazioni, vedere Informazioni sui certificati di Azure Key Vault.

Esportare i certificati archiviati

Per esportare i certificati archiviati in Azure Key Vault, è possibile usare l'interfaccia della riga di comando di Azure, Azure PowerShell o il portale di Azure.

Nota

Quando si importa il certificato nell'insieme di credenziali delle chiavi, è necessaria solo una password del certificato. Key Vault non salva la password associata. Quando si esporta il certificato, la password è vuota.

Interfaccia della riga di comando di Azure

Usare il comando seguente nell'interfaccia della riga di comando di Azure per scaricare la parte pubblica di un certificato di Key Vault.

az keyvault certificate download --file
                                 [--encoding {DER, PEM}]
                                 [--id]
                                 [--name]
                                 [--subscription]
                                 [--vault-name]
                                 [--version]

Per altre informazioni, vedere gli esempi e le definizioni dei parametri.

Il download come certificato comporta il recupero della parte pubblica. Per ottenere sia la chiave privata che i metadati pubblici, è possibile eseguire il download come segreto.

az keyvault secret download --file {nameofcert.pfx}
                            [--encoding {ascii, base64, hex, utf-16be, utf-16le, utf-8}]
                            [--id]
                            [--name]
                            [--subscription]
                            [--vault-name]
                            [--version]

Per altre informazioni, vedere le definizioni dei parametri.

PowerShell

Usare questo comando in Azure PowerShell per ottenere il certificato denominato TestCert01 dall'insieme di credenziali delle chiavi denominato ContosoKV01. Per scaricare il certificato come file PFX, eseguire questo comando. Questi comandi accedono a SecretId e quindi salvano il contenuto come file PFX.

$vaultName = '<YourVault>'
$certificateName = '<YourCert>'
$password = '<YourPwd>'

$pfxSecret = Get-AzKeyVaultSecret -VaultName $vaultName -Name $certificateName -AsPlainText
$certBytes = [Convert]::FromBase64String($pfxSecret)

# Write to a file
Set-Content -Path cert.pfx -Value $certBytes -AsByteStream

Questo comando esporta l'intera catena di certificati con la chiave privata, ovvero la stessa importata. Il certificato deve essere protetto da password.

Per altre informazioni sul comando e sui parametri di Get-AzKeyVaultCertificate, vedere Get-AzKeyVaultCertificate - Esempio 2.

Portale

Nel portale di Azure, dopo aver creato/importato un certificato nel pannello Certificato, si riceve una notifica della creazione del certificato. Selezionare il certificato e la versione corrente per visualizzare l'opzione per il download.

Per scaricare il certificato, selezionare Scarica in formato CER o Scarica in formato PFX/PEM.

Esportare i certificati di Servizio app di Azure

I certificati di Servizio app di Azure costituiscono una soluzione pratica per acquistare certificati SSL. È possibile assegnarli alle app Azure dall'interno del portale. Dopo l'importazione, i certificati di Servizio app di Azure si trovano in segreti.

Per altre informazioni, vedere la procedura per esportare i certificati di Servizio app di Azure.

Altre informazioni

• Tipi di file e definizioni di diversi certificati