了解如何从Azure Key Vault导出证书。 可以使用Azure CLI、Azure PowerShell或Azure门户导出证书。
关于 Azure Key Vault 证书
Azure Key Vault使你可以轻松地为网络预配、管理和部署数字证书。 它还能使应用程序之间进行安全的通信。 有关详细信息,请参阅 Azure Key Vault 证书。
证书的组成部分
创建Key Vault证书时,将创建具有相同名称的可寻址key和 secret。 Key Vault 的密钥允许进行密钥操作。 Key Vault 机密允许将证书的值以机密的形式检索。 Key Vault证书还包含公共 x509 证书元数据。 有关详细信息,请参阅证书的组成部分。
可导出密钥和非可导出密钥
创建 Key Vault 证书后,可以从包含私钥的可寻址机密中检索到证书。 以 PFX 或 PEM 格式检索证书。
- 可导出:用于创建证书的策略指示密钥可导出。
- 不可导出:用于创建证书的策略指示密钥不可导出。 在这种情况下,私钥不是作为机密检索的值的一部分。
支持的密钥类型:RSA、RSA-HSM、EC、EC-HSM、oct( 此处列出)仅允许使用 RSA 和 EC 密钥进行导出。 HSM 密钥不可移植。
有关详细信息,请参阅 About Azure Key Vault 证书。
导出存储的证书
可以使用Azure CLI、Azure PowerShell或Azure门户将存储的证书导出到Azure Key Vault中。
注意
只有在密钥保管库中导入证书时,才需要证书密码。 Key Vault不会保存关联的密码。 导出证书时,密码为空。
使用Azure CLI中的以下命令下载Key Vault证书的 public 部分。
az keyvault certificate download --file
[--encoding {DER, PEM}]
[--id]
[--name]
[--subscription]
[--vault-name]
[--version]
有关详细信息,请查看示例和参数定义。
下载为证书时,会收到公共部分。 如果需要私钥和公共元数据,请将其下载为机密。
az keyvault secret download --file {nameofcert.pfx}
[--encoding {ascii, base64, hex, utf-16be, utf-16le, utf-8}]
[--id]
[--name]
[--subscription]
[--vault-name]
[--version]
有关详细信息,请参阅参数定义。
