你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
教程:在 Azure Key Vault 中导入证书
Azure Key Vault 是一项云服务,它为机密提供了安全的存储。 可以安全地存储密钥、密码、证书和其他机密。 可以通过 Azure 门户创建和管理 Azure Key Vault。 在本教程中,我们将创建一个密钥保管库并使用它来导入证书。 有关 Key Vault 的详细信息,请参阅概述。
本教程介绍如何:
- 创建密钥保管库。
- 使用门户在 Key Vault 中导入证书。
- 使用 CLI 在 Key Vault 中导入证书。
- 使用 PowerShell 在 Key Vault 中导入证书。
在开始之前,请阅读 Key Vault 的基本概念。
如果没有 Azure 订阅,请在开始之前创建一个免费帐户。
登录 Azure
登录 Azure 门户。
创建密钥保管库
使用以下三种方法之一创建密钥保管库:
将证书导入密钥保管库
注意
默认情况下,导入的证书具有可导出的私钥。 可以使用 SDK、Azure CLI 或 PowerShell 定义那些阻止导出私钥的策略。
若要将证书导入到保管库,需要将 PEM 或 PFX 证书文件存储在磁盘上。 如果证书采用 PEM 格式,则 PEM 文件必须包含密钥和 x509 证书。 此操作需要证书/导入权限。
重要
在 Azure Key Vault 中,支持的证书格式为 PFX 和 PEM。
- .pem 文件格式包含一个或多个 X509 证书文件。
- .pfx 文件格式是一种存档文件格式,用于将多个加密对象存储在单个文件中,这些加密对象是:颁发给你的域的服务器证书、一个匹配的私钥,还可能包括一个中间 CA。
在本例中,我们将创建一个名为 ExampleCertificate 的证书,或使用路径”/path/to/cert.pem“导入名为 ExampleCertificate 的证书。 你可以通过 Azure 门户、Azure CLI 或 Azure PowerShell 来导入证书。
- 在密钥保管库的页面上,选择“证书”。
- 单击“生成/导入”。
- 在“创建证书”屏幕上,选择以下值:
- 证书创建方法:导入。
- 证书名称:ExampleCertificate。
- 上传证书文件:从磁盘选择证书文件
- 密码:如果要上传受密码保护的证书文件,请在此处提供该密码。 否则,请将其留空。 成功导入证书文件后,密钥保管库会删除该密码。
- 单击“创建”。
导入 .pem 文件时,请检查格式是否如下所示:
-----BEGIN CERTIFICATE-----
MIID2TCCAsGg...
-----END CERTIFICATE-----
-----BEGIN PRIVATE KEY-----
MIIEvQIBADAN...
-----END PRIVATE KEY-----
导入证书后,Azure 密钥保管库会自动填充证书参数(即有效期、颁发者名称、激活日期等)。
收到证书已成功导入的消息后,可以单击列表中的该证书以查看其属性。
现在,你已创建了一个密钥保管库,导入了一个证书并查看了证书的属性。
清理资源
其他 Key Vault 快速入门和教程是在本快速入门的基础上制作的。 如果打算继续使用后续的快速入门和教程,则可能需要保留这些资源。 如果不再需要资源组,可以将其删除,这将删除 Key Vault 和相关的资源。 要通过门户删除资源组,请执行以下操作:
- 在门户顶部的“搜索”框中输入资源组的名称。 在搜索结果中看到在本快速入门中使用的资源组后,将其选中。
- 选择“删除资源组”。
- 在“键入资源组名称:”框中,键入资源组的名称,然后选择“删除” 。
后续步骤
在本教程中,你创建了一个 Key Vault 并在其中导入了一个证书。 若要详细了解 Key Vault 以及如何将其与应用程序集成,请继续阅读以下文章。
- 详细了解如何在 Azure Key Vault 中管理证书创建
- 参阅使用 REST API 导入证书的示例
- 请参阅 Key Vault 安全性概述