Certificaten exporteren uit Azure Key Vault

Meer informatie over het exporteren van certificaten uit Azure Key Vault. U kunt certificaten exporteren met behulp van de Azure-CLI, Azure PowerShell of de Azure Portal.

Informatie over Azure Key Vault-certificaten

Met Azure Key Vault kunt u eenvoudig digitale certificaten voor uw netwerk inrichten, beheren en implementeren. Er wordt ook beveiligde communicatie voor toepassingen ingeschakeld. Raadpleeg Azure Key Vault-certificaten voor meer informatie.

Samenstelling van een certificaat

Wanneer er een Key Vault-certificaat wordt gemaakt, worden er ook een adresseerbare sleutel en een geheim gemaakt met dezelfde naam. Met de Key Vault-sleutel kunnen sleutelbewerkingen worden uitgevoerd. Met het Key Vault-geheim kan zowel de certificaatwaarde als het geheim worden opgehaald. Een Key Vault-certificaat bevat ook openbare metagegevens voor x509-certificaten. Ga naar Samenstelling van een certificaat voor meer informatie.

Exporteerbare en niet-exporteerbare sleutels

Nadat een Key Vault-certificaat is gemaakt, kan het worden opgehaald uit het adresseerbare geheim met de privésleutel. Haal het certificaat op in PFX- of PEM-indeling.

• Exporteerbaar: het beleid dat wordt gebruikt om het certificaat te maken, geeft aan dat de sleutel kan worden geëxporteerd.
• Niet-exporteerbaar: het beleid dat wordt gebruikt om het certificaat te maken, geeft aan dat de sleutel niet kan worden geëxporteerd. In dit geval maakt de persoonlijke sleutel geen deel uit van de waarde wanneer deze wordt opgehaald als geheim.

Ondersteunde sleuteltypen: RSA, RSA-HSM, EC, EC-HSM, oct (hier vermeld) Exporteerbaar is alleen toegestaan met RSA, EC. HSM-sleutels zouden niet exporteerbaar zijn.

Raadpleeg Over Azure Key Vault-certificaten voor meer informatie.

Opgeslagen certificaten exporteren

U kunt opgeslagen certificaten exporteren in Azure Key Vault met behulp van de Azure-CLI, Azure PowerShell of de Azure Portal.

Notitie

U hoeft alleen een certificaatwachtwoord in te voeren wanneer u het certificaat in de sleutelkluis importeert. Key Vault slaat het gekoppelde wachtwoord niet op. Wanneer u het certificaat exporteert, is het wachtwoord leeg.

Azure-CLI

Gebruik de volgende opdracht in de Azure-CLI om het openbare deel van een Key Vault-certificaat te downloaden.

az keyvault certificate download --file
                                 [--encoding {DER, PEM}]
                                 [--id]
                                 [--name]
                                 [--subscription]
                                 [--vault-name]
                                 [--version]

Bekijk voorbeelden en parameterdefinities voor meer informatie.

Downloaden als certificaat betekent dat het openbare gedeelte wordt opgehaald. Als u zowel de privésleutel als de openbare metagegevens wilt hebben, kunt u deze downloaden als geheim.

az keyvault secret download --file {nameofcert.pfx}
                            [--encoding {ascii, base64, hex, utf-16be, utf-16le, utf-8}]
                            [--id]
                            [--name]
                            [--subscription]
                            [--vault-name]
                            [--version]

Zie parameterdefinities voor meer informatie.

PowerShell

Gebruik deze opdracht in Azure PowerShell om het certificaat de naam TestCert01 te geven vanuit de sleutelkluis met de naam ContosoKV01. Voer de volgende opdracht uit om het certificaat als PFX-bestand te downloaden. Met deze opdrachten krijgt u toegang tot SecretId en kunt u de inhoud opslaan als een PFX-bestand.

$vaultName = '<YourVault>'
$certificateName = '<YourCert>'
$password = '<YourPwd>'

$pfxSecret = Get-AzKeyVaultSecret -VaultName $vaultName -Name $certificateName -AsPlainText
$certBytes = [Convert]::FromBase64String($pfxSecret)

# Write to a file
Set-Content -Path cert.pfx -Value $certBytes -AsByteStream

Met deze opdracht wordt de volledige keten van certificaten met een persoonlijke sleutel geëxporteerd (dat wil bijvoorbeeld hetzelfde zijn als die is geïmporteerd). Het certificaat is beveiligd met een wachtwoord.

Zie Get-AzKeyVaultCertificate - Voorbeeld 2voor meer informatie over de Get-AzKeyVaultCertificate-opdracht en para meters.

Portal

Wanneer u op de Azure Portal een certificaat op de blade Certificaat maakt/importeert, ontvangt u een melding dat het certificaat is gemaakt. Selecteer het certificaat en de huidige versie om de optie om te downloaden te zien.

Als u het certificaat wilt downloaden, selecteert u Downloaden in CER-indeling of Downloaden in PFX/PEM-indeling.

Azure App Service-certificaten exporteren

Azure App Service-certificaten zijn een handige manier om SSL-certificaten aan te schaffen. U kunt deze toewijzen aan Azure-apps vanuit de portal. Na het importeren bevinden de App Service-certificaten zich onder geheimen.

Zie de stappen voor het exporteren van Azure App Service-certificaten voor meer informatie.

Meer informatie

• Verschillende typen certificaatbestanden en -definities