Démarrage rapide : Définir et récupérer un certificat dans Azure Key Vault avec Azure PowerShell

Dans ce guide de démarrage rapide, vous créez un coffre de clés dans Azure Key Vault avec Azure PowerShell. Azure Key Vault est un service cloud qui fonctionne comme un magasin des secrets sécurisé. Vous pouvez stocker des clés, des mots de passe, des certificats et d’autres secrets en toute sécurité. Pour plus d’informations sur Key Vault, consultez la présentation. Azure PowerShell vous permet de créer et gérer des ressources Azure à l’aide de commandes ou de scripts. Ensuite, vous stockez un certificat.

Prérequis

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

• Si vous choisissez d’utiliser Azure PowerShell localement :
  • Installez la dernière version du module Az PowerShell.
  • Connectez-vous à votre compte Azure à l’aide de la cmdlet Connect-AzAccount.
• Si vous choisissez d’utiliser Azure Cloud Shell :
  • Pour plus d’informations, consultez Vue d’ensemble d’Azure Cloud Shell.

Créer un groupe de ressources

Un groupe de ressources est un conteneur logique dans lequel les ressources Azure sont déployées et gérées. Utilisez l’applet de commande Azure PowerShell New-AzResourceGroup pour créer un groupe de ressources nommé myResourceGroup à l’emplacement eastus.

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

Création d’un coffre de clés

Utilisez l’applet de commande Azure PowerShell New-AzKeyVault pour créer un coffre de clés dans le groupe de ressources de l’étape précédente. Vous devrez fournir certaines informations :

• Nom du coffre de clés : chaîne de 3 à 24 caractères qui ne peut contenir que des chiffres (0-9), des lettres (a-z, A-Z) et des traits d’union (-).

  Important

  Chaque coffre de clés doit avoir un nom unique. Remplacez <your-unique-keyvault-name> par le nom de votre coffre de clés dans les exemples suivants.

• Groupe de ressources nommé : myResourceGroup.

• Localisation : EastUS.

New-AzKeyVault -Name "<your-unique-keyvault-name>" -ResourceGroupName "myResourceGroup" -Location "EastUS"

La sortie de cette cmdlet affiche les propriétés du coffre de clés que vous venez de créer. Notez les deux propriétés ci-dessous :

• Nom du coffre : nom que vous avez fourni pour le paramètre -Name.
• URI du coffre : dans l’exemple, cet URI est https://<votre-nom-de-coffre-de-clés-unique>.vault.azure.net/. Les applications qui utilisent votre coffre via son API REST doivent utiliser cet URI.

À ce stade, votre compte Azure est le seul autorisé à effectuer des opérations sur ce nouveau coffre.

Donner à votre compte d’utilisateur des autorisations pour gérer les secrets dans Key Vault

Pour obtenir des autorisations sur votre coffre de clés via le Contrôle d’accès en fonction du rôle (RBAC), attribuez un rôle à votre « nom d’utilisateur principal » (UPN) à l’aide de l’applet de commande Azure PowerShell New-AzRoleAssignment.

New-AzRoleAssignment -SignInName "<upn>" -RoleDefinitionName "Key Vault Certificate Officer" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

Remplacez <upn>, <subscription-id>, <resource-group-name> et <your-unique-keyvault-name> par vos valeurs réelles. Votre nom d’utilisateur principal (UPN) se présente généralement sous la forme d’une adresse électronique (par exemple,username@domain.com).

Ajouter un certificat à Key Vault

Vous pouvez maintenant ajouter un certificat au coffre. Ce certificat peut être utilisé par une application.

Utilisez ces commandes pour créer un certificat auto-signé avec une stratégie appelée ExampleCertificate :

$Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "Self" -ValidityInMonths 6 -ReuseKeyOnRenewal

Add-AzKeyVaultCertificate -VaultName "<your-unique-keyvault-name>" -Name "ExampleCertificate" -CertificatePolicy $Policy

Vous pouvez maintenant référencer ce certificat que vous avez ajouté à Azure Key Vault à l’aide de son URI. Utilisez https://<your-unique-keyvault-name>.vault.azure.net/certificates/ExampleCertificate pour obtenir la version actuelle.

Pour voir le certificat stocké précédemment :

Get-AzKeyVaultCertificate -VaultName "<your-unique-keyvault-name>" -Name "ExampleCertificate"

Résolution des problèmes :

L’opération a retourné un code d’état non valide : « Forbidden ».

Si vous recevez cette erreur, cela signifie que le compte qui accède à Azure Key Vault ne dispose pas des autorisations nécessaires pour créer des certificats.

Exécutez la commande Azure PowerShell suivante pour attribuer les autorisations nécessaires :

Set-AzKeyVaultAccessPolicy -VaultName <KeyVaultName> -ObjectId <AzureObjectID> -PermissionsToCertificates get,list,update,create

Nettoyer les ressources

D’autres guides de démarrage rapide et didacticiels de cette collection reposent sur ce guide. Si vous prévoyez d’utiliser d’autres démarrages rapides et didacticiels, il peut être utile de conserver ces ressources.

Quand vous n’en avez plus besoin, vous pouvez utiliser l’applet de commande Azure PowerShell Remove-AzResourceGroup pour supprimer le groupe de ressources et toutes les ressources associées.

Remove-AzResourceGroup -Name "myResourceGroup"

Étapes suivantes

Dans ce guide de démarrage rapide, vous avez créé un coffre de clés et vous y avez stocké un certificat. Pour en savoir plus sur Key Vault et sur la manière de l’intégrer à vos applications, consultez les articles ci-dessous.

• Lire la vue d’ensemble Azure Key Vault
• Consulter la référence des applets de commande Azure PowerShell Key Vault
• Passer en revue la Vue d’ensemble de la sécurité de Key Vault