瞭解如何從 Azure Key Vault 導出憑證。 您可以使用 Azure CLI、Azure PowerShell 或 Azure 入口網站來導出憑證。
關於 Azure Key Vault 憑證
Azure Key Vault 可讓您輕鬆地為您的網路布建、管理及部署數字證書。 它也為應用程式啟用安全通訊。 如需詳細資訊,請參閱 Azure Key Vault 憑證 。
憑證的構成要素
建立 Key Vault 憑證時,會建立具有相同名稱的可尋址 密鑰 和 秘密 。 金鑰保管庫的金鑰允許執行金鑰操作。 Key Vault 祕密允許擷取憑證值作為秘密。 Key Vault 憑證也會包含公用 x509 憑證的中繼資料。 如需詳細資訊,請移至 憑證的撰寫 。
可導出和不可導出的金鑰
在建立 Key Vault 憑證之後,您可以使用私密金鑰,從可定址秘密中擷取該憑證。 擷取 PFX 或 PEM 格式的憑證。
- 可匯出:用來建立憑證的原則表示密鑰可匯出。
- 不可匯出:用來建立憑證的原則表示密鑰不可匯出。 在此情況下,當私密金鑰以秘密形式擷取時,不會將其視為值的一部分。
支援的密鑰類型:RSA、RSA-HSM、EC、EC-HSM、oct(列於此處)。只有 RSA 和 EC 鍵類型允許可導出。 HSM 金鑰不可匯出。
如需或資訊,請參閱 關於 Azure Key Vault 憑證 以取得詳細資訊。
匯出預存憑證
您可以使用 Azure CLI、Azure PowerShell 或 Azure 入口網站,匯出 Azure Key Vault 中儲存的憑證。
備註
只有在您在金鑰保存庫中匯入憑證時,才需要憑證密碼。 Key Vault 不會儲存相關聯的密碼。 當您匯出憑證時,密碼是空白的。
使用 Azure CLI 中的下列命令來下載 Key Vault 憑證的 公用部分 。
az keyvault certificate download --file
[--encoding {DER, PEM}]
[--id]
[--name]
[--subscription]
[--vault-name]
[--version]
如需詳細資訊,請檢視 範例和參數定義 。
當您下載為憑證時,您會收到公用部分。 如果您想要私鑰和公用元資料,請將其下載為機密檔案。
az keyvault secret download --file {nameofcert.pfx}
[--encoding {ascii, base64, hex, utf-16be, utf-16le, utf-8}]
[--id]
[--name]
[--subscription]
[--vault-name]
[--version]
如需詳細資訊,請參閱 參數定義。
