Azure Key Vault から証明書をエクスポートする
Azure Key Vault から証明書をエクスポートする方法について説明します。 Azure CLI、Azure PowerShell、または Azure portal を使用して証明書をエクスポートすることができます。
Azure Key Vault の証明書について
Azure Key Vault を使用すると、ネットワーク用のデジタル証明書のプロビジョニング、管理、デプロイを簡単に行うことができます。 また、アプリケーションの通信をセキュリティで保護することもできます。 詳細については、Azure Key Vault の証明書に関する記事を参照してください
証明書の構成
Key Vault 証明書が作成されると、アドレス指定可能な "キー" と "シークレット" が同じ名前で作成されます。 Key Vault のキーによりキーの操作が可能になります。 Key Vault のシークレットにより、シークレットとして証明書の値を取得できます。 Key Vault 証明書には、公開 x509 証明書メタデータも含まれます。 詳細については、「証明書の構成」を参照してください。
エクスポート可能およびエクスポート不可能なキー
Key Vault 証明書が作成されると、アドレス指定可能なシークレットから秘密キーとともにそれを取得できます。 PFX または PEM 形式で証明書を取得します。
- エクスポート可能:証明書の作成に使用されるポリシーで、キーがエクスポート可能であることが示されています。
- エクスポート不可能:証明書の作成に使用されるポリシーで、キーがエクスポート不可能であることが示されています。 この場合、秘密キーは、シークレットとして取得されたときの値の一部ではありません。
サポートされているキーの種類: RSA、RSA-HSM、EC、EC-HSM、oct (一覧はこちら)。エクスポート可能にできるのは、RSA、EC のみです。 HSM キーはエクスポートできません。
詳細については、Azure Key Vault の証明書についての記事を参照してください
保存されている証明書をエクスポートする
Azure CLI、Azure PowerShell、または Azure portal を使用して、Azure Key Vault に保存されている証明書をエクスポートすることができます。
注意
キー コンテナーに証明書をインポートする場合にのみ、証明書のパスワードが必要です。 Key Vault には、関連付けられているパスワードは保存されません。 証明書をエクスポートするときは、パスワードは空白です。
Azure CLI で次のコマンドを使用して、Key Vault 証明書の公開部分をダウンロードします。
az keyvault certificate download --file
[--encoding {DER, PEM}]
[--id]
[--name]
[--subscription]
[--vault-name]
[--version]
詳細については、例とパラメーターの定義を参照してください。
証明書としてダウンロードすることは、公開部分を取得することを意味します。 秘密キーとパブリック メタデータの両方が必要な場合は、シークレットとしてダウンロードできます。
az keyvault secret download --file {nameofcert.pfx}
[--encoding {ascii, base64, hex, utf-16be, utf-16le, utf-8}]
[--id]
[--name]
[--subscription]
[--vault-name]
[--version]
詳細については、パラメーターの定義を参照してください。