
快速入門 - 適用於 JavaScript 的 Azure Key Vault 憑證用戶端程式庫

開始使用適用於 JavaScript 的 Azure Key Vault 憑證用戶端程式庫。 Azure Key Vault 是一項雲端服務,可為憑證提供安全的存放區。 您也可以安全地儲存金鑰、密碼、憑證和其他祕密。 您可以透過 Azure 入口網站建立和管理 Azure 金鑰保存庫。 在本快速入門中,您會了解如何使用 JavaScript 用戶端程式庫,從 Azure Key Vault 建立、擷取和刪除憑證

Key Vault 用戶端程式庫資源:

本快速入門假設您執行 Azure CLI

登入 Azure

  1. 執行 login 命令。

    az login

    如果此 CLI 可以開啟您的預設瀏覽器,它會開啟瀏覽器並載入 Azure 登入頁面。

    否則,請在 https://aka.ms/devicelogin 中開啟瀏覽器頁面,並輸入顯示在您的終端機中的授權碼。

  2. 請在瀏覽器中使用您的帳戶認證登入。

建立新的 Node.js 應用程式

建立一個使用金鑰保存庫的 Node.js 應用程式。

  1. 在終端機建立名為 key-vault-node-app 的資料夾,並切換至該資料夾:

    mkdir key-vault-node-app && cd key-vault-node-app
  2. 初始化 Node.js 專案:

    npm init -y

安裝 Key Vault 套件

  1. 使用終端機,安裝適用於 Node.js 的 Azure Key Vault 祕密程式庫 @azure/keyvault-certificates

    npm install @azure/keyvault-certificates
  2. 安裝 Azure 身分識別用戶端程式庫 @azure/identity,以向 Key Vault 進行驗證。

    npm install @azure/identity


若要透過角色型 存取控制 (RBAC) 將應用程式許可權授與密鑰保存庫,請使用 Azure CLI 命令 az role assignment create 來指派角色。

az role assignment create --role "Key Vault Secrets User" --assignee "<app-id>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

將 app-id、subscription-id>>、<<resource-group-name 和 <your-unique-keyvault-name>> 取代<為您的實際值。 <app-id> 是您在 Microsoft Entra 中註冊應用程式的應用程式 (client) 識別碼。


此應用程式使用金鑰保存庫名稱作為稱為 KEY_VAULT_NAME 的環境變數。

set KEY_VAULT_NAME=<your-key-vault-name>


對大部分 Azure 服務的應用程式要求都必須獲得授權。 在程式碼中實作對 Azure 服務的無密碼連線時,建議使用 Azure.Identity 用戶端程式庫提供的 DefaultAzureCredential 方法。 DefaultAzureCredential 支援多個驗證方法,並在執行階段判斷應該使用哪個方法。 此方法可讓您的應用程式在不同的環境中 (本機或實際執行環境) 使用不同的驗證方法,而不需要實作環境特有的程式碼。

在本快速入門中,DefaultAzureCredential 使用已登入 Azure CLI 之本機開發使用者的認證向金鑰保存庫進行驗證。 將應用程式部署至 Azure 時,相同的 DefaultAzureCredential 程式碼可以自動探索並使用指派給 App Service、虛擬機器或其他服務的受控識別。 如需詳細資訊,請參閱受控識別概觀

在此程式碼中,金鑰保存庫的名稱會以 https://<your-key-vault-name>.vault.azure.net 格式,用來建立金鑰保存庫 URI。 如需對金鑰保存庫進行驗證的詳細資訊,請參閱開發人員指南


此程式碼會使用下列 Key Vault 憑證類別和方法


  1. 建立新的文字檔,並將下列程式碼貼到 index.js 檔案中。

    const { CertificateClient, DefaultCertificatePolicy } = require("@azure/keyvault-certificates");
    const { DefaultAzureCredential } = require("@azure/identity");
    async function main() {
      // If you're using MSI, DefaultAzureCredential should "just work".
      // Otherwise, DefaultAzureCredential expects the following three environment variables:
      // - AZURE_TENANT_ID: The tenant ID in Azure Active Directory
      // - AZURE_CLIENT_ID: The application (client) ID registered in the AAD tenant
      // - AZURE_CLIENT_SECRET: The client secret for the registered application
      const credential = new DefaultAzureCredential();
      const keyVaultName = process.env["KEY_VAULT_NAME"];
      if(!keyVaultName) throw new Error("KEY_VAULT_NAME is empty");
      const url = "https://" + keyVaultName + ".vault.azure.net";
      const client = new CertificateClient(url, credential);
      const uniqueString = new Date().getTime();
      const certificateName = `cert${uniqueString}`;
      // Creating a self-signed certificate
      const createPoller = await client.beginCreateCertificate(
      const pendingCertificate = createPoller.getResult();
      console.log("Certificate: ", pendingCertificate);
      // To read a certificate with their policy:
      let certificateWithPolicy = await client.getCertificate(certificateName);
      // Note: It will always read the latest version of the certificate.
      console.log("Certificate with policy:", certificateWithPolicy);
      // To read a certificate from a specific version:
      const certificateFromVersion = await client.getCertificateVersion(
      // Note: It will not retrieve the certificate's policy.
      console.log("Certificate from a specific version:", certificateFromVersion);
      const updatedCertificate = await client.updateCertificateProperties(certificateName, "", {
        tags: {
          customTag: "value"
      console.log("Updated certificate:", updatedCertificate);
      // Updating the certificate's policy:
      await client.updateCertificatePolicy(certificateName, {
        issuerName: "Self",
        subject: "cn=MyOtherCert"
      certificateWithPolicy = await client.getCertificate(certificateName);
      console.log("updatedCertificate certificate's policy:", certificateWithPolicy.policy);
      // delete certificate
      const deletePoller = await client.beginDeleteCertificate(certificateName);
      const deletedCertificate = await deletePoller.pollUntilDone();
      console.log("Recovery Id: ", deletedCertificate.recoveryId);
      console.log("Deleted Date: ", deletedCertificate.deletedOn);
      console.log("Scheduled Purge Date: ", deletedCertificate.scheduledPurgeDate);
    main().catch((error) => {
      console.error("An error occurred:", error);


  1. 執行應用程式:

    node index.js
  2. 建立和取得方法傳回憑證的完整 JSON 物件:

      "keyId": undefined,
      "secretId": undefined,
      "name": "YOUR-CERTIFICATE-NAME",
        "reuseKey": false,
        "keyCurveName": undefined,
        "exportable": true,
        "issuerName": 'Self',
        "certificateType": undefined,
        "certificateTransparency": undefined
      "properties": {
        "createdOn": 2021-11-29T20:17:45.000Z,
        "updatedOn": 2021-11-29T20:17:45.000Z,
        "expiresOn": 2022-11-29T20:17:45.000Z,
        "id": "https://YOUR-KEY-VAULT-NAME.vault.azure.net/certificates/YOUR-CERTIFICATE-NAME/YOUR-CERTIFICATE-VERSION",
        "enabled": false,
        "notBefore": 2021-11-29T20:07:45.000Z,
        "recoveryLevel": "Recoverable+Purgeable",
        "name": "YOUR-CERTIFICATE-NAME",
        "vaultUrl": "https://YOUR-KEY-VAULT-NAME.vault.azure.net",
        "version": "YOUR-CERTIFICATE-VERSION",
        "tags": undefined,
        "x509Thumbprint": undefined,
        "recoverableDays": 90


Azure SDK 提供協助程式方法 parseKeyVaultCertificateIdentifier,以剖析指定的 Key Vault 憑證識別碼,如果您使用參考 Key Vault 的應用程式組態,則這是必要項目。 應用程式組態儲存 Key Vault 憑證識別碼。 您需要 parseKeyVaultCertificateIdentifier 方法來剖析該識別碼,以取得憑證名稱。 取得憑證名稱之後,就可以使用本快速入門中的程式碼來取得目前的憑證。


在本快速入門中,您已建立金鑰保存庫、儲存憑證,並擷取該憑證。 若要深入了解 Key Vault 以及要如何將其與應用程式整合,請繼續閱讀下列文章。