Tutoriel : Importer un certificat dans Azure Key Vault

Azure Key Vault est un service cloud qui fonctionne comme un magasin sécurisé contenant des secrets. Vous pouvez stocker des clés, des mots de passe, des certificats et d’autres secrets en toute sécurité. Vous pouvez créer et gérer des coffres de clés Azure grâce au portail Azure. Dans ce tutoriel, vous allez créer un coffre de clés, puis l’utiliser pour importer un certificat. Pour plus d’informations sur Key Vault, consultez la présentation.

Ce didacticiel explique les procédures suivantes :

• Création d’un coffre de clés
• Importation d’un certificat dans Key Vault à l’aide du portail.
• Importation d’un certificat dans Key Vault à l’aide de CLI.
• Importation d’un certificat dans Key Vault à l’aide de PowerShell.

Avant de continuer, lisez les concepts de base de Key Vault.

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Connexion à Azure

Connectez-vous au portail Azure.

Création d’un coffre de clés

Créez un coffre de clés à l’aide de l’une des trois méthodes suivantes :

• Créer un coffre de clés avec le portail Azure
• Créer un coffre de clés à l’aide de l’interface de ligne de commande Azure
• Créer un coffre de clés à l’aide d’Azure PowerShell

Importer un certificat dans votre coffre de clés

Remarque

Par défaut, les certificats importés ont des clés privées exportables. Vous pouvez utiliser le kit de développement logiciel (SDK), Azure CLI ou PowerShell pour définir des stratégies qui empêchent l’exportation de la clé privée.

Pour importer un certificat dans le coffre, vous devez disposer d’un fichier de certificat PEM ou PFX sur le disque. Si le certificat est au format PEM, il doit contenir la clé ainsi que des certificats X509. Cette opération exige l’autorisation de certificates/d’importation.

Important

Dans Azure Key Vault, les formats de certificat pris en charge sont PFX et PEM.

• Le format de fichier .pem contient un ou plusieurs fichiers de certificat x509.
• Le format de fichier .pfx est un format de fichier d’archive pour le stockage de plusieurs objets de chiffrement dans un fichier unique, c’est-à-dire un certificat de serveur (émis pour votre domaine), une clé privée correspondante et éventuellement une autorité de certification intermédiaire.

Dans ce cas, nous allons créer un certificat nommé ExampleCertificate ou importer un certificat nommé ExampleCertificate avec un chemin d’accès « **/Path/to/CERT.pem ». Vous pouvez importer un certificat avec le portail Azure, Azure CLI ou Azure PowerShell.

Azure portal

1. Dans la page de votre coffre de clés, sélectionnez Certificats.
2. Cliquez sur Generate/Import (Générer/Importer) .
3. Dans l’écran Créer un certificat, choisissez les valeurs suivantes :
   • Méthode de création de certificat : Importation.
   • Nom du certificat : ExampleCertificate.
   • Charger le fichier de certificat : sélectionnez le fichier de certificat à partir du disque
   • Mot de passe : Si vous chargez un fichier de certificat protégé par mot de passe, indiquez ce mot de passe ici. Autrement, laissez le champ vide. Une fois le fichier de certificat importé, le coffre de clés supprime ce mot de passe.
4. Cliquez sur Créer.

Quand vous importez un fichier .pem, vérifiez que le format est le suivant :

-----BEGIN CERTIFICATE-----
MIID2TCCAsGg...
-----END CERTIFICATE-----
-----BEGIN PRIVATE KEY-----
MIIEvQIBADAN...
-----END PRIVATE KEY-----

Lors de l’importation d’un certificat, Azure Key Vault renseigne automatiquement les paramètres de certificat (c’est-à-dire la période de validité, le nom de l’émetteur, la date d’activation, etc.).

Quand vous recevez le message confirmant que le certificat a été correctement importé, vous pouvez cliquer dessus dans la liste pour afficher ses propriétés.

Azure CLI

Importez un certificat dans votre coffre de clés à l’aide de la commande Azure CLI az keyvault certificate import :

az keyvault certificate import --vault-name "<your-key-vault-name>" -n "ExampleCertificate" -f "/path/to/ExampleCertificate.pem"

Après importation du certificat, vous pouvez afficher celui-ci à l’aide de la commande Azure CLI az keyvault certificate show.

az keyvault certificate show --vault-name "<your-key-vault-name>" --name "ExampleCertificate"

Azure PowerShell

Vous pouvez importer un certificat dans Key Vault à l’aide de la cmdlet Azure PowerShell Import-AzKeyVaultCertificate .

$Password = ConvertTo-SecureString -String "123" -AsPlainText -Force
Import-AzKeyVaultCertificate -VaultName "<your-key-vault-name>" -Name "ExampleCertificate" -FilePath "C:\path\to\ExampleCertificate.pem" -Password $Password

Après importation du certificat, vous pouvez afficher celui-ci à l’aide de la cmdlet Azure PowerShell Get-AzKeyVaultCertificate.

Get-AzKeyVaultCertificate -VaultName "<your-key-vault-name>" -Name "ExampleCertificate"

Vous venez de créer un coffre de clés, d’importer un certificat et d’afficher les propriétés d’un certificat.

Nettoyer les ressources

D’autres démarrages rapides et didacticiels sur les coffres de clés reposent sur ce démarrage rapide. Si vous prévoyez d’utiliser d’autres démarrages rapides et didacticiels, il peut être utile de conserver ces ressources. Si vous n’en avez plus besoin, supprimez le groupe de ressources. Ce faisant, vous supprimez le coffre de clés et les ressources associées. Pour supprimer le groupe de ressources à l’aide du portail :

1. Entrez le nom de votre groupe de ressources dans la zone Recherche en haut du portail. Lorsque vous voyez le groupe de ressources utilisé dans ce démarrage rapide dans les résultats de recherche, sélectionnez-le.
2. Sélectionnez Supprimer le groupe de ressources.
3. Dans le champ TYPE THE RESOURCE GROUP NAME: (TAPER LE NOM DU GROUPE DE RESSOURCES :) , tapez le nom du groupe de ressources et sélectionnez Supprimer.

Étapes suivantes

Dans ce tutoriel, vous avez créé un coffre de clés et vous y avez importé un certificat. Pour en savoir plus sur Key Vault et sur la manière de l’intégrer à vos applications, consultez les articles ci-dessous.

• En savoir plus sur la Gestion de la création de certificats dans Azure Key Vault
• Consulter des exemples d’importation de certificats à l’aide d’API REST
• Passer en revue la vue d’ensemble de la sécurité des coffres de clés