Учебник по импорту сертификата в Azure Key Vault

Статья
08/07/2024

Azure Key Vault — это облачная служба, которая предоставляет защищенное хранилище для секретов. Вы можете безопасно хранить ключи, пароли, сертификаты и другие секреты. Создать хранилища Azure Key Vault и управлять ими можно на портале Azure. В этом руководстве вы создадите хранилище ключей, а затем используете его для импорта сертификата. См. дополнительные сведения о Key Vault.

В этом руководстве описаны следующие процедуры.

Создайте хранилище ключей.
Импорт сертификата в Key Vault с помощью портала.
Импорт сертификата в Key Vault с помощью интерфейса командной строки.
Импорт сертификата в Key Vault с помощью PowerShell.

Перед началом работы ознакомьтесь c основными понятиями службы Key Vault.

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Войдите на портал Azure.

Создание хранилища ключей

Создайте хранилище ключей с помощью одного из следующих трех методов:

Импорт сертификата в хранилище ключей

Примечание.

По умолчанию импортированные сертификаты имеют экспортируемые закрытые ключи. Пакет SDK, Azure CLI или PowerShell можно использовать для определения политик, которые препятствуют экспорту закрытого ключа.

Чтобы импортировать сертификат в хранилище, необходимо иметь файл сертификата PEM или PFX на диске. Если сертификат находится в формате PEM, PEM-файл должен содержать ключ, а также сертификаты x509. Для этой операции требуются разрешения на сертификаты и импорт.

Внимание

В Azure Key Vault поддерживаются форматы сертификатов PFX и PEM.

Формат файла PEM содержит один или несколько файлов сертификатов X509.
Формат файла PFX — это формат файла архива для хранения нескольких криптографических объектов в одном файле, т. е. сертификат сервера (выданный для вашего домена), соответствующий закрытый ключ, и может дополнительно включать промежуточный ЦС.

В этом случае мы создадим сертификат с именем ExampleCertificate или импортируем сертификат с именем ExampleCertificate с путем к файлу **/path/to/cert.pem". Сертификат можно импортировать с помощью портала Azure, Azure CLI или Azure PowerShell.

На странице своего хранилища ключей выберите Сертификаты.
Щелкните Generate/Import (Создать или импортировать).
На экране "Создание сертификата" выберите следующие значения:
- Метод создания сертификата: импорт.
- Имя сертификата: ExampleCertificate.
- Отправка файла сертификата: выберите файл сертификата с диска
- Пароль: если вы отправляете файл сертификата, защищенный паролем, укажите этот пароль здесь. В противном случае оставьте поле пустым. После успешного импорта файла сертификата хранилище ключей удалит этот пароль.
Нажмите кнопку Создать.

Импорт сертификата через портал Azure

При импорте файла PEM убедитесь, что формат следующий:

-----НАЧАЛО СЕРТИФИКАТА-----
MIID2TCCAsGg…
-----КОНЕЦ СЕРТИФИКАТА-----
-----BEGIN PRIVATE KEY-----
MIIEvQIBADAN…
-----END PRIVATE KEY-----

При импорте сертификата Azure Key Vault автоматически заполнит параметры сертификата (например, срок действия, имя издателя, дата активации и т. д.).

Получив сообщение об успешном импорте сертификата, вы можете выбрать его в списке, чтобы просмотреть его свойства.

Свойства недавно импортированного сертификата в портал Azure

Импортируйте сертификат в хранилище ключей с помощью команды Azure CLI az keyvault certificate import:

az keyvault certificate import --vault-name "<your-key-vault-name>" -n "ExampleCertificate" -f "/path/to/ExampleCertificate.pem"

После импорта сертификата можно просмотреть с помощью команды Azure CLI az keyvault certificate show.

az keyvault certificate show --vault-name "<your-key-vault-name>" --name "ExampleCertificate"

Сертификат можно импортировать в хранилище ключей с помощью командлета Azure PowerShell Import-AzKeyVaultCertificate.

$Password = ConvertTo-SecureString -String "123" -AsPlainText -Force
Import-AzKeyVaultCertificate -VaultName "<your-key-vault-name>" -Name "ExampleCertificate" -FilePath "C:\path\to\ExampleCertificate.pem" -Password $Password

После импорта сертификата можно просмотреть сертификат с помощью командлета Get-AzKeyVaultCertificate Azure PowerShell.

Get-AzKeyVaultCertificate -VaultName "<your-key-vault-name>" -Name "ExampleCertificate"

Вы создали хранилище ключей, импортировали сертификат и просмотрели свойства сертификата.

Очистка ресурсов

Другие руководства о Key Vault созданы на основе этого документа. Если вы планируете продолжить работу с последующими краткими руководствами и статьями, эти ресурсы можно не удалять. Удалите ненужную группу ресурсов. Key Vault и связанные ресурсы будут также удалены. Чтобы удалить группу ресурсов на портале, сделайте следующее:

В поле Поиск в верхней части портала введите имя группы ресурсов. Если в результатах поиска отображается группа ресурсов, используемая в этом кратком руководстве, выберите ее.
Выберите команду Удалить группу ресурсов.
В поле Введите имя группы ресурсов: введите имя группы ресурсов и выберите Удалить.

Следующие шаги

С помощью этого руководства вы создали Key Vault импортировали в него сертификат. Дополнительные сведения о Key Vault и его интеграции в приложения см. в следующих статьях.

Узнайте больше об управлении созданием сертификатов в Azure Key Vault.
См. примеры импорта сертификатов с помощью интерфейсов REST API
Статья Обзор системы безопасности Key Vault

Поделиться через

Учебник по импорту сертификата в Azure Key Vault

Создание хранилища ключей

Импорт сертификата в хранилище ключей

Очистка ресурсов

Следующие шаги

Обратная связь

Дополнительные ресурсы

Поделиться через

Учебник по импорту сертификата в Azure Key Vault

Вход в Azure

Создание хранилища ключей

Импорт сертификата в хранилище ключей

Очистка ресурсов

Следующие шаги

Обратная связь

Дополнительные ресурсы