从 Azure Key Vault 中导出证书

在 Azure CLI 中使用以下命令，下载 Key Vault 证书的公有部分。

az keyvault certificate download --file
                                 [--encoding {DER, PEM}]
                                 [--id]
                                 [--name]
                                 [--subscription]
                                 [--vault-name]
                                 [--version]

有关详细信息，请查看示例和参数定义。

作为证书下载意味着获取公共部分。 如果同时需要私钥和公共元数据，可以将其作为机密下载。

az keyvault secret download -–file {nameofcert.pfx}
                            [--encoding {ascii, base64, hex, utf-16be, utf-16le, utf-8}]
                            [--id]
                            [--name]
                            [--subscription]
                            [--vault-name]
                            [--version]

有关详细信息，请参阅参数定义。

在 Azure PowerShell 中使用此命令，从名为 ContosoKV01 的密钥保管库中获取名为 TestCert01 的证书 。 若要将证书下载为 PFX 文件，请运行以下命令。 这些命令访问 SecretId，并将内容另存为 PFX 文件。

$vaultName = '<YourVault>'
$certificateName = '<YourCert>'
$password = '<YourPwd>'

$pfxSecret = Get-AzKeyVaultSecret -VaultName $vaultName -Name $certificateName -AsPlainText
$secretByte = [Convert]::FromBase64String($pfxSecret)
$x509Cert = New-Object Security.Cryptography.X509Certificates.X509Certificate2
$x509Cert.Import($secretByte, $null, [Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable)
$pfxFileByte = $x509Cert.Export([Security.Cryptography.X509Certificates.X509ContentType]::Pkcs12, $password)

# Write to a file
[IO.File]::WriteAllBytes("KeyVaultcertificate.pfx", $pfxFileByte)

这条命令将导出包含私钥在内的整个证书链（即，与导入的证书链相同）。 证书受密码保护。

有关 Get-AzKeyVaultCertificate 命令和参数的详细信息，请参阅 Get-AzKeyVaultCertificate - 示例 2。

在 Azure 门户上，当你在“证书”边栏选项卡上创建/导入证书后，你将收到已成功创建证书的通知。 选择证书和当前版本以查看下载选项。

若要下载证书，请单击“使用 CER 格式下载”或“使用 PFX/PEM 格式下载” 。

导出 Azure 应用服务证书

通过 Azure 应用服务证书可以方便地购买 SSL 证书。 你可以从门户中将它们分配给 Azure 应用。 导入这些证书后，可以在机密下找到应用服务证书。

有关详细信息，请参阅导出 Azure 应用服务证书的步骤。