你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Import Certificate - Import Certificate
将证书导入指定的密钥保管库。
将包含私钥的现有有效证书导入 Azure Key Vault。 此操作需要证书/导入权限。 要导入的证书可以采用 PFX 或 PEM 格式。 如果证书采用 PEM 格式,则 PEM 文件必须包含密钥和 x509 证书。 密钥保管库将仅接受 PKCS#8 格式的密钥。
POST {vaultBaseUrl}/certificates/{certificate-name}/import?api-version=7.4URI 参数
| 名称 | 在 | 必需 | 类型 | 说明 |
|---|---|---|---|---|
|
certificate-name
|
path | True |
string |
证书的名称。 为了运行服务,可能会全局复制你提供的值。 提供的值不应包括个人身份信息或敏感信息。 正则表达式模式: |
|
vault
|
path | True |
string |
保管库名称,例如 https://myvault.vault.azure.net。 |
|
api-version
|
query | True |
string |
客户端 API 版本。 |
请求正文
| 名称 | 必需 | 类型 | 说明 |
|---|---|---|---|
| value | True |
string |
要导入的证书对象的 Base64 编码表示形式。 此证书需要包含私钥。 |
| attributes |
证书的属性 (可选的) 。 |
||
| policy |
证书的管理策略。 |
||
| pwd |
string |
如果 base64EncodedCertificate 中的私钥已加密,则为用于加密的密码。 |
|
| tags |
object |
键/值对形式的应用程序特定元数据。 |
响应
| 名称 | 类型 | 说明 |
|---|---|---|
| 200 OK |
已将证书捆绑包导入到保管库。 |
|
| Other Status Codes |
密钥保管库描述操作失败原因的错误响应。 |
示例
ImportCertificate
示例请求
POST https://myvault.vault.azure.net//certificates/importCert01/import?api-version=7.4
{
"value": "MIIJ...",
"pwd": "123",
"policy": {
"key_props": {
"exportable": true,
"kty": "RSA",
"key_size": 2048,
"reuse_key": false
},
"secret_props": {
"contentType": "application/x-pkcs12"
}
}
}
示例响应
{
"id": "https://myvault.vault.azure.net/certificates/importCert01/f00e72f0ddee4dddadc27c0f605d84d7",
"kid": "https://myvault.vault.azure.net/keys/importCert01/f00e72f0ddee4dddadc27c0f605d84d7",
"sid": "https://myvault.vault.azure.net/secrets/importCert01/f00e72f0ddee4dddadc27c0f605d84d7",
"x5t": "fLi3U52HunIVNXubkEnf8tP6Wbo",
"cer": "MIIC...",
"attributes": {
"enabled": true,
"nbf": 1430344421,
"exp": 2208988799,
"created": 1493938557,
"updated": 1493938557,
"recoveryLevel": "Recoverable+Purgeable"
},
"policy": {
"id": "https://myvault.vault.azure.net/certificates/importCert01/policy",
"key_props": {
"exportable": true,
"kty": "RSA",
"key_size": 2048,
"reuse_key": false
},
"secret_props": {
"contentType": "application/x-pkcs12"
},
"x509_props": {
"subject": "CN=KeyVaultTest",
"ekus": [],
"key_usage": [],
"validity_months": 297
},
"lifetime_actions": [
{
"trigger": {
"lifetime_percentage": 80
},
"action": {
"action_type": "EmailContacts"
}
}
],
"issuer": {
"name": "Unknown"
},
"attributes": {
"enabled": true,
"created": 1493938557,
"updated": 1493938557
}
}
}定义
| 名称 | 说明 |
|---|---|
| Action |
将执行的操作。 |
|
Certificate |
证书管理属性。 |
|
Certificate |
证书捆绑包由 X509) (证书及其属性组成。 |
|
Certificate |
证书导入参数。 |
|
Certificate |
证书的管理策略。 |
|
Certificate |
操作的类型。 |
|
Deletion |
反映当前保管库中证书当前生效的删除恢复级别。 如果它包含“Purgeable”,则特权用户可以永久删除证书;否则,只有系统才能在保留间隔结束时清除证书。 |
| Error |
密钥保管库服务器错误。 |
|
Issuer |
证书 X509 组件的颁发者参数。 |
|
Json |
椭圆曲线名称。 有关有效值,请参阅 JsonWebKeyCurveName。 |
|
Json |
要用于证书的密钥对的类型。 |
|
Key |
支持证书的密钥对的属性。 |
|
Key |
定义证书密钥的使用方式。 |
|
Key |
密钥保管库错误异常。 |
|
Lifetime |
将在证书生存期内由密钥保管库执行的操作及其触发器。 |
|
Secret |
支持证书的密钥的属性。 |
|
Subject |
X509 对象的使用者备用名称。 |
| Trigger |
要为要执行的操作满足的条件。 |
|
X509Certificate |
证书的 X509 组件的属性。 |
Action
将执行的操作。
| 名称 | 类型 | 说明 |
|---|---|---|
| action_type |
操作的类型。 |
CertificateAttributes
证书管理属性。
| 名称 | 类型 | 说明 |
|---|---|---|
| created |
integer |
创建时间(UTC)。 |
| enabled |
boolean |
确定是否启用对象。 |
| exp |
integer |
到期日期(UTC)。 |
| nbf |
integer |
不早于 UTC 日期。 |
| recoverableDays |
integer |
softDelete 数据保留天数。 启用 softDelete 时,值应为 >=7 和 <=90,否则为 0。 |
| recoveryLevel |
反映当前保管库中证书当前生效的删除恢复级别。 如果它包含“Purgeable”,则特权用户可以永久删除证书;否则,只有系统才能在保留间隔结束时清除证书。 |
|
| updated |
integer |
上次更新时间(UTC)。 |
CertificateBundle
证书捆绑包由 X509) (证书及其属性组成。
| 名称 | 类型 | 说明 |
|---|---|---|
| attributes |
证书属性。 |
|
| cer |
string |
x509 证书的 CER 内容。 |
| contentType |
string |
机密的内容类型。 例如 “application/x-pem-file”或“application/x-pkcs12”, |
| id |
string |
证书 ID。 |
| kid |
string |
密钥 ID。 |
| policy |
管理策略。 |
|
| sid |
string |
机密 ID。 |
| tags |
object |
键值对形式的特定于应用程序的元数据 |
| x5t |
string |
证书的指纹。 |
CertificateImportParameters
证书导入参数。
| 名称 | 类型 | 说明 |
|---|---|---|
| attributes |
证书的属性 (可选的) 。 |
|
| policy |
证书的管理策略。 |
|
| pwd |
string |
如果 base64EncodedCertificate 中的私钥已加密,则为用于加密的密码。 |
| tags |
object |
键/值对形式的应用程序特定元数据。 |
| value |
string |
要导入的证书对象的 Base64 编码表示形式。 此证书需要包含私钥。 |
CertificatePolicy
证书的管理策略。
| 名称 | 类型 | 说明 |
|---|---|---|
| attributes |
证书属性。 |
|
| id |
string |
证书 ID。 |
| issuer |
证书 X509 组件的颁发者参数。 |
|
| key_props |
支持证书的密钥的属性。 |
|
| lifetime_actions |
将在证书生存期内由密钥保管库执行的操作。 |
|
| secret_props |
支持证书的机密的属性。 |
|
| x509_props |
证书的 X509 组件的属性。 |
CertificatePolicyAction
操作的类型。
| 名称 | 类型 | 说明 |
|---|---|---|
| AutoRenew |
string |
|
| EmailContacts |
string |
DeletionRecoveryLevel
反映当前保管库中证书当前生效的删除恢复级别。 如果它包含“Purgeable”,则特权用户可以永久删除证书;否则,只有系统才能在保留间隔结束时清除证书。
| 名称 | 类型 | 说明 |
|---|---|---|
| CustomizedRecoverable |
string |
表示可恢复删除的保管库状态,无法立即和永久删除 (即在 7<= SoftDeleteRetentionInDays < 90) 时清除删除。此级别保证已删除实体在保留间隔期间和订阅仍然可用时可恢复。 |
| CustomizedRecoverable+ProtectedSubscription |
string |
表示保管库和订阅状态,其中删除是可恢复的、立即和永久删除 (即不允许清除) ,并且当 7<= SoftDeleteRetentionInDays < 90 时,订阅本身无法永久取消。 此级别保证已删除实体在保留时间间隔内可恢复,还反映了订阅本身无法取消这一事实。 |
| CustomizedRecoverable+Purgeable |
string |
表示可恢复删除的保管库状态,还允许立即和永久删除 (即当 7<= SoftDeleteRetentionInDays < 90) 时清除。 此级别保证已删除实体在保留时间间隔内可恢复,除非请求清除操作或取消订阅。 |
| Purgeable |
string |
表示保管库状态,其中删除操作不可逆,无法恢复。 此级别对应于针对删除操作没有可用的保护;在实体级别或更高级别接受删除操作时,数据将不可挽回地丢失, (保管库、资源组、订阅等 ) |
| Recoverable |
string |
表示可恢复删除的保管库状态,且无法立即和永久删除 (即清除) 。 此级别可保证已删除实体在保留时间间隔 (90 天) ,并且订阅仍然可用时可恢复。 系统将在 90 天后永久删除它(如果未恢复) |
| Recoverable+ProtectedSubscription |
string |
表示保管库和订阅状态,在该状态中,删除可在保留间隔 (90 天) 恢复,即时和永久删除 (即不允许清除) ,并且订阅本身无法永久取消。 系统将在 90 天后永久删除它(如果未恢复) |
| Recoverable+Purgeable |
string |
表示可恢复删除的保管库状态,还允许立即和永久删除 (即清除) 。 此级别保证删除实体在保留间隔 (90 天) 的可恢复性,除非请求清除操作或取消订阅。 系统将在 90 天后永久删除它(如果未恢复) |
Error
密钥保管库服务器错误。
| 名称 | 类型 | 说明 |
|---|---|---|
| code |
string |
错误代码。 |
| innererror |
密钥保管库服务器错误。 |
|
| message |
string |
错误消息。 |
IssuerParameters
证书 X509 组件的颁发者参数。
| 名称 | 类型 | 说明 |
|---|---|---|
| cert_transparency |
boolean |
指示是否应将此策略下生成的证书发布到证书透明度日志。 |
| cty |
string |
提供程序支持的证书类型 (可选) ;例如“OV-SSL”、“EV-SSL” |
| name |
string |
引用的颁发者对象的名称或保留名称;例如,“Self”或“Unknown”。 |
JsonWebKeyCurveName
椭圆曲线名称。 有关有效值,请参阅 JsonWebKeyCurveName。
| 名称 | 类型 | 说明 |
|---|---|---|
| P-256 |
string |
|
| P-256K |
string |
|
| P-384 |
string |
|
| P-521 |
string |
JsonWebKeyType
要用于证书的密钥对的类型。
| 名称 | 类型 | 说明 |
|---|---|---|
| EC |
string |
|
| EC-HSM |
string |
|
| RSA |
string |
|
| RSA-HSM |
string |
|
| oct |
string |
|
| oct-HSM |
string |
KeyProperties
支持证书的密钥对的属性。
| 名称 | 类型 | 说明 |
|---|---|---|
| crv |
椭圆曲线名称。 有关有效值,请参阅 JsonWebKeyCurveName。 |
|
| exportable |
boolean |
指示是否可以导出私钥。 创建可导出密钥的第一个版本时,必须提供发布策略。 |
| key_size |
integer |
密钥的大小(以位为单位)。 例如:RSA 的 2048、3072 或 4096。 |
| kty |
要用于证书的密钥对的类型。 |
|
| reuse_key |
boolean |
指示是否在证书续订时使用相同的密钥对。 |
KeyUsageType
定义证书密钥的使用方式。
| 名称 | 类型 | 说明 |
|---|---|---|
| cRLSign |
string |
|
| dataEncipherment |
string |
|
| decipherOnly |
string |
|
| digitalSignature |
string |
|
| encipherOnly |
string |
|
| keyAgreement |
string |
|
| keyCertSign |
string |
|
| keyEncipherment |
string |
|
| nonRepudiation |
string |
KeyVaultError
密钥保管库错误异常。
| 名称 | 类型 | 说明 |
|---|---|---|
| error |
密钥保管库服务器错误。 |
LifetimeAction
将在证书生存期内由密钥保管库执行的操作及其触发器。
| 名称 | 类型 | 说明 |
|---|---|---|
| action |
将执行的操作。 |
|
| trigger |
将执行操作的条件。 |
SecretProperties
支持证书的密钥的属性。
| 名称 | 类型 | 说明 |
|---|---|---|
| contentType |
string |
媒体类型 (MIME 类型) 。 |
SubjectAlternativeNames
X509 对象的使用者备用名称。
| 名称 | 类型 | 说明 |
|---|---|---|
| dns_names |
string[] |
域名。 |
| emails |
string[] |
电子邮件地址。 |
| upns |
string[] |
用户主体名称。 |
Trigger
要为要执行的操作满足的条件。
| 名称 | 类型 | 说明 |
|---|---|---|
| days_before_expiry |
integer |
在到期前几天尝试续订。 值应介于 1 和 validity_in_months乘以 27 之间。 如果validity_in_months为 36,则值应介于 1 和 972 (36 * 27) 之间。 |
| lifetime_percentage |
integer |
触发的生存期的百分比。 值应介于 1 和 99 之间。 |
X509CertificateProperties
证书的 X509 组件的属性。
| 名称 | 类型 | 说明 |
|---|---|---|
| ekus |
string[] |
增强的密钥用法。 |
| key_usage |
定义证书密钥的使用方式。 |
|
| sans |
使用者可选名称。 |
|
| subject |
string |
主题名称。 应为有效的 X509 可分辨名称。 |
| validity_months |
integer |
证书的有效期(以月为单位)。 |