Exportieren von Zertifikaten aus Azure Key Vault

Hier erfahren Sie, wie Sie Zertifikate aus Azure Key Vault exportieren. Sie können Zertifikate über die Azure CLI, mithilfe von Azure PowerShell oder über das Azure-Portal exportieren.

Informationen zu Azure Key Vault-Zertifikaten

Mit Azure Key Vault können Sie mühelos digitale Zertifikate für Ihr Netzwerk bereitstellen und verwalten. Außerdem wird die sichere Kommunikation für Anwendungen ermöglicht. Weitere Informationen finden Sie unter Informationen zu Azure Key Vault-Zertifikaten.

Zusammensetzung eines Zertifikats

Wenn ein Key Vault-Zertifikat erstellt wird, werden auch ein adressierbarer Schlüssel und ein Geheimnis gleichen Namens erstellt. Der Azure Key-Schlüssel ermöglicht Schlüsselvorgänge. Das Key Vault-Geheimnis ermöglicht den Abruf des Zertifikatwerts als Geheimnis. Ein Key Vault-Zertifikat enthält auch öffentliche X509-Zertifikatmetadaten. Weitere Informationen finden Sie unter Zusammensetzung eines Zertifikats.

Exportierbare und nicht exportierbare Schlüssel

Nach der Erstellung eines Key Vault-Zertifikats kann es aus dem adressierbaren Geheimnis mit dem privaten Schlüssel abgerufen werden. Rufen Sie das Zertifikat im PFX- oder PEM-Format ab.

• Exportierbar: Die zum Erstellen des Zertifikats verwendete Richtlinie gibt an, dass der Schlüssel exportierbar ist.
• Nicht exportierbar: Die zum Erstellen des Zertifikats verwendete Richtlinie gibt an, dass der Schlüssel nicht exportierbar ist. In diesem Fall ist der private Schlüssel nicht Teil des Werts, wenn er als Geheimnis abgerufen wird.

Unterstützte Schlüsseltypen: RSA, RSA-HSM, EC, EC-HSM, oct (hier aufgeführt). Exportierbare Schlüssel sind nur bei RSA und EC zulässig. HSM-Schlüssel sind nicht exportierbar.

Weitere Informationen finden Sie unter Informationen zu Azure Key Vault-Zertifikaten.

Exportieren gespeicherter Zertifikate

Sie können gespeicherte Zertifikate in Azure Key Vault über die Azure CLI, mithilfe von Azure PowerShell oder über das Azure-Portal exportieren.

Hinweis

Fordern Sie nur ein Zertifikatkennwort an, wenn Sie das Zertifikat in den Schlüsseltresor importieren. Key Vault speichert das zugehörige Kennwort nicht. Wenn Sie das Zertifikat exportieren, ist das Kennwort leer.

Azure-Befehlszeilenschnittstelle

Verwenden Sie den folgenden Befehl in der Azure CLI, um den öffentlichen Teil eines Key Vault-Zertifikats herunterzuladen.

az keyvault certificate download --file
                                 [--encoding {DER, PEM}]
                                 [--id]
                                 [--name]
                                 [--subscription]
                                 [--vault-name]
                                 [--version]

Weitere Informationen finden Sie im Artikel mit Beispielen und Parameterdefinitionen.

Beim Herunterladen als Zertifikat erhalten Sie den öffentlichen Teil. Wenn Sie den privaten Schlüssel und die öffentlichen Metadaten benötigen, können Sie das Geheimnis herunterladen.

az keyvault secret download --file {nameofcert.pfx}
                            [--encoding {ascii, base64, hex, utf-16be, utf-16le, utf-8}]
                            [--id]
                            [--name]
                            [--subscription]
                            [--vault-name]
                            [--version]

Weitere Informationen finden Sie im Artikel mit Parameterdefinitionen.

PowerShell

Verwenden Sie diesen Befehl in Azure PowerShell, um das Zertifikat mit dem Namen TestCert01 aus dem Schlüsseltresor mit dem Namen ContosoKV01 abzurufen. Führen Sie den folgenden Befehl aus, um das Zertifikat als PFX-Datei herunterzuladen. Mit diesen Befehlen wird auf die SecretId zugegriffen, und anschließend wird der Inhalt als PFX-Datei gespeichert.

$vaultName = '<YourVault>'
$certificateName = '<YourCert>'
$password = '<YourPwd>'

$pfxSecret = Get-AzKeyVaultSecret -VaultName $vaultName -Name $certificateName -AsPlainText
$certBytes = [Convert]::FromBase64String($pfxSecret)

# Write to a file
Set-Content -Path cert.pfx -Value $certBytes -AsByteStream

Durch diesen Befehl wird die gesamte Zertifikatkette mit privatem Schlüssel exportiert (genau wie beim Import). Das Zertifikat ist kennwortgeschützt.

Weitere Informationen zum Befehl Get-AzKeyVaultCertificate und zu den Parametern finden Sie unter Get-AzKeyVaultCertificate: Beispiel 2.

Portal

Wenn Sie im Azure-Portal auf dem Blatt Zertifikat ein Zertifikat erstellen oder importieren, erhalten Sie die Benachrichtigung, dass die Erstellung des Zertifikats erfolgreich war. Wählen Sie das Zertifikat und die aktuelle Version aus, um die Downloadoption anzuzeigen.

Wählen Sie zum Herunterladen des Zertifikats Im CER-Format herunterladen oder Im PFX-/PEM-Format herunterladen aus.

Exportieren von Azure App Service-Zertifikaten

Azure App Service-Zertifikate sind eine praktische Möglichkeit, SSL-Zertifikate zu erwerben. Sie können sie Azure-Apps im Portal zuweisen. Nach dem Importieren befinden sich die App Service-Zertifikate unter Geheimnisse.

Weitere Informationen finden Sie im Artikel zum Exportieren von Azure App Service-Zertifikaten.

Weitere Informationen

• Verschiedene Zertifikatsdateitypen und -definitionen