Eksportowanie certyfikatów z usługi Azure Key Vault

Dowiedz się, jak eksportować certyfikaty z usługi Azure Key Vault. Certyfikaty można eksportować przy użyciu interfejsu wiersza polecenia platformy Azure, programu Azure PowerShell lub witryny Azure Portal.

Informacje o certyfikatach usługi Azure Key Vault

Usługa Azure Key Vault umożliwia łatwe aprowizację i wdrażanie certyfikatów cyfrowych dla sieci oraz zarządzanie nimi. Umożliwia również bezpieczną komunikację dla aplikacji. Aby uzyskać więcej informacji, zobacz Certyfikaty usługi Azure Key Vault.

Budowa certyfikatu

Po utworzeniu certyfikatu usługi Key Vault tworzony jest adresowalny klucz i wpis tajny o tej samej nazwie. Klucz usługi Key Vault umożliwia wykonywanie kluczowych operacji. Wpis tajny usługi Key Vault umożliwia pobieranie wartości certyfikatu jako wpisu tajnego. Certyfikat usługi Key Vault zawiera również publiczne metadane certyfikatu x509. Aby uzyskać więcej informacji, przejdź do pozycji Kompozycja certyfikatu .

Eksportowalne i nieeksportowalne klucze

Po utworzeniu certyfikatu usługi Key Vault można pobrać go z adresu tajnego przy użyciu klucza prywatnego. Pobierz certyfikat w formacie PFX lub PEM.

• Możliwe do wyeksportowania: zasady używane do utworzenia certyfikatu wskazują, że klucz można eksportować.
• Nieeksportowalne: zasady używane do utworzenia certyfikatu wskazują, że klucz nie jest eksportowalny. W takim przypadku klucz prywatny nie jest częścią wartości, gdy jest pobierany jako klucz tajny.

Obsługiwane typy kluczy: RSA, RSA-HSM, EC, EC-HSM, oct (wymienione tutaj) Eksportowanie jest dozwolone tylko w przypadku RSA, EC. Klucze HSM byłyby nieeksportowalne.

Aby uzyskać więcej informacji, zobacz About Azure Key Vault certificates (Informacje o certyfikatach usługi Azure Key Vault).

Eksportowanie przechowywanych certyfikatów

Do eksportowania certyfikatów przechowywanych w usłudze Azure Key Vault można użyć interfejsu wiersza polecenia platformy Azure, programu Azure PowerShell lub witryny Azure Portal.

Uwaga

Wymagaj tylko hasła certyfikatu podczas importowania certyfikatu w magazynie kluczy. Usługa Key Vault nie zapisuje powiązanego hasła. Podczas eksportowania certyfikatu hasło jest puste.

Interfejs wiersza polecenia platformy Azure

Użyj następującego polecenia w interfejsie wiersza polecenia platformy Azure, aby pobrać publiczną część certyfikatu usługi Key Vault.

az keyvault certificate download --file
                                 [--encoding {DER, PEM}]
                                 [--id]
                                 [--name]
                                 [--subscription]
                                 [--vault-name]
                                 [--version]

Wyświetl przykłady i definicje parametrów , aby uzyskać więcej informacji.

Pobieranie jako certyfikat oznacza pobranie publicznej części. Jeśli chcesz, aby zarówno klucz prywatny, jak i metadane publiczne, możesz pobrać go jako wpis tajny.

az keyvault secret download --file {nameofcert.pfx}
                            [--encoding {ascii, base64, hex, utf-16be, utf-16le, utf-8}]
                            [--id]
                            [--name]
                            [--subscription]
                            [--vault-name]
                            [--version]

Aby uzyskać więcej informacji, zobacz definicje parametrów.

Program PowerShell

Użyj tego polecenia w programie Azure PowerShell, aby pobrać certyfikat o nazwie TestCert01 z magazynu kluczy o nazwie ContosoKV01. Aby pobrać certyfikat jako plik PFX, uruchom następujące polecenie. Te polecenia uzyskują dostęp do identyfikatora SecretId, a następnie zapisują zawartość jako plik PFX.

$vaultName = '<YourVault>'
$certificateName = '<YourCert>'
$password = '<YourPwd>'

$pfxSecret = Get-AzKeyVaultSecret -VaultName $vaultName -Name $certificateName -AsPlainText
$certBytes = [Convert]::FromBase64String($pfxSecret)

# Write to a file
Set-Content -Path cert.pfx -Value $certBytes -AsByteStream

To polecenie eksportuje cały łańcuch certyfikatów z kluczem prywatnym (tj. taki sam jak zaimportowano). Certyfikat jest chroniony hasłem.

Aby uzyskać więcej informacji na temat polecenia i parametrów Get-AzKeyVaultCertificate , zobacz Get-AzKeyVaultCertificate — przykład 2.

Portal

W witrynie Azure Portal po utworzeniu/zaimportowaniu certyfikatu w bloku Certyfikat otrzymasz powiadomienie o pomyślnym utworzeniu certyfikatu. Wybierz certyfikat i bieżącą wersję, aby wyświetlić opcję pobrania.

Aby pobrać certyfikat, wybierz pozycję Pobierz w formacie CER lub Pobierz w formacie PFX/PEM.

Eksportowanie certyfikatów usługi aplikacja systemu Azure

aplikacja systemu Azure Certyfikaty usługi to wygodny sposób zakupu certyfikatów SSL. Można je przypisać do aplikacja systemu Azure z poziomu portalu. Po ich zaimportowaniu certyfikaty usługi App Service znajdują się w wpisach tajnych.

Aby uzyskać więcej informacji, zobacz kroki eksportowania certyfikatów usługi aplikacja systemu Azure.

Przeczytaj więcej

• Różne typy i definicje plików certyfikatów