Samouczek: importowanie certyfikatu w usłudze Azure Key Vault

Azure Key Vault to usługa w chmurze, która zapewnia bezpieczny magazyn wpisów tajnych. Możesz bezpiecznie przechowywać klucze, hasła, certyfikaty oraz inne wpisy tajne. Magazyny kluczy platformy Azure można tworzyć oraz nimi zarządzać za pośrednictwem witryny Azure Portal. W tym samouczku utworzysz magazyn kluczy, a następnie użyjesz go do zaimportowania certyfikatu. Aby uzyskać więcej informacji na temat usługi Key Vault, możesz zapoznać się z omówieniem.

Ten samouczek przedstawia sposób wykonania następujących czynności:

• Tworzenie magazynu kluczy.
• Zaimportuj certyfikat w usłudze Key Vault przy użyciu portalu.
• Zaimportuj certyfikat w usłudze Key Vault przy użyciu interfejsu wiersza polecenia.
• Zaimportuj certyfikat w usłudze Key Vault przy użyciu programu PowerShell.

Przed rozpoczęciem zapoznaj się z podstawowymi pojęciami dotyczącymi usługi Key Vault.

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Logowanie się do platformy Azure

Zaloguj się w witrynie Azure Portal.

Tworzenie magazynu kluczy

Utwórz magazyn kluczy przy użyciu jednej z następujących trzech metod:

• Tworzenie magazynu kluczy przy użyciu witryny Azure Portal
• Tworzenie magazynu kluczy przy użyciu interfejsu wiersza polecenia platformy Azure
• Tworzenie magazynu kluczy przy użyciu programu Azure PowerShell

Importowanie certyfikatu do magazynu kluczy

Uwaga

Domyślnie zaimportowane certyfikaty mają eksportowalne klucze prywatne. Za pomocą zestawu SDK, interfejsu wiersza polecenia platformy Azure lub programu PowerShell można zdefiniować zasady, które uniemożliwiają eksportowanie klucza prywatnego.

Aby zaimportować certyfikat do magazynu, musisz mieć plik certyfikatu PEM lub PFX, aby był na dysku. Jeśli certyfikat jest w formacie PEM, plik PEM musi zawierać klucz, a także certyfikaty x509. Ta operacja wymaga uprawnień do certyfikatów/importu.

Ważne

W usłudze Azure Key Vault obsługiwane są certyfikaty w formatach PFX i PEM.

• Format pliku pem zawiera co najmniej jeden plik certyfikatu X509.
• Format pliku PFX to format pliku archiwum do przechowywania kilku obiektów kryptograficznych w jednym pliku, tj. certyfikat serwera (wystawiony dla domeny), pasujący klucz prywatny i opcjonalnie może zawierać pośredni urząd certyfikacji.

W takim przypadku utworzymy certyfikat o nazwie ExampleCertificate lub zaimportujemy certyfikat o nazwie ExampleCertificate ze ścieżką **/path/to/cert.pem". Certyfikat można zaimportować za pomocą witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell.

Witryna Azure Portal

1. Na stronie Twojego magazynu kluczy wybierz pozycję Certyfikaty.
2. Kliknij pozycję Wygeneruj/zaimportuj.
3. Na ekranie Tworzenie certyfikatu wybierz następujące wartości:
   • Metoda tworzenia certyfikatu: Import.
   • Nazwa certyfikatu: ExampleCertificate.
   • Przekaż plik certyfikatu: wybierz plik certyfikatu z dysku
   • Hasło : jeśli przekazujesz plik certyfikatu chronionego hasłem, podaj to hasło tutaj. W przeciwnym razie pozostaw to pole puste. Po pomyślnym zaimportowaniu pliku certyfikatu magazyn kluczy usunie to hasło.
4. Kliknij pozycję Utwórz.

Podczas importowania pliku pem sprawdź, czy format jest następujący:

-----BEGIN CERTIFICATE-----
MIID2TCCAsGg...
-----END CERTIFICATE-----
-----BEGIN PRIVATE KEY-----
MIIEvQIBADAN...
-----END PRIVATE KEY-----

Podczas importowania certyfikatu usługa Azure Key Vault automatycznie wypełni parametry certyfikatu (tj. okres ważności, nazwę wystawcy, datę aktywacji itp.).

Po otrzymaniu komunikatu o pomyślnym zaimportowaniu certyfikatu możesz kliknąć go na liście, aby wyświetlić jego właściwości.

Interfejs wiersza polecenia platformy Azure

Zaimportuj certyfikat do magazynu kluczy przy użyciu polecenia az keyvault certificate import polecenia platformy Azure:

az keyvault certificate import --vault-name "<your-key-vault-name>" -n "ExampleCertificate" -f "/path/to/ExampleCertificate.pem"

Po zaimportowaniu certyfikatu możesz wyświetlić certyfikat przy użyciu polecenia az keyvault certificate show interfejsu wiersza polecenia platformy Azure.

az keyvault certificate show --vault-name "<your-key-vault-name>" --name "ExampleCertificate"

Azure PowerShell

Certyfikat można zaimportować do usługi Key Vault przy użyciu polecenia cmdlet Import-AzKeyVaultCertificate programu Azure PowerShell.

$Password = ConvertTo-SecureString -String "123" -AsPlainText -Force
Import-AzKeyVaultCertificate -VaultName "<your-key-vault-name>" -Name "ExampleCertificate" -FilePath "C:\path\to\ExampleCertificate.pem" -Password $Password

Po zaimportowaniu certyfikatu można wyświetlić certyfikat przy użyciu polecenia cmdlet Get-AzKeyVaultCertificate programu Azure PowerShell

Get-AzKeyVaultCertificate -VaultName "<your-key-vault-name>" -Name "ExampleCertificate"

Teraz utworzono magazyn kluczy, zaimportowano certyfikat i wyświetlono właściwości certyfikatu.

Czyszczenie zasobów

Inne przewodniki Szybki start i samouczki usługi Key Vault bazują na tym przewodniku. Jeśli planujesz korzystać z kolejnych przewodników Szybki start i samouczków, pozostaw te zasoby na swoim miejscu. Jeśli nie będą Ci one już potrzebne, usuń grupę zasobów, a zostanie także usunięta usługa Key Vault i powiązane zasoby. Aby usunąć grupę zasobów za pośrednictwem portalu:

1. Wprowadź nazwę grupy zasobów w polu wyszukiwania w górnej części portalu. Gdy w wynikach wyszukiwania zobaczysz grupę zasobów używaną w tym przewodniku Szybki start, wybierz ją.
2. Wybierz pozycję Usuń grupę zasobów.
3. W polu WPISZ NAZWĘ GRUPY ZASOBÓW: wpisz nazwę grupy zasobów i wybierz pozycję Usuń.

Następne kroki

W tym samouczku utworzono usługę Key Vault i zaimportowaliśmy w niej certyfikat. Aby dowiedzieć się więcej na temat usługi Key Vault i sposobu jej integracji z aplikacjami, przejdź do poniższych artykułów.

• Przeczytaj więcej na temat zarządzania tworzeniem certyfikatów w usłudze Azure Key Vault
• Zobacz przykłady importowania certyfikatów przy użyciu interfejsów API REST
• Przegląd zabezpieczeń usługi Key Vault