Exportar certificados do Azure Key Vault

Saiba como exportar certificados do Azure Key Vault. Você pode exportar certificados usando a CLI do Azure, o Azure PowerShell ou o portal do Azure.

Sobre certificados do Azure Key Vault

O Azure Key Vault permite que você provisione, gerencie e implante certificados digitais para a sua rede. Ele também proporciona comunicações seguras para aplicativos. Consulte Certificados do Azure Key Vault para obter mais informações.

Composição de um certificado

Quando um certificado do Key Vault é criado, uma chave e um segredo endereçáveis são criados com o mesmo nome. A chave do Key Vault permite operações de chave. O segredo do Key Vault permite a recuperação do valor do certificado como um segredo. Um certificado do Cofre de Chaves também contém metadados do certificado x509 público. Acesse Composição de um certificado para obter mais informações.

Chaves exportáveis e não exportáveis

Depois que um certificado do Key Vault é criado, você pode recuperá-lo por meio do segredo endereçável com a chave privada. Recupere o certificado no formato PFX ou PEM.

• Exportável: a política usada para criar o certificado indica que a chave é exportável.
• Não exportável: a política usada para criar o certificado indica que a chave é não exportável. Nesse caso, a chave privada não faz parte do valor quando é recuperada como um segredo.

Tipos de chave com suporte: RSA, RSA-HSM, EC, EC-HSM, oct (listadas aqui). A exportação só é permitida com RSA e EC. As chaves HSM seriam não exportáveis.

Consulte Sobre certificados do Azure Key Vault para obter mais informações.

Exportar certificados armazenados

Você pode exportar certificados armazenados no Azure Key Vault usando a CLI do Azure, o Azure PowerShell ou o portal do Azure.

Observação

Exija apenas uma senha de certificado quando você importar o certificado no cofre de chaves. O Key Vault não salva a senha associada. Quando você exporta o certificado, a senha fica em branco.

CLI do Azure

Use o comando a seguir na CLI do Azure para baixar a parte pública de um certificado do Key Vault.

az keyvault certificate download --file
                                 [--encoding {DER, PEM}]
                                 [--id]
                                 [--name]
                                 [--subscription]
                                 [--vault-name]
                                 [--version]

Veja exemplos e definições de parâmetro para obter mais informações.

Baixar como certificado significa obter a parte pública. Se você quiser a chave privada e os metadados públicos, poderá baixá-los como um segredo.

az keyvault secret download --file {nameofcert.pfx}
                            [--encoding {ascii, base64, hex, utf-16be, utf-16le, utf-8}]
                            [--id]
                            [--name]
                            [--subscription]
                            [--vault-name]
                            [--version]

Para obter mais informações, confira definições de parâmetro.

PowerShell

Use esse comando no Azure PowerShell para obter o certificado denominado TestCert01 do cofre de chaves chamado ContosoKV01. Para baixar o certificado como um arquivo PFX, execute o comando a seguir. Esses comandos acessam a SecretId e salvam o conteúdo como um arquivo PFX.

$vaultName = '<YourVault>'
$certificateName = '<YourCert>'
$password = '<YourPwd>'

$pfxSecret = Get-AzKeyVaultSecret -VaultName $vaultName -Name $certificateName -AsPlainText
$certBytes = [Convert]::FromBase64String($pfxSecret)

# Write to a file
Set-Content -Path cert.pfx -Value $certBytes -AsByteStream

Esse comando exportará toda a cadeia de certificados com uma chave privada (ou seja, a mesma que foi importada). O certificado é protegido por senha.

Para obter mais informações sobre o comando Get-AzKeyVaultCertificate e os parâmetros, consulte Get-AzKeyVaultCertificate – Exemplo 2.

Portal

No portal do Azure, depois de criar/importar um certificado na folha Certificado, você receberá uma notificação de que o certificado foi criado com êxito. Selecione o certificado e a versão atual para ver a opção para baixar.

Para baixar o certificado, selecione Baixar no formato CER ou Baixar no formato PFX/PEM.

Exportar certificados do Serviço de Aplicativo do Azure

Os certificados do Serviço de Aplicativo do Azure são uma forma conveniente de comprar certificados SSL. Você pode atribuí-los a Aplicativos do Azure por meio do portal. Depois de importá-los, os certificados do Serviço de Aplicativo ficam localizados em segredos.

Para obter mais informações, consulte as etapas para exportar certificados do Serviço de Aplicativo do Azure.

Leia mais

• Vários tipos de arquivo de certificado e definições