Avvio rapido: Impostare e recuperare un certificato da Azure Key Vault con Azure PowerShell
In questa guida di avvio rapido viene creato un insieme di credenziali delle chiavi in Azure Key Vault con Azure PowerShell. Azure Key Vault è un servizio cloud che funziona come archivio protetto dei segreti. È possibile archiviare in modo sicuro chiavi, password, certificati e altri segreti. Per altre informazioni su Key Vault, vedere la relativa panoramica. Azure PowerShell viene usato per creare e gestire le risorse di Azure con comandi o script. Successivamente, si archivia un certificato.
Prerequisiti
Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.
- Se si sceglie di usare Azure PowerShell in locale:
- Installare la versione più recente del modulo Az di PowerShell.
- Connettersi all'account Azure con il cmdlet Connect-AzAccount.
- Se si sceglie di usare Azure Cloud Shell:
- Vedere Panoramica di Azure Cloud Shell per altre informazioni.
Creare un gruppo di risorse
Un gruppo di risorse è un contenitore logico in cui vengono distribuite e gestite le risorse di Azure. Usare il cmdlet New-AzResourceGroup di Azure PowerShell per creare un gruppo di risorse denominato myResourceGroup nella posizione eastus.
New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"
Creare un insieme di credenziali delle chiavi
Usare il cmdlet New-AzKeyVault di Azure PowerShell per creare un'istanza di Key Vault nel gruppo di risorse del passaggio precedente. È necessario specificare alcune informazioni:
Nome Key Vault: una stringa contenente da 3 a 24 caratteri, limitati a numeri (0-9), lettere (a-z, A-Z) e trattini (-)
Importante
Ogni insieme di credenziali delle chiavi deve avere un nome univoco. Negli esempi seguenti, sostituire <your-unique-keyvault-name> con il nome dell'istanza dell’insieme di credenziali delle chiavi in uso.
Nome del gruppo di risorse: myResourceGroup.
Posizione: EastUS.
New-AzKeyVault -Name "<your-unique-keyvault-name>" -ResourceGroupName "myResourceGroup" -Location "EastUS"
L'output di questo cmdlet mostra le proprietà dell'istanza di Key Vault appena creata. Prendere nota delle due proprietà seguenti:
- Nome Vault: il nome specificato per il parametro -Name.
- URI Vault: in questo esempio, l'URI è https://<your-unique-keyvault-name>.vault.azure.net/. Le applicazioni che usano l'insieme di credenziali tramite l'API REST devono usare questo URI.
A questo punto, l'account Azure è l'unico autorizzato a eseguire qualsiasi operazione su questo nuovo insieme di credenziali.
Concedere all'account utente le autorizzazioni per gestire i certificati in Key Vault
Per ottenere le autorizzazioni all'insieme delle credenziali delle chiavi tramite il Controllo degli accessi in base al ruolo (RBAC), assegnare un ruolo al "nome dell'entità utente" usando il cmdlet di Azure PowerShell New-AzRoleAssignment.
New-AzRoleAssignment -SignInName "<upn>" -RoleDefinitionName "Key Vault Certificate Officer" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"
Sostituire <upn>, <subscription-id>, <resource-group-name> e <your-unique-keyvault-name> con i valori effettivi. L’UPN in genere sarà nel formato di un indirizzo di posta elettronica (ad esempio, username@domain.com).
Aggiungere un certificato in Key Vault
A questo punto è possibile aggiungere un certificato nell'insieme di credenziali. Questo certificato può essere usato da un'applicazione.
Usare questi comandi per creare un certificato autofirmato con criteri denominati ExampleCertificate:
$Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "Self" -ValidityInMonths 6 -ReuseKeyOnRenewal
Add-AzKeyVaultCertificate -VaultName "<your-unique-keyvault-name>" -Name "ExampleCertificate" -CertificatePolicy $Policy
È ora possibile fare riferimento a questo certificato aggiunto ad Azure Key Vault usando il relativo URI. Usare https://<your-unique-keyvault-name>.vault.azure.net/certificates/ExampleCertificate per ottenere la versione corrente.
Per visualizzare il certificato archiviato in precedenza:
Get-AzKeyVaultCertificate -VaultName "<your-unique-keyvault-name>" -Name "ExampleCertificate"
Risoluzione dei problemi:
L'operazione ha restituito il codice di stato non valido "Forbidden"
Se viene visualizzato questo errore, l'account che accede ad Azure Key Vault non dispone delle autorizzazioni appropriate per creare certificati.
Eseguire il comando di Azure PowerShell seguente per assegnare le autorizzazioni appropriate:
Set-AzKeyVaultAccessPolicy -VaultName <KeyVaultName> -ObjectId <AzureObjectID> -PermissionsToCertificates get,list,update,create
Pulire le risorse
Altre guide introduttive ed esercitazioni della raccolta si basano su questa. Se si prevede di usare altre guide introduttive ed esercitazioni, è consigliabile non cancellare le risorse create.
Quando non servono più, è possibile usare il cmdlet Remove-AzResourceGroup di Azure PowerShell per rimuovere il gruppo di risorse e tutte le risorse correlate.
Remove-AzResourceGroup -Name "myResourceGroup"
Passaggi successivi
In questa guida di avvio rapido è stata creata un'istanza di Key Vault in cui è stato archiviato un certificato. Per altre informazioni sul servizio Key Vault e su come integrarlo nelle applicazioni, continuare con gli articoli seguenti.
- Leggere una panoramica di Azure Key Vault
- Vedere le informazioni di riferimento sui cmdlet di Azure PowerShell Key Vault
- Vedere Panoramica della sicurezza di Key Vault