Exportar certificados do Azure Key Vault

Artigo
02/06/2024

Saiba como exportar certificados do Azure Key Vault. Você pode exportar certificados usando a CLI do Azure, o Azure PowerShell ou o portal do Azure.

Acerca dos certificados do Azure Key Vault

O Azure Key Vault permite que você provisione, gerencie e implante facilmente certificados digitais para sua rede. Ele também permite comunicações seguras para aplicativos. Consulte Certificados do Azure Key Vault para obter mais informações.

Composição de um certificado

Quando um certificado do Cofre da Chave é criado, uma chave endereçável e um segredo são criados com o mesmo nome. A chave Key Vault permite operações de chave. O segredo do Cofre da Chave permite a recuperação do valor do certificado como um segredo. Um certificado do Cofre da Chave também contém metadados de certificado x509 públicos. Vá para Composição de um certificado para obter mais informações.

Chaves exportáveis e não exportáveis

Depois que um certificado do Cofre da Chave for criado, você poderá recuperá-lo do segredo endereçável com a chave privada. Recupere o certificado no formato PFX ou PEM.

Exportável: a política usada para criar o certificado indica que a chave é exportável.
Não exportável: a política usada para criar o certificado indica que a chave não é exportável. Nesse caso, a chave privada não faz parte do valor quando é recuperada como um segredo.

Tipos de chaves suportados: RSA, RSA-HSM, EC, EC-HSM, oct (listados aqui) Exportável só é permitido com RSA, EC. As chaves HSM não seriam exportáveis.

Consulte Sobre certificados do Azure Key Vault para obter mais informações.

Exportar certificados armazenados

Pode exportar certificados armazenados no Azure Key Vault com a CLI do Azure, o Azure PowerShell ou o portal do Azure.

Nota

Só exija uma senha de certificado quando importar o certificado no cofre de chaves. O Key Vault não guarda a palavra-passe associada. Quando você exporta o certificado, a senha fica em branco.

Use o seguinte comando na CLI do Azure para baixar a parte pública de um certificado do Cofre da Chave.

az keyvault certificate download --file
                                 [--encoding {DER, PEM}]
                                 [--id]
                                 [--name]
                                 [--subscription]
                                 [--vault-name]
                                 [--version]

Veja exemplos e definições de parâmetros para obter mais informações.

Baixar como certificado significa obter a parte pública. Se você quiser tanto a chave privada e metadados públicos, então você pode baixá-lo como secreto.

az keyvault secret download --file {nameofcert.pfx}
                            [--encoding {ascii, base64, hex, utf-16be, utf-16le, utf-8}]
                            [--id]
                            [--name]
                            [--subscription]
                            [--vault-name]
                            [--version]

Para obter mais informações, consulte definições de parâmetro.

Use este comando no Azure PowerShell para obter o certificado chamado TestCert01 do cofre de chaves chamado ContosoKV01. Para baixar o certificado como um arquivo PFX, execute o seguinte comando. Esses comandos acessam SecretId e salvam o conteúdo como um arquivo PFX.

$vaultName = '<YourVault>'
$certificateName = '<YourCert>'
$password = '<YourPwd>'

$pfxSecret = Get-AzKeyVaultSecret -VaultName $vaultName -Name $certificateName -AsPlainText
$certBytes = [Convert]::FromBase64String($pfxSecret)

# Write to a file
Set-Content -Path cert.pfx -Value $certBytes -AsByteStream

Este comando exporta toda a cadeia de certificados com chave privada (ou seja, a mesma que foi importada). O certificado é protegido por senha.

Para obter mais informações sobre o comando Get-AzKeyVaultCertificate e parâmetros, consulte Get-AzKeyVaultCertificate - Exemplo 2.

Mais informações

Vários tipos de arquivo de certificado e definições