Учебник по импорту сертификата в Azure Key Vault

Azure Key Vault — это облачная служба, которая предоставляет защищенное хранилище для секретов. Вы можете безопасно хранить ключи, пароли, сертификаты и другие секреты. Создать хранилища Azure Key Vault и управлять ими можно на портале Azure. В этом руководстве вы создадите хранилище ключей, а затем используете его для импорта сертификата. См. дополнительные сведения о Key Vault.

В этом руководстве описаны следующие процедуры.

• Создайте хранилище ключей.
• Импорт сертификата в Key Vault с помощью портала.
• Импорт сертификата в Key Vault с помощью интерфейса командной строки.
• Импорт сертификата в Key Vault с помощью PowerShell.

Перед началом работы ознакомьтесь c основными понятиями службы Key Vault.

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Вход в Azure

Войдите на портал Azure.

Создание хранилища ключей

Создайте хранилище ключей с помощью одного из следующих трех методов:

• Создание хранилища ключей с помощью портала Azure
• Создание хранилища ключей с помощью Azure CLI
• Создание хранилища ключей с помощью Azure PowerShell

Импорт сертификата в хранилище ключей

Примечание.

По умолчанию импортированные сертификаты имеют экспортируемые закрытые ключи. Пакет SDK, Azure CLI или PowerShell можно использовать для определения политик, которые препятствуют экспорту закрытого ключа.

Чтобы импортировать сертификат в хранилище, необходимо иметь файл сертификата PEM или PFX на диске. Если сертификат находится в формате PEM, PEM-файл должен содержать ключ, а также сертификаты x509. Для этой операции требуются разрешения на сертификаты и импорт.

Важно!

В Azure Key Vault поддерживаются форматы сертификатов PFX и PEM.

• Формат файла PEM содержит один или несколько файлов сертификатов X509.
• Формат файла PFX — это формат файла архива для хранения нескольких криптографических объектов в одном файле, т. е. сертификат сервера (выданный для вашего домена), соответствующий закрытый ключ, и может дополнительно включать промежуточный ЦС.

В этом случае мы создадим сертификат с именем ExampleCertificate или импортируем сертификат с именем ExampleCertificate с путем к файлу **/path/to/cert.pem". Сертификат можно импортировать с помощью портала Azure, Azure CLI или Azure PowerShell.

Портал Azure

1. На странице своего хранилища ключей выберите Сертификаты.
2. Щелкните Generate/Import (Создать или импортировать).
3. На экране "Создание сертификата" выберите следующие значения:
   • Метод создания сертификата: импорт.
   • Имя сертификата: ExampleCertificate.
   • Отправка файла сертификата: выберите файл сертификата с диска
   • Пароль: если вы отправляете файл сертификата, защищенный паролем, укажите этот пароль здесь. В противном случае оставьте поле пустым. После успешного импорта файла сертификата хранилище ключей удалит этот пароль.
4. Нажмите кнопку Создать.

При импорте файла PEM убедитесь, что формат следующий:

-----НАЧАЛО СЕРТИФИКАТА-----
MIID2TCCAsGg…
-----КОНЕЦ СЕРТИФИКАТА-----
-----BEGIN PRIVATE KEY-----
MIIEvQIBADAN…
-----END PRIVATE KEY-----

При импорте сертификата Azure Key Vault автоматически заполнит параметры сертификата (например, срок действия, имя издателя, дата активации и т. д.).

Получив сообщение об успешном импорте сертификата, вы можете выбрать его в списке, чтобы просмотреть его свойства.

Azure CLI

Импортируйте сертификат в хранилище ключей с помощью команды Azure CLI az keyvault certificate import:

az keyvault certificate import --vault-name "<your-key-vault-name>" -n "ExampleCertificate" -f "/path/to/ExampleCertificate.pem"

После импорта сертификата можно просмотреть с помощью команды Azure CLI az keyvault certificate show.

az keyvault certificate show --vault-name "<your-key-vault-name>" --name "ExampleCertificate"

Azure PowerShell

Сертификат можно импортировать в хранилище ключей с помощью командлета Azure PowerShell Import-AzKeyVaultCertificate.

$Password = ConvertTo-SecureString -String "123" -AsPlainText -Force
Import-AzKeyVaultCertificate -VaultName "<your-key-vault-name>" -Name "ExampleCertificate" -FilePath "C:\path\to\ExampleCertificate.pem" -Password $Password

После импорта сертификата можно просмотреть сертификат с помощью командлета Get-AzKeyVaultCertificate Azure PowerShell.

Get-AzKeyVaultCertificate -VaultName "<your-key-vault-name>" -Name "ExampleCertificate"

Вы создали хранилище ключей, импортировали сертификат и просмотрели свойства сертификата.

Очистка ресурсов

Другие руководства о Key Vault созданы на основе этого документа. Если вы планируете продолжить работу с последующими краткими руководствами и статьями, эти ресурсы можно не удалять. Удалите ненужную группу ресурсов. Key Vault и связанные ресурсы будут также удалены. Чтобы удалить группу ресурсов на портале, сделайте следующее:

1. В поле Поиск в верхней части портала введите имя группы ресурсов. Если в результатах поиска отображается группа ресурсов, используемая в этом кратком руководстве, выберите ее.
2. Выберите команду Удалить группу ресурсов.
3. В поле Введите имя группы ресурсов: введите имя группы ресурсов и выберите Удалить.

Следующие шаги

С помощью этого руководства вы создали Key Vault импортировали в него сертификат. Дополнительные сведения о Key Vault и его интеграции в приложения см. в следующих статьях.

• Узнайте больше об управлении созданием сертификатов в Azure Key Vault.
• См. примеры импорта сертификатов с помощью интерфейсов REST API
• Статья Обзор системы безопасности Key Vault