Azure Key Vault-certifikatklientbibliotek för .NET – version 4.5.1
Azure Key Vault är en molntjänst som tillhandahåller säker lagring och automatiserad hantering av certifikat som används i ett molnprogram. Flera certifikat och flera versioner av samma certifikat kan lagras i Azure Key Vault. Varje certifikat i valvet har en associerad princip som styr certifikatets utfärdande och livslängd, tillsammans med åtgärder som ska vidtas när certifikat snart upphör att gälla.
Klientbiblioteket för Azure Key Vault-certifikat gör det möjligt att programmatiskt hantera certifikat, erbjuda metoder för att skapa, uppdatera, lista och ta bort certifikat, principer, utfärdare och kontakter. Biblioteket stöder även hantering av väntande certifikatåtgärder och hantering av borttagna certifikat.
Källkod | Paket (NuGet) | API-referensdokumentation | Produktdokumentation | Prover | Migreringsguide
Komma igång
Installera paketet
Installera Klientbiblioteket för Azure Key Vault-certifikat för .NET med NuGet:
dotnet add package Azure.Security.KeyVault.Certificates
Krav
- En Azure-prenumeration.
- En befintlig Azure-Key Vault. Om du behöver skapa en Azure-Key Vault kan du använda Azure Portal eller Azure CLI.
- Auktorisering till en befintlig Azure-Key Vault med antingen RBAC (rekommenderas) eller åtkomstkontroll.
Om du använder Azure CLI ersätter <your-resource-group-name>
du och <your-key-vault-name>
med dina egna unika namn:
az keyvault create --resource-group <your-resource-group-name> --name <your-key-vault-name>
Autentisera klienten
För att kunna interagera med Azure Key Vault-tjänsten måste du skapa en instans av klassen CertificateClient. Du behöver en valv-URL som du kan se som "DNS-namn" i portalen och autentiseringsuppgifter för att instansiera ett klientobjekt.
Exemplen som visas nedan använder en DefaultAzureCredential
, som är lämplig för de flesta scenarier, inklusive lokala utvecklings- och produktionsmiljöer.
Dessutom rekommenderar vi att du använder en hanterad identitet för autentisering i produktionsmiljöer.
Du hittar mer information om olika sätt att autentisera och deras motsvarande typer av autentiseringsuppgifter i Azure Identity-dokumentationen .
Om du vill använda providern DefaultAzureCredential
som visas nedan eller andra leverantörer av autentiseringsuppgifter som tillhandahålls med Azure SDK måste du först installera Azure.Identity-paketet:
dotnet add package Azure.Identity
Skapa CertificateClient
Instansiera en DefaultAzureCredential
för att skicka till klienten.
Samma instans av en tokenautentiseringsuppgift kan användas med flera klienter om de ska autentiseras med samma identitet.
// Create a new certificate client using the default credential from Azure.Identity using environment variables previously set,
// including AZURE_CLIENT_ID, AZURE_CLIENT_SECRET, and AZURE_TENANT_ID.
var client = new CertificateClient(vaultUri: new Uri(vaultUrl), credential: new DefaultAzureCredential());
Viktiga begrepp
KeyVaultCertificate
A KeyVaultCertificate
är den grundläggande resursen i Azure Key Vault. Du använder certifikat för att kryptera och verifiera krypterade eller signerade data.
CertificateClient
Med en CertificateClient
kan du hämta certifikat från valvet, skapa nya certifikat och nya versioner av befintliga certifikat, uppdatera certifikatmetadata och ta bort certifikat. Du kan också hantera certifikatutfärdare, kontakter och hanteringsprinciper för certifikat. Detta illustreras i exemplen nedan.
Trådsäkerhet
Vi garanterar att alla klientinstansmetoder är trådsäkra och oberoende av varandra (riktlinje). Detta säkerställer att rekommendationen att återanvända klientinstanser alltid är säker, även över trådar.
Ytterligare begrepp
Klientalternativ | Åtkomst till svaret | Långvariga åtgärder | Hantera fel | Diagnostik | Gäckande | Klientlivslängd
Exempel
Paketet Azure.Security.KeyVault.Certificates stöder synkrona och asynkrona API:er.
I följande avsnitt finns flera kodfragment med hjälp av ovanståendeclient
, som omfattar några av de vanligaste azure-Key Vault certifikattjänstrelaterade uppgifterna:
Synkroniseringsexempel
- Skapa ett certifikat
- Hämta ett certifikat
- Uppdatera ett befintligt certifikat
- Lista certifikat
- Ta bort ett certifikat
Asynkrona exempel
Skapa ett certifikat
StartCreateCertificate
skapar ett certifikat som ska lagras i Azure Key Vault. Om det redan finns ett certifikat med samma namn skapas en ny version av certifikatet.
När du skapar certifikatet kan användaren ange den princip som styr certifikatets livslängd. Om ingen princip anges används standardprincipen. Åtgärden StartCreateCertificate
returnerar en CertificateOperation
. I följande exempel skapas ett självsignerat certifikat med standardprincipen.
// Create a certificate. This starts a long running operation to create and sign the certificate.
CertificateOperation operation = client.StartCreateCertificate("MyCertificate", CertificatePolicy.Default);
// You can await the completion of the create certificate operation.
// You should run UpdateStatus in another thread or do other work like pumping messages between calls.
while (!operation.HasCompleted)
{
Thread.Sleep(2000);
operation.UpdateStatus();
}
KeyVaultCertificateWithPolicy certificate = operation.Value;
Obs! Beroende på certifikatutfärdaren och valideringsmetoderna kan det ta en obestämd tid att skapa och signera certifikat. Användare bör bara vänta på certifikatåtgärder när åtgärden rimligen kan slutföras inom programmets omfång, till exempel med självsignerade certifikat eller utfärdare med välkända svarstider.
Hämta ett certifikat
GetCertificate
hämtar den senaste versionen av ett certifikat som lagras i Azure Key Vault tillsammans med dess CertificatePolicy
.
KeyVaultCertificateWithPolicy certificateWithPolicy = client.GetCertificate("MyCertificate");
GetCertificateVersion
hämtar en specifik version av ett certifikat i valvet.
KeyVaultCertificate certificate = client.GetCertificateVersion(certificateWithPolicy.Name, certificateWithPolicy.Properties.Version);
Uppdatera ett befintligt certifikat
UpdateCertificate
uppdaterar ett certifikat som lagras i Azure Key Vault.
CertificateProperties certificateProperties = new CertificateProperties(certificate.Id);
certificateProperties.Tags["key1"] = "value1";
KeyVaultCertificate updated = client.UpdateCertificateProperties(certificateProperties);
Lista certifikat
GetCertificates
räknar upp certifikaten i valvet och returnerar välj egenskaper för certifikatet. Känsliga fält i certifikatet returneras inte. Den här åtgärden kräver behörigheten certifikat/lista.
Pageable<CertificateProperties> allCertificates = client.GetPropertiesOfCertificates();
foreach (CertificateProperties certificateProperties in allCertificates)
{
Console.WriteLine(certificateProperties.Name);
}
Ta bort ett certifikat
DeleteCertificate
tar bort alla versioner av ett certifikat som lagras i Azure Key Vault. När mjuk borttagning inte är aktiverat för Azure Key Vault tar den här åtgärden bort certifikatet permanent. Om mjuk borttagning är aktiverat markeras certifikatet för borttagning och kan eventuellt rensas eller återställas fram till dess schemalagda rensningsdatum.
DeleteCertificateOperation operation = client.StartDeleteCertificate("MyCertificate");
// You only need to wait for completion if you want to purge or recover the certificate.
// You should call `UpdateStatus` in another thread or after doing additional work like pumping messages.
while (!operation.HasCompleted)
{
Thread.Sleep(2000);
operation.UpdateStatus();
}
DeletedCertificate certificate = operation.Value;
client.PurgeDeletedCertificate(certificate.Name);
Skapa ett certifikat asynkront
De asynkrona API:erna är identiska med deras synkrona motsvarigheter, men returnerar med det typiska Suffixet "Async" för asynkrona metoder och returnerar ett Task
.
Det här exemplet skapar ett certifikat i Azure Key Vault med de angivna valfria argumenten.
// Create a certificate. This starts a long running operation to create and sign the certificate.
CertificateOperation operation = await client.StartCreateCertificateAsync("MyCertificate", CertificatePolicy.Default);
// You can await the completion of the create certificate operation.
KeyVaultCertificateWithPolicy certificate = await operation.WaitForCompletionAsync();
Lista certifikat asynkront
Listningscertifikatet förlitar sig inte på att vänta på GetPropertiesOfCertificatesAsync
metoden, men returnerar ett AsyncPageable<CertificateProperties>
som du kan använda med -instruktionen await foreach
:
AsyncPageable<CertificateProperties> allCertificates = client.GetPropertiesOfCertificatesAsync();
await foreach (CertificateProperties certificateProperties in allCertificates)
{
Console.WriteLine(certificateProperties.Name);
}
Ta bort ett certifikat asynkront
När du tar bort ett certifikat asynkront innan du rensar det kan du vänta på WaitForCompletionAsync
-metoden för åtgärden.
Som standard loopar den här loopen på obestämd tid, men du kan avbryta den genom att skicka en CancellationToken
.
DeleteCertificateOperation operation = await client.StartDeleteCertificateAsync("MyCertificate");
// You only need to wait for completion if you want to purge or recover the certificate.
await operation.WaitForCompletionAsync();
DeletedCertificate certificate = operation.Value;
await client.PurgeDeletedCertificateAsync(certificate.Name);
Felsökning
Mer information om hur du diagnostiserar olika felscenarier finns i vår felsökningsguide .
Allmänt
När du interagerar med Klientbiblioteket för Azure Key Vault-certifikat med hjälp av .NET SDK motsvarar fel som returneras av tjänsten samma HTTP-statuskoder som returneras för REST API-begäranden.
Om du till exempel försöker hämta en nyckel som inte finns i azure-Key Vault returneras ett 404
fel som anger Not Found
.
try
{
KeyVaultCertificateWithPolicy certificateWithPolicy = client.GetCertificate("SomeCertificate");
}
catch (RequestFailedException ex)
{
Console.WriteLine(ex.ToString());
}
Du kommer att märka att ytterligare information loggas, till exempel ID för klientbegäran för åtgärden.
Message:
Azure.RequestFailedException : Service request failed.
Status: 404 (Not Found)
Content:
{"error":{"code":"CertificateNotFound","message":"Certificate not found: MyCertificate"}}
Headers:
Cache-Control: no-cache
Pragma: no-cache
Server: Microsoft-IIS/10.0
x-ms-keyvault-region: westus
x-ms-request-id: 625f870e-10ea-41e5-8380-282e5cf768f2
x-ms-keyvault-service-version: 1.1.0.866
x-ms-keyvault-network-info: addr=131.107.174.199;act_addr_fam=InterNetwork;
X-AspNet-Version: 4.0.30319
X-Powered-By: ASP.NET
Strict-Transport-Security: max-age=31536000;includeSubDomains
X-Content-Type-Options: nosniff
Date: Tue, 18 Jun 2019 16:02:11 GMT
Content-Length: 75
Content-Type: application/json; charset=utf-8
Expires: -1
Nästa steg
Det finns flera klientbiblioteksexempel för Azure Key Vault certifikat på den här GitHub-lagringsplatsen. De här exemplen innehåller exempelkod för ytterligare scenarier som ofta påträffas när du arbetar med Azure Key Vault:
Sample1_HelloWorld.md – för att arbeta med Azure Key Vault-certifikat, inklusive:
- Skapa ett certifikat
- Hämta ett befintligt certifikat
- Uppdatera ett befintligt certifikat
- Ta bort ett certifikat
Sample2_GetCertificates.md – Exempelkod för att arbeta med Azure Key Vault-certifikat, inklusive:
- Skapa certifikat
- Visa en lista över alla certifikat i Key Vault
- Lista versioner av ett angivet certifikat
- Ta bort certifikat från Key Vault
- Lista borttagna certifikat i Key Vault
Ytterligare dokumentation
- Mer omfattande dokumentation om Azure Key Vault finns i API-referensdokumentationen.
- Information om klientbibliotek för hemligheter finns i Klientbibliotek för hemligheter.
- Klientbiblioteket nycklar finns i Klientbibliotek för nycklar.
Bidra
Mer information om hur du skapar, testar och bidrar till dessa bibliotek finns i CONTRIBUTING.md .
Det här projektet välkomnar bidrag och förslag. Merparten av bidragen kräver att du godkänner ett licensavtal för bidrag, där du deklarerar att du har behörighet att bevilja oss rättigheten att använda ditt bidrag, och att du dessutom uttryckligen gör så. Mer information finns på https://cla.microsoft.com.
När du skickar en pull-förfrågan avgör en CLA-robot automatiskt om du måste tillhandahålla ett licensavtal för bidrag med lämplig PR (t.ex. etikett eller kommentar). Följ bara robotens anvisningar. Du behöver bara göra detta en gång för alla repor som använder vårt licensavtal för bidrag.
Det här projektet använder sig av Microsofts uppförandekod för öppen källkod. Mer information finns i Vanliga frågor och svar om uppförandekod eller kontakt opencode@microsoft.com med ytterligare frågor eller kommentarer.
Azure SDK for .NET