Export certifikátů ze služby Azure Key Vault

Článek
02/07/2024

Zjistěte, jak exportovat certifikáty ze služby Azure Key Vault. Certifikáty můžete exportovat pomocí Azure CLI, Azure PowerShellu nebo webu Azure Portal.

Informace o certifikátech ve službě Azure Key Vault

Azure Key Vault umožňuje snadno zřizovat, spravovat a nasazovat digitální certifikáty pro vaši síť. Umožňuje také zabezpečenou komunikaci pro aplikace. Další informace najdete v tématu Certifikáty služby Azure Key Vault.

Složení certifikátu

Při vytvoření certifikátu služby Key Vault se vytvoří adresovatelný klíč a tajný klíč, které mají stejný název. Klíč služby Key Vault umožňuje operace s klíči. Tajný klíč služby Key Vault umožňuje načtení hodnoty certifikátu jako tajného klíče. Certifikát služby Key Vault obsahuje také veřejná metadata certifikátu x509. Další informace najdete v části Složení certifikátu .

Exportovatelné a neexportovatelné klíče

Po vytvoření certifikátu služby Key Vault ho můžete načíst z adresovatelného tajného klíče s privátním klíčem. Načtěte certifikát ve formátu PFX nebo PEM.

Exportovatelné: Zásada použitá k vytvoření certifikátu indikuje, že klíč je exportovatelný.
Neexportovatelné: Zásada použitá k vytvoření certifikátu označuje, že klíč není exportovatelný. V tomto případě není privátní klíč součástí hodnoty, když se načte jako tajný klíč.

Podporované typy klíčů: RSA, RSA-HSM, EC, EC,EC-HSM, oct (zde uvedené) Exportovatelné je povoleno pouze s RSA, EC. Klíče HSM by se neexportovaly.

Další informace najdete v tématu O certifikátech služby Azure Key Vault.

Export uložených certifikátů

Certifikáty uložené ve službě Azure Key Vault můžete exportovat pomocí Azure CLI, Azure PowerShellu nebo webu Azure Portal.

Poznámka:

Při importu certifikátu do trezoru klíčů vyžadovat heslo certifikátu. Key Vault přidružené heslo neukládá. Při exportu certifikátu je heslo prázdné.

Pomocí následujícího příkazu v Azure CLI stáhněte veřejnou část certifikátu služby Key Vault.

az keyvault certificate download --file
                                 [--encoding {DER, PEM}]
                                 [--id]
                                 [--name]
                                 [--subscription]
                                 [--vault-name]
                                 [--version]

Další informace najdete v příkladech a definicích parametrů.

Stažení jako certifikátu znamená získání veřejné části. Pokud chcete privátní klíč i veřejná metadata, můžete si ho stáhnout jako tajný klíč.

az keyvault secret download --file {nameofcert.pfx}
                            [--encoding {ascii, base64, hex, utf-16be, utf-16le, utf-8}]
                            [--id]
                            [--name]
                            [--subscription]
                            [--vault-name]
                            [--version]

Další informace najdete v definicích parametrů.

Pomocí tohoto příkazu v Azure PowerShellu získejte certifikát s názvem TestCert01 z trezoru klíčů s názvem ContosoKV01. Pokud chcete certifikát stáhnout jako soubor PFX, spusťte následující příkaz. Tyto příkazy přistupují k SecretId a pak obsah uloží jako soubor PFX.

$vaultName = '<YourVault>'
$certificateName = '<YourCert>'
$password = '<YourPwd>'

$pfxSecret = Get-AzKeyVaultSecret -VaultName $vaultName -Name $certificateName -AsPlainText
$certBytes = [Convert]::FromBase64String($pfxSecret)

# Write to a file
Set-Content -Path cert.pfx -Value $certBytes -AsByteStream

Tento příkaz exportuje celý řetězec certifikátů s privátním klíčem (tj. stejný jako importovaný). Certifikát je chráněný heslem.

Další informace o příkazu a parametrech Get-AzKeyVaultCertificate najdete v tématu Get-AzKeyVaultCertificate – příklad 2.

Další informace

Různé typy a definice souborů certifikátů

Sdílet prostřednictvím