Exportera certifikat från Azure Key Vault

2025-04-22

Lär dig hur du exporterar certifikat från Azure Key Vault. Du kan exportera certifikat med hjälp av Azure CLI, Azure PowerShell eller Azure-portalen.

Om Azure Key Vault-certifikat

Med Azure Key Vault kan du enkelt etablera, hantera och distribuera digitala certifikat för nätverket. Det möjliggör även säker kommunikation för program. Mer information finns i Azure Key Vault-certifikat .

Komposition av ett certifikat

När ett Key Vault-certifikat skapas skapas en adresserbar nyckel och hemlighet som har samma namn. Key Vault-nyckeln tillåter nyckelåtgärder. Key Vault-hemligheten möjliggör att certifikatvärdet kan hämtas som en konfidentiell uppgift. Ett Key Vault-certifikat innehåller även offentliga x509-certifikatmetadata. Gå till Komposition för ett certifikat för mer information.

Exporterbara och icke-exporterbara nycklar

När ett Key Vault-certifikat har skapats kan du hämta det från den adresserbara hemligheten med den privata nyckeln. Hämta certifikatet i PFX- eller PEM-format.

Exporterbar: Principen som används för att skapa certifikatet anger att nyckeln kan exporteras.
Ej exporterbar: Principen som används för att skapa certifikatet anger att nyckeln inte kan exporteras. I det här fallet är den privata nyckeln inte en del av värdet när den hämtas som en hemlighet.

Nyckeltyper som stöds: RSA, RSA-HSM, EC, EC-HSM, okt (visas här) Exporterbara tillåts endast med RSA, EC. HSM-nycklar kan inte exporteras.

Mer information finns i Om Azure Key Vault-certifikat för mer information.

Exportera lagrade certifikat

Du kan exportera lagrade certifikat i Azure Key Vault med hjälp av Azure CLI, Azure PowerShell eller Azure-portalen.

Anmärkning

Du behöver bara ett certifikatlösenord när du importerar certifikatet i nyckelvalvet. Key Vault sparar inte det associerade lösenordet. När du exporterar certifikatet är lösenordet tomt.

Använd följande kommando i Azure CLI för att ladda ned den offentliga delen av ett Key Vault-certifikat.

az keyvault certificate download --file
                                 [--encoding {DER, PEM}]
                                 [--id]
                                 [--name]
                                 [--subscription]
                                 [--vault-name]
                                 [--version]

Visa exempel och parameterdefinitioner för mer information.

När du laddar ned som ett certifikat får du den offentliga delen. Om du vill ha både den privata nyckeln och offentliga metadata laddar du ned den som hemlighet.

az keyvault secret download --file {nameofcert.pfx}
                            [--encoding {ascii, base64, hex, utf-16be, utf-16le, utf-8}]
                            [--id]
                            [--name]
                            [--subscription]
                            [--vault-name]
                            [--version]

Mer information finns i parameterdefinitioner.

Använd det här kommandot i Azure PowerShell för att hämta certifikatet med namnet TestCert01 från nyckelvalvet med namnet ContosoKV01. Om du vill ladda ned certifikatet som en PFX-fil kör du följande kommando. Dessa kommandon kommer åt SecretId och sparar sedan innehållet som en PFX-fil.

$vaultName = '<YourVault>'
$certificateName = '<YourCert>'
$password = '<YourPwd>'

$pfxSecret = Get-AzKeyVaultSecret -VaultName $vaultName -Name $certificateName -AsPlainText
$certBytes = [Convert]::FromBase64String($pfxSecret)

# Write to a file
Set-Content -Path cert.pfx -Value $certBytes -AsByteStream

Det här kommandot exporterar hela kedjan med certifikat med privat nyckel (dvs. samma som den importerades). Certifikatet är lösenordsskyddat.

Mer information om kommandot och parametrarna Get-AzKeyVaultCertificate finns iGet-AzKeyVaultCertificate – Exempel 2.

Läs mer

Olika typer och definitioner av certifikatfiler