Экспорт сертификатов из Azure Key Vault

Статья
2025-04-21

Узнайте, как экспортировать сертификаты из Azure Key Vault. Сертификаты можно экспортировать с помощью Azure CLI, Azure PowerShell или портала Azure.

Сведения о сертификатах Azure Key Vault

Azure Key Vault позволяет легко подготавливать, управлять и развертывать цифровые сертификаты для сети. Он также обеспечивает безопасный обмен данными для приложений. Дополнительные сведения см. в сертификатах Azure Key Vault .

Создание сертификатов

При создании сертификата Key Vault создаются адресные ключи и секреты с одинаковым именем. Ключ Key Vault разрешает операции с ключами. Секрет Key Vault позволяет получить значение сертификата в виде секрета. Сертификат Key Vault также содержит открытые метаданные сертификата x509. Дополнительные сведения см. в раздел "Композиция сертификата ".

Экспортируемые и не экспортируемые ключи

После создания сертификата Key Vault, его можно извлечь из доступного секрета с закрытым ключом. Получение сертификата в формате PFX или PEM.

Экспортируемый: политика, используемая для создания сертификата, указывает, что ключ можно экспортировать.
Неэкспортируемый: политика, используемая для создания сертификата, указывает, что ключ не является экспортируемым. В этом случае закрытый ключ не является частью значения, когда он извлекается как секрет.

Поддерживаемые типы ключей: RSA, RSA-HSM, EC, EC-HSM, oct (перечислены здесь). Экспорт разрешен только для RSA и EC. Ключи HSM будут неэкспортируемыми.

Дополнительные сведения см. в разделе "Сведения о сертификатах Azure Key Vault ".

Экспорт сохраненных сертификатов

Вы можете экспортировать сохраненные сертификаты из Azure Key Vault с помощью портала Azure, Azure PowerShell или Azure CLI.

Замечание

При импорте сертификата в хранилище ключей требуется только пароль сертификата. Key Vault не хранит связанный пароль. При экспорте сертификата пароль пуст.

Используйте следующую команду в Azure CLI, чтобы скачать общедоступную часть сертификата Key Vault.

az keyvault certificate download --file
                                 [--encoding {DER, PEM}]
                                 [--id]
                                 [--name]
                                 [--subscription]
                                 [--vault-name]
                                 [--version]

Дополнительные сведения см. в примерах и определениях параметров .

При скачивании в качестве сертификата вы получите общедоступную часть. Если требуется как закрытый ключ, так и общедоступные метаданные, скачайте его в виде секрета.

az keyvault secret download --file {nameofcert.pfx}
                            [--encoding {ascii, base64, hex, utf-16be, utf-16le, utf-8}]
                            [--id]
                            [--name]
                            [--subscription]
                            [--vault-name]
                            [--version]

Дополнительные сведения см. в определениях параметров.

Используйте эту команду в Azure PowerShell, чтобы получить сертификат с именем TestCert01 из хранилища ключей ContosoKV01. Чтобы скачать сертификат в виде файла PFX, выполните следующую команду. Эти команды получают доступ к SecretId, а затем сохраняют содержимое в виде PFX-файла.

$vaultName = '<YourVault>'
$certificateName = '<YourCert>'
$password = '<YourPwd>'

$pfxSecret = Get-AzKeyVaultSecret -VaultName $vaultName -Name $certificateName -AsPlainText
$certBytes = [Convert]::FromBase64String($pfxSecret)

# Write to a file
Set-Content -Path cert.pfx -Value $certBytes -AsByteStream

Эта команда экспортирует всю цепочку сертификатов с закрытым ключом (т. е. то же самое, что и импортировано). Сертификат защищен паролем.

Дополнительные сведения о команде и параметрах Get-AzKeyVaultCertificate см. в разделеGet-AzKeyVaultCertificate — пример 2.

Подробнее

Различные типы и определения файлов сертификатов