教程:在 Azure Key Vault 中导入证书

Azure Key Vault 是一项云服务,它为机密提供了安全的存储。 可以安全地存储密钥、密码、证书和其他机密。 可以通过 Azure 门户创建和管理 Azure Key Vault。 在本教程中,我们将创建一个密钥保管库并使用它来导入证书。 有关 Key Vault 的详细信息,请参阅概述

本教程介绍如何:

  • 创建密钥保管库。
  • 使用门户在 Key Vault 中导入证书。
  • 使用 CLI 在 Key Vault 中导入证书。
  • 使用 PowerShell 在 Key Vault 中导入证书。

在开始之前,请阅读 Key Vault 的基本概念

如果没有 Azure 订阅,请在开始前创建一个试用版订阅

登录 Azure

登录 Azure 门户

创建密钥保管库

使用以下三种方法之一创建密钥保管库:

将证书导入密钥保管库

注意

默认情况下,导入的证书具有可导出的私钥。 可以使用 SDK、Azure CLI 或 PowerShell 定义那些阻止导出私钥的策略。

若要将证书导入到保管库,需要将 PEM 或 PFX 证书文件存储在磁盘上。 如果证书采用 PEM 格式,则 PEM 文件必须包含密钥和 x509 证书。 此操作需要证书/导入权限。

重要

在 Azure Key Vault 中,支持的证书格式为 PFX 和 PEM。

  • .pem 文件格式包含一个或多个 X509 证书文件。
  • .pfx 文件格式是一种存档文件格式,用于将多个加密对象存储在单个文件中,这些加密对象是:颁发给你的域的服务器证书、一个匹配的私钥,还可能包括一个中间 CA。

在本例中,我们将创建一个名为 ExampleCertificate 的证书,或使用路径”/path/to/cert.pem“导入名为 ExampleCertificate 的证书。 你可以通过 Azure 门户、Azure CLI 或 Azure PowerShell 来导入证书。

  1. 在密钥保管库的页面上,选择“证书”。
  2. 单击“生成/导入”。
  3. 在“创建证书”屏幕上,选择以下值:
    • 证书创建方法:导入。
    • 证书名称:ExampleCertificate。
    • 上传证书文件:从磁盘选择证书文件
    • 密码:如果要上传受密码保护的证书文件,请在此处提供该密码。 否则,请将其留空。 成功导入证书文件后,密钥保管库会删除该密码。
  4. 单击 “创建”

Importing a certificate through the Azure portal

导入 .pem 文件时,请检查格式是否如下所示:

-----BEGIN CERTIFICATE-----
MIID2TCCAsGg...
-----END CERTIFICATE-----
-----BEGIN PRIVATE KEY-----
MIIEvQIBADAN...
-----END PRIVATE KEY-----

导入证书后,Azure 密钥保管库会自动填充证书参数(即有效期、颁发者名称、激活日期等)。

收到证书已成功导入的消息后,可以单击列表中的该证书以查看其属性。

Properties of a newly imported certificate in the Azure portal

现在,你已创建了一个密钥保管库,导入了一个证书并查看了证书的属性。

清理资源

其他 Key Vault 快速入门和教程是在本快速入门的基础上制作的。 如果打算继续使用后续的快速入门和教程,则可能需要保留这些资源。 如果不再需要资源组,可以将其删除,这将删除 Key Vault 和相关的资源。 要通过门户删除资源组,请执行以下操作:

  1. 在门户顶部的“搜索”框中输入资源组的名称。 在搜索结果中看到在本快速入门中使用的资源组后,将其选中。
  2. 选择“删除资源组”。
  3. 在“键入资源组名称:”框中,键入资源组的名称,然后选择“删除” 。

后续步骤

在本教程中,你创建了一个 Key Vault 并在其中导入了一个证书。 若要详细了解 Key Vault 以及如何将其与应用程序集成,请继续阅读以下文章。