Tutorial: Importar um certificado no Azure Key Vault

O Azure Key Vault é um serviço de nuvem que funciona como um repositório seguro de segredos. Você pode armazenar chaves, senhas, certificados e outros segredos com segurança. Os cofres de chaves do Azure podem ser criados e gerenciados por meio do portal do Azure. Neste tutorial, você criará um cofre de chaves e o usará para importar um certificado. Para saber mais sobre o Key Vault, analise a Visão geral.

Este tutorial mostra como:

• Crie um cofre da chave.
• Importar um certificado no Key Vault usando o portal.
• Importar um certificado no Key Vault usando a CLI.
• Importar um certificado no Key Vault usando o PowerShell.

Antes de começar, leia Conceitos básicos do Key Vault.

Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.

Entrar no Azure

Entre no portal do Azure.

Criar um cofre de chave

Crie um cofre de chaves usando um destes três métodos:

• Criar um cofre de chaves usando o portal do Azure
• Criar um cofre de chaves usando a CLI do Azure
• Criar um cofre de chaves usando o Azure PowerShell

Importar um certificado para o cofre de chaves

Observação

Por padrão, os certificados importados têm chaves privadas exportáveis. Use o SDK, a CLI do Azure ou o PowerShell para definir políticas que impedem que a chave privada seja exportada.

Para importar um certificado para o cofre, você precisa ter um arquivo de certificado PEM ou PFX no disco. Se o certificado estiver no formato PEM, o arquivo PEM deverá conter a chave, bem como os certificados x509. Essa operação requer a permissão certificados/importar.

Importante

No Azure Key Vault, os formatos de certificado compatíveis são PFX e PEM.

• O formato de arquivo .pem contém um ou mais arquivos de certificado X509.
• O formato de arquivo .pfx é um formato de arquivo morto para armazenar vários objetos criptográficos em um só arquivo, ou seja, o certificado do servidor (emitido para seu domínio), uma chave privada correspondente e, opcionalmente, pode incluir uma AC intermediária.

Nesse caso, criaremos um certificado chamado ExampleCertificate ou importaremos um certificado chamado ExampleCertificate com um caminho de **/path/to/cert.pem". É possível importar um certificado com o portal do Azure, a CLI do Azure ou o Azure PowerShell.

Portal do Azure

1. Na página do cofre de chaves, selecione Certificados.
2. Clique em Gerar/Importar.
3. Na tela Criar um certificado, escolha os seguintes valores:
   • Método de Criação de Certificado: Importação.
   • Nome do Certificado: ExampleCertificate.
   • Carregar o Arquivo de Certificado: selecione o arquivo de certificado do disco
   • Senha: se você estiver carregando um arquivo de certificado protegido por senha, forneça essa senha aqui. Caso contrário, deixe em branco. Depois que o arquivo de certificado for importado com êxito, o cofre de chaves removerá essa senha.
4. Clique em Criar.

Ao importar um arquivo .pem, verifique se o formato é o seguinte:

-----INICIAR CERTIFICADO-----
MIID2TCCAsGg...
-----CONCLUIR CERTIFICADO-----
-----BEGIN PRIVATE KEY-----
MIIEvQIBADAN...
-----END PRIVATE KEY-----

Ao importar um certificado, o Azure Key Vault preencherá automaticamente os parâmetros do certificado (ou seja, período de validade, nome do emissor, data de ativação etc.).

Depois de receber a mensagem indicando que o certificado foi importado com êxito, clique nele na lista para ver as propriedades dele.

CLI do Azure

Importe um certificado para o cofre de chaves usando o comando az keyvault certificate import da CLI do Azure:

az keyvault certificate import --vault-name "<your-key-vault-name>" -n "ExampleCertificate" -f "/path/to/ExampleCertificate.pem"

Depois de importar o certificado, você poderá vê-lo usando o comando az keyvault certificate show da CLI do Azure.

az keyvault certificate show --vault-name "<your-key-vault-name>" --name "ExampleCertificate"

PowerShell do Azure

Você pode importar um certificado no Key Vault usando o cmdlet Import-AzKeyVaultCertificate no Azure PowerShell.

$Password = ConvertTo-SecureString -String "123" -AsPlainText -Force
Import-AzKeyVaultCertificate -VaultName "<your-key-vault-name>" -Name "ExampleCertificate" -FilePath "C:\path\to\ExampleCertificate.pem" -Password $Password

Depois de importar o certificado, exiba o certificado usando o cmdlet do Azure PowerShell Get-AzKeyVaultCertificate

Get-AzKeyVaultCertificate -VaultName "<your-key-vault-name>" -Name "ExampleCertificate"

Agora você criou um cofre de chaves, importou um certificado e viu as propriedades dele.

Limpar os recursos

Outros tutoriais e inícios rápidos do Key Vault complementam este início rápido. Se você planeja continuar a trabalhar com os tutoriais e inícios rápidos subsequentes, deixe esses recursos onde estão. Quando não for mais necessário, exclua o grupo de recursos, que excluirá o Key Vault e os recursos relacionados. Para excluir o grupo de recursos pelo portal:

1. Insira o nome do grupo de recursos na caixa Pesquisa na parte superior do portal. Quando você vir o grupo de recursos usado neste início rápido nos resultados da pesquisa, selecione-o.
2. Selecione Excluir grupo de recursos.
3. Na caixa DIGITE O NOME DO GRUPO DE RECURSOS: , digite o nome do grupo de recursos e selecione Excluir.

Próximas etapas

Neste tutorial, você criou um Key Vault e importou um certificado nele. Para saber mais sobre o Key Vault e como integrá-lo a seus aplicativos, confira os artigos abaixo.

• Leia mais sobre Gerenciar a criação de certificados no Azure Key Vault
• Veja exemplos de Como importar certificados usando APIs REST
• Examinar a Visão geral de segurança do Key Vault