Exporter des certificats depuis Azure Key Vault

Découvrez comment exporter des certificats depuis Azure Key Vault. Vous pouvez exporter des certificats en utilisant Azure CLI, Azure PowerShell ou le portail Azure.

À propos des certificats Azure Key Vault

Azure Key Vault vous permet de provisionner, gérer et déployer facilement des certificats numériques pour votre réseau. Il permet également des communications sécurisées pour les applications. Pour plus d’informations, consultez Certificats Azure Key Vault.

Composition d’un certificat

Quand un certificat Key Vault est créé, une clé et un secret adressables sont créés avec le même nom. La clé Key Vault permet les opérations sur les clés. Le secret Key Vault permet de récupérer la valeur du certificat en tant que secret. Un certificat Key Vault contient également des métadonnées de certificat x509 publiques. Pour plus d’informations, consultez Composition d’un certificat.

Clés exportables et non exportables

Une fois qu’un certificat Key Vault est créé, vous pouvez le récupérer auprès du secret adressable avec la clé privée. Récupérez le certificat au format PFX ou PEM.

  • Exportable : La stratégie utilisée pour créer le certificat indique que la clé est exportable.
  • Non exportable : La stratégie utilisée pour créer le certificat indique que la clé n’est pas exportable. Dans ce cas, la clé privée ne fait pas partie de la valeur quand elle est récupérée en tant que secret.

Types de clés pris en charge : RSA, RSA-HSM, EC, EC-HSM, oct (listés ici) : « Exportable » est autorisé seulement avec RSA et EC. Les clés HSM sont non exportables.

Pour plus d’informations, consultez À propos des certificats Azure Key Vault.

Exporter des certificats stockés

Vous pouvez exporter des certificats stockés dans Azure Key Vault en utilisant Azure CLI, Azure PowerShell ou le portail Azure.

Notes

Exigez un mot de passe de certificat seulement quand vous importez le certificat dans le coffre de clés. Key Vault n’enregistre pas le mot de passe associé. Quand vous exportez le certificat, le mot de passe est vide.

Utilisez la commande suivante dans Azure CLI pour télécharger la partie publique d’un certificat Key Vault.

az keyvault certificate download --file
                                 [--encoding {DER, PEM}]
                                 [--id]
                                 [--name]
                                 [--subscription]
                                 [--vault-name]
                                 [--version]

Pour plus d’informations, consultez Exemples et définitions de paramètres.

Le téléchargement sous forme de certificat suppose l’obtention de la partie publique. Si vous souhaitez disposer de la clé privée et des métadonnées publiques, procédez au téléchargement sous forme de secret.

az keyvault secret download --file {nameofcert.pfx}
                            [--encoding {ascii, base64, hex, utf-16be, utf-16le, utf-8}]
                            [--id]
                            [--name]
                            [--subscription]
                            [--vault-name]
                            [--version]

Pour plus d’informations, consultez Définitions de paramètres.

En savoir plus