Guia de início rápido: definir e recuperar um certificado do Cofre da Chave do Azure usando o Azure PowerShell
Neste início rápido, você cria um cofre de chaves no Cofre de Chaves do Azure com o Azure PowerShell. O Azure Key Vault é um serviço cloud que funciona como um arquivo de segredos seguro. Pode armazenar chaves, palavras-passe, certificados e outros segredos em segurança. Para obter mais informações sobre o Key Vault, reveja a Descrição Geral. O Azure PowerShell é usado para criar e gerenciar recursos do Azure usando comandos ou scripts. Depois, você armazena um certificado.
Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.
Azure Cloud Shell
O Azure aloja o Azure Cloud Shell, um ambiente de shell interativo que pode utilizar através do seu browser. Pode utilizar o Bash ou o PowerShell com o Cloud Shell para trabalhar com os serviços do Azure. Você pode usar os comandos pré-instalados do Cloud Shell para executar o código neste artigo, sem precisar instalar nada em seu ambiente local.
Para iniciar o Azure Cloud Shell:
| Opção | Exemplo/Ligação |
|---|---|
| Selecione Experimentar no canto superior direito de um código ou bloco de comandos. Selecionar Experimentar não copia automaticamente o código ou comando para o Cloud Shell. |  |
| Aceda a https://shell.azure.com ou selecione o botão Iniciar Cloud Shell para abrir o Cloud Shell no browser. |  |
| Selecione o botão Cloud Shell na barra de menus, na parte direita do portal do Azure. |  |
Para usar o Azure Cloud Shell:
Inicie o Cloud Shell.
Selecione o botão Copiar em um bloco de código (ou bloco de comando) para copiar o código ou comando.
Cole o código ou comando na sessão do Cloud Shell selecionando Ctrl+Shift+V no Windows e Linux ou selecionando Cmd+Shift+V no macOS.
Selecione Enter para executar o código ou comando.
Se você optar por instalar e usar o PowerShell localmente, este tutorial exigirá o módulo do Azure PowerShell versão 1.0.0 ou posterior. Digite $PSVersionTable.PSVersion para encontrar a versão. Se precisar de atualizar, veja Install Azure PowerShell module (Instalar o módulo do Azure PowerShell). Se estiver a executar localmente o PowerShell, também terá de executar o Connect-AzAccount para criar uma ligação com o Azure.
Connect-AzAccount
Criar um grupo de recursos
Um grupo de recursos é um contentor lógico no qual os recursos do Azure são implementados e geridos. Use o cmdlet New-AzResourceGroup do Azure PowerShell para criar um grupo de recursos chamado myResourceGroup no local eastus.
New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"
Criar um cofre de chaves
Use o cmdlet New-AzKeyVault do Azure PowerShell para criar um Cofre da Chave no grupo de recursos da etapa anterior. Terá de fornecer algumas informações:
Nome do cofre de chaves: uma cadeia de 3 a 24 caracteres que pode conter apenas números (0-9), letras (a-z, A-Z) e hífenes (-)
Importante
Cada cofre de chaves deve ter um nome exclusivo. Substitua <your-unique-keyvault-name> pelo nome do seu cofre de chaves nos exemplos a seguir.
Nome do grupo de recursos: myResourceGroup.
A localização: EastUS.
New-AzKeyVault -Name "<your-unique-keyvault-name>" -ResourceGroupName "myResourceGroup" -Location "EastUS"
O resultado deste cmdlet mostra as propriedades do cofre de chaves recém-criado. Tome nota das duas propriedades listadas abaixo:
- Nome do cofre: o nome que você forneceu para o parâmetro -Name acima.
- URI do Vault: No exemplo, este é https://< your-unique-keyvault-name.vault.azure.net/>. As aplicações que utilizam o cofre através da respetiva API têm de utilizar este URI.
Nesta altura, a sua conta do Azure é a única autorizada a realizar quaisquer operações neste novo cofre.
Conceder acesso ao seu cofre de chaves
Para conceder permissões ao seu aplicativo para seu cofre de chaves por meio do RBAC (Controle de Acesso Baseado em Função), atribua uma função usando o cmdlet New-AzRoleAssignment do Azure PowerShell.
New-AzRoleAssignment -RoleDefinitionName "Key Vault Secrets User" -SignInName "<your-email-address>" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"
Substitua <seu-endereço> de e-mail, <ID> de assinatura, <nome-do-grupo-recurso> e <seu-nome-exclusivo-keyvault-pelos> seus valores reais. <your-email-address> é o seu nome de início de sessão, em vez disso pode usar o -ObjectId parâmetro e um ID de Objeto do Microsoft Entra.
Adicionar um certificado ao Cofre da Chave
Agora pode adicionar um certificado ao cofre. Este certificado pode ser utilizado por uma aplicação.
Use estes comandos para criar um certificado autoassinado com a política chamada ExampleCertificate :
$Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "Self" -ValidityInMonths 6 -ReuseKeyOnRenewal
Add-AzKeyVaultCertificate -VaultName "<your-unique-keyvault-name>" -Name "ExampleCertificate" -CertificatePolicy $Policy
Agora você pode fazer referência a esse certificado que adicionou ao Cofre da Chave do Azure usando seu URI. Utilize https://<your-unique-keyvault-name>.vault.azure.net/certificates/ExampleCertificate para obter a versão atual.
Para visualizar o certificado armazenado anteriormente:
Get-AzKeyVaultCertificate -VaultName "<your-unique-keyvault-name>" -Name "ExampleCertificate"
Resolução de problemas:
A operação devolveu um código de estado inválido 'Proibido'
Se você receber esse erro, a conta que acessa o Cofre da Chave do Azure não tem as permissões adequadas para criar certificados.
Execute o seguinte comando do Azure PowerShell para atribuir as permissões adequadas:
Set-AzKeyVaultAccessPolicy -VaultName <KeyVaultName> -ObjectId <AzureObjectID> -PermissionsToCertificates get,list,update,create
Clean up resources (Limpar recursos)
Outros inícios rápidos e tutoriais desta coleção têm por base este início rápido. Se quiser continuar a trabalhar com outros inícios rápidos e tutoriais, pode manter estes recursos.
Quando não for mais necessário, você poderá usar o cmdlet Azure PowerShell Remove-AzResourceGroup para remover o grupo de recursos e todos os recursos relacionados.
Remove-AzResourceGroup -Name "myResourceGroup"
Próximos passos
Neste início rápido, você criou um Cofre da Chave e armazenou um certificado nele. Para saber mais sobre o Key Vault e como integrá-lo com seus aplicativos, continue nos artigos abaixo.
- Leia uma visão geral do Azure Key Vault
- Consulte a referência para os cmdlets do Azure PowerShell Key Vault
- Revise a visão geral de segurança do Cofre de Chaves