教學課程:在 Azure Key Vault 中匯入憑證
Azure Key Vault 是一項雲端服務,可為祕密提供安全的存放區。 您也可以安全地儲存金鑰、密碼、憑證和其他祕密。 您可以透過 Azure 入口網站建立和管理 Azure 金鑰保存庫。 在本教學課程中,您會建立金鑰保存庫,然後將其用來匯入憑證。 如需 Key Vault 的詳細資訊,您可以檢閱概觀。
本教學課程說明如何:
- 建立金鑰保存庫。
- 使用入口網站在 Key Vault 中匯入憑證。
- 使用 CLI 在 Key Vault 中匯入憑證。
- 使用 PowerShell 在 Key Vault 中匯入憑證。
在開始之前,請先閱讀 Key Vault 基本概念。
如尚未擁有 Azure 訂用帳戶,請在開始之前先建立免費帳戶。
登入 Azure
登入 Azure 入口網站。
建立金鑰保存庫
使用下列三種方法之一建立金鑰保存庫:
將憑證匯入至您的金鑰保存庫
注意
根據預設,匯入的憑證具有可匯出的私密金鑰。 您可以使用 SDK、Azure CLI 或 PowerShell 來定義可防止匯出私密金鑰的原則。
若要將憑證匯入到保存庫,您必須在磁碟上備有 PEM 或 PFX 憑證檔案。 如果憑證是 PEM 格式,則 PEM 檔案必須包含金鑰以及 x509 憑證。 進行此作業需要憑證/匯入權限。
重要
在 Azure Key Vault 中,支援的憑證格式有 PFX 和 PEM。
- .pem 檔案格式包含一或多個 X509 憑證檔案。
- .pfx 檔案格式則是一種封存檔案格式,可將數個密碼編譯物件儲存在單一檔案中,亦即伺服器憑證 (針對網域所核發)、相匹配的私密金鑰,而且可選擇性地包含中繼 CA。
在此情況下,我們將建立名為 ExampleCertificate 的憑證,或使用 **/path/to/cert.pem 路徑匯入名為 ExampleCertificate 的憑證。 您可以使用 Azure 入口網站、Azure CLI 或 Azure PowerShell 匯入憑證。
- 在金鑰保存庫的頁面上,選取 [憑證] 。
- 按一下產生/匯入。
- 在 [建立憑證] 畫面上,選擇下列值:
- 憑證建立方法:匯入。
- 憑證名稱:ExampleCertificate。
- 上傳憑證檔案:從磁碟選取憑證檔案
- 密碼:如果您要上傳受密碼保護的憑證檔案,請在這裡提供該密碼。 否則請留白。 成功匯入憑證檔案之後,金鑰保存庫就會移除該密碼。
- 按一下建立。
匯入 .pem 檔案時,請檢查格式是否如下:
-----BEGIN CERTIFICATE-----
MIID2TCCAsGg...
-----END CERTIFICATE-----
-----BEGIN PRIVATE KEY-----
MIIEvQIBADAN...
-----END PRIVATE KEY-----
匯入憑證時,Azure 金鑰保存庫會自動填入憑證參數 (也就是有效期間、簽發者名稱、啟用日期等)。
一旦收到已成功匯入憑證的訊息,即可按一下清單上的憑證以檢視其屬性。
現在,您已建立金鑰保存庫、匯入憑證,並已檢視憑證的屬性。
清除資源
其他 Key Vault 快速入門和教學課程會以本快速入門為基礎。 如果您打算繼續進行後續的快速入門和教學課程,您可以讓這些資源留在原處。 如果不再需要,請刪除資源群組,這會刪除 Key Vault 和相關資源。 若要透過入口網站刪除資源群組:
- 在入口網站頂端的 [搜尋] 方塊中,輸入資源群組的名稱。 當您在搜尋結果中看到本快速入門中使用的資源群組時,請加以選取。
- 選取 [刪除資源群組]。
- 在 [輸入資源群組名稱:] 方塊中輸入資源群組的名稱,然後選取 [刪除]。
下一步
在本教學課程中,您已建立 Key Vault 並於其中匯入憑證。 若要深入了解 Key Vault 以及要如何將其與應用程式整合,請繼續閱讀下列文章。
- 深入了解如何在 Azure Key Vault 中管理憑證建立
- 請參閱使用 REST API 來匯入憑證的範例
- 請參閱 Key Vault 安全性概觀