Экспорт сертификатов из Azure Key Vault

Статья
02/03/2024

Узнайте, как экспортировать сертификаты из Azure Key Vault. Вы можете экспортировать сертификаты с помощью портала Azure, Azure PowerShell или Azure CLI.

Сведения о сертификатах Azure Key Vault

Azure Key Vault позволяет легко подготавливать и развертывать цифровые сертификаты для сети, а также управлять ими. Это решение также обеспечивает защищенный обмен данными для приложений. Дополнительные сведения см. в статье Сертификаты Azure Key Vault.

Создание сертификатов

Когда создается сертификат Key Vault, создаются адресуемые ключ и секрет с тем же именем. Ключ Key Vault разрешает операции с ключами, а секрет Key Vault позволяет извлекать значение сертификата в виде секрета. Сертификат Key Vault также содержит открытые метаданные сертификата x509. Дополнительные сведения см. в разделе Создание сертификатов.

Доступные и недоступные для экспорта ключи

Созданный сертификат Key Vault можно извлечь из адресуемого секрета с помощью закрытого ключа в формате PFX или PEM.

Возможность экспорта: политика, используемая для создания сертификата, указывает, что ключ доступен для экспорта.
Без экспорта: политика, используемая для создания сертификата, указывает, что ключ недоступен для экспорта. В таком случае закрытый ключ не является частью значения при его получении в виде секрета.

Поддерживаемые типы ключей: RSA, RSA-HSM, EC, EC-HSM и т. д. (см. здесь) Для экспорта доступны только RSA и EC. Ключи HSM нельзя экспортировать.

Дополнительные сведения см. в разделе О сертификатах Azure Key Vault.

Экспорт сохраненных сертификатов

Вы можете экспортировать сохраненные сертификаты из Azure Key Vault с помощью портала Azure, Azure PowerShell или Azure CLI.

Примечание.

Пароль сертификата требуется только при импорте сертификата в хранилище ключей. Key Vault не хранит связанный пароль. При экспорте сертификата пароль будет пустым.

С помощью следующей команды в Azure CLI скачайте открытую часть сертификата Key Vault.

az keyvault certificate download --file
                                 [--encoding {DER, PEM}]
                                 [--id]
                                 [--name]
                                 [--subscription]
                                 [--vault-name]
                                 [--version]

Дополнительные сведения см. в разделе с примерами и определениями параметров.

Скачивание в качестве сертификата означает получение общедоступной части. Если вы хотите использовать как закрытый ключ, так и общедоступные метаданные, вы можете скачать их как секрет.

az keyvault secret download --file {nameofcert.pfx}
                            [--encoding {ascii, base64, hex, utf-16be, utf-16le, utf-8}]
                            [--id]
                            [--name]
                            [--subscription]
                            [--vault-name]
                            [--version]

Дополнительные сведения см. в разделе с определениями параметров.

С помощью этой команды в Azure PowerShell получите сертификат с именем TestCert01 из хранилища ключей с именем ContosoKV01. Чтобы скачать сертификат в виде PFX-файла, выполните следующую команду. Эти команды обращаются к параметру SecretId, а затем сохраняют его содержимое в виде PFX-файла.

$vaultName = '<YourVault>'
$certificateName = '<YourCert>'
$password = '<YourPwd>'

$pfxSecret = Get-AzKeyVaultSecret -VaultName $vaultName -Name $certificateName -AsPlainText
$certBytes = [Convert]::FromBase64String($pfxSecret)

# Write to a file
Set-Content -Path cert.pfx -Value $certBytes -AsByteStream

Эта команда позволяет экспортировать всю цепочку сертификатов с использованием закрытого ключа (так же, как и при импорте). Сертификат защищен паролем.

Дополнительные сведения о команде Get-AzKeyVaultCertificate и ее параметрах см. в статье Get-AzKeyVaultCertificate — пример 2.

Подробнее

Типы и расширения файлов SSL/TLS-сертификатов

Поделиться через