快速入門：適用於 Go 的 Azure Key Vault 憑證用戶端程式庫

在本快速入門文章中，您將瞭解如何使用 Azure SDK for Go 來管理 Azure Key Vault 中的憑證。

Azure Key Vault 是一項雲端服務，可作為安全的祕密存放區。 您也可以安全地儲存金鑰、密碼、憑證和其他祕密。 如需 Key Vault 的詳細資訊，您可以檢閱概觀。

請遵循本指南，瞭解如何使用 azcertificates 套件，以使用 Go 管理 Azure Key Vault 憑證。

必要條件

• Azure 訂用帳戶 - 建立免費帳戶。
• Go 已安裝：版本 1.18 或更高版本
• Azure CLI

設定您的環境

1. 登入 Azure。

   az login
   

2. 建立新的資源群組。

   az group create --name myResourceGroup  --location eastus
   

3. 部署新的金鑰保存庫執行個體。

   az keyvault create --name <keyVaultName> --resource-group myResourceGroup
   

   以 Azure 中的唯一名稱取代 <keyVaultName>。 您通常會使用個人或公司名稱，以及其他數字和識別碼。

4. 建立新的 Go 模組並安裝封裝

   go mod init quickstart-go-kvcerts
   go get github.com/Azure/azure-sdk-for-go/sdk/keyvault/azcertificates
   go get github.com/Azure/azure-sdk-for-go/sdk/azidentity
   

建立範例程式碼

建立名稱為 main.go 的檔案，並將下列程式碼複製至檔案：

package main

import (
	"context"
	"fmt"
	"log"
	"time"

	"github.com/Azure/azure-sdk-for-go/sdk/azcore/to"
	"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
	"github.com/Azure/azure-sdk-for-go/sdk/keyvault/azcertificates"
)

func getClient() *azcertificates.Client {
	keyVaultName := os.Getenv("KEY_VAULT_NAME")
	if keyVaultName == "" {
		log.Fatal("KEY_VAULT_NAME environment variable not set")
	}
	keyVaultUrl := fmt.Sprintf("https://%s.vault.azure.net/", keyVaultName)

	cred, err := azidentity.NewDefaultAzureCredential(nil)
	if err != nil {
		log.Fatal(err)
	}

	return azcertificates.NewClient(keyVaultUrl, cred, nil)
}

func createCert(client *azcertificates.Client) {
	params := azcertificates.CreateCertificateParameters{
		CertificatePolicy: &azcertificates.CertificatePolicy{
			IssuerParameters: &azcertificates.IssuerParameters{
				Name: to.Ptr("Self"),
			},
			X509CertificateProperties: &azcertificates.X509CertificateProperties{
				Subject: to.Ptr("CN=DefaultPolicy"),
			},
		},
	}
	resp, err := client.CreateCertificate(context.TODO(), "myCertName", params, nil)
	if err != nil {
		log.Fatal(err)
	}

	fmt.Printf("Requested a new certificate. Operation status: %s\n", *resp.Status)
}

func getCert(client *azcertificates.Client) {
	// an empty string version gets the latest version of the certificate
	version := ""
	getResp, err := client.GetCertificate(context.TODO(), "myCertName", version, nil)
	if err != nil {
		log.Fatal(err)
	}
	fmt.Println("Enabled set to:", *getResp.Attributes.Enabled)
}

func listCert(client *azcertificates.Client) {
	pager := client.NewListCertificatesPager(nil)
	for pager.More() {
		page, err := pager.NextPage(context.Background())
		if err != nil {
			log.Fatal(err)
		}
		for _, cert := range page.Value {
			fmt.Println(*cert.ID)
		}
	}
}

func updateCert(client *azcertificates.Client) {
	// disables the certificate, sets an expires date, and add a tag
	params := azcertificates.UpdateCertificateParameters{
		CertificateAttributes: &azcertificates.CertificateAttributes{
			Enabled: to.Ptr(false),
			Expires: to.Ptr(time.Now().Add(72 * time.Hour)),
		},
		Tags: map[string]*string{"Owner": to.Ptr("SRE")},
	}
	// an empty string version updates the latest version of the certificate
	version := ""
	_, err := client.UpdateCertificate(context.TODO(), "myCertName", version, params, nil)
	if err != nil {
		log.Fatal(err)
	}
	fmt.Println("Updated certificate properites: Enabled=false, Expires=72h, Tags=SRE")
}

func deleteCert(client *azcertificates.Client) {
	// DeleteCertificate returns when Key Vault has begun deleting the certificate. That can take several
	// seconds to complete, so it may be necessary to wait before performing other operations on the
	// deleted certificate.
	resp, err := client.DeleteCertificate(context.TODO(), "myCertName", nil)
	if err != nil {
		log.Fatal(err)
	}
	fmt.Println("Deleted certificate with ID: ", *resp.ID)
}

func main() {
	fmt.Println("Authenticating...")
	client := getClient()

	fmt.Println("Creating a certificate...")
	createCert(client)

	fmt.Println("Getting certificate Enabled property ...")
	getCert(client)

	fmt.Println("Listing certificates...")
	listCert(client)

	fmt.Println("Updating a certificate...")
	updateCert(client)

	fmt.Println("Deleting a certificate...")
	deleteCert(client)
}

執行程式碼

執行程式碼之前，請先建立名稱為 KEY_VAULT_NAME 的環境變數。 將環境變數的值設為先前所建立 Azure Key Vault 的名稱。

Bash

export KEY_VAULT_NAME=<YourKeyVaultName>

PowerShell

$env:KEY_VAULT_NAME=<YourKeyVaultName>

接下來，執行下列 go run 命令來執行應用程式：

go run main.go

程式碼範例

如需更多範例，請參閱課程模組文件。

清除資源

若要刪除資源群組及其所有剩餘資源，請執行下列命令︰

az group delete --resource-group myResourceGroup

下一步

• Azure Key Vault 概觀
• 保護對金鑰保存庫的存取
• Azure Key Vault 開發人員指南
• Key Vault 安全性概觀
• 使用 Key Vault 進行驗證