Share via


Exportar certificados do Azure Key Vault

Saiba como exportar certificados do Azure Key Vault. Você pode exportar certificados usando a CLI do Azure, o Azure PowerShell ou o portal do Azure.

Sobre certificados do Azure Key Vault

O Azure Key Vault permite que você provisione, gerencie e implante certificados digitais para a sua rede. Ele também proporciona comunicações seguras para aplicativos. Consulte Certificados do Azure Key Vault para obter mais informações.

Composição de um certificado

Quando um certificado do Key Vault é criado, uma chave e um segredo endereçáveis são criados com o mesmo nome. A chave do Key Vault permite operações de chave. O segredo do Key Vault permite a recuperação do valor do certificado como um segredo. Um certificado do Cofre de Chaves também contém metadados do certificado x509 público. Acesse Composição de um certificado para obter mais informações.

Chaves exportáveis e não exportáveis

Depois que um certificado do Key Vault é criado, você pode recuperá-lo por meio do segredo endereçável com a chave privada. Recupere o certificado no formato PFX ou PEM.

  • Exportável: a política usada para criar o certificado indica que a chave é exportável.
  • Não exportável: a política usada para criar o certificado indica que a chave é não exportável. Nesse caso, a chave privada não faz parte do valor quando é recuperada como um segredo.

Tipos de chave com suporte: RSA, RSA-HSM, EC, EC-HSM, oct (listadas aqui). A exportação só é permitida com RSA e EC. As chaves HSM seriam não exportáveis.

Consulte Sobre certificados do Azure Key Vault para obter mais informações.

Exportar certificados armazenados

Você pode exportar certificados armazenados no Azure Key Vault usando a CLI do Azure, o Azure PowerShell ou o portal do Azure.

Observação

Exija apenas uma senha de certificado quando você importar o certificado no cofre de chaves. O Key Vault não salva a senha associada. Quando você exporta o certificado, a senha fica em branco.

Use o comando a seguir na CLI do Azure para baixar a parte pública de um certificado do Key Vault.

az keyvault certificate download --file
                                 [--encoding {DER, PEM}]
                                 [--id]
                                 [--name]
                                 [--subscription]
                                 [--vault-name]
                                 [--version]

Veja exemplos e definições de parâmetro para obter mais informações.

Baixar como certificado significa obter a parte pública. Se você quiser a chave privada e os metadados públicos, poderá baixá-los como um segredo.

az keyvault secret download --file {nameofcert.pfx}
                            [--encoding {ascii, base64, hex, utf-16be, utf-16le, utf-8}]
                            [--id]
                            [--name]
                            [--subscription]
                            [--vault-name]
                            [--version]

Para obter mais informações, confira definições de parâmetro.

Leia mais