チュートリアル:Azure Key Vault に証明書をインポートする

Azure Key Vault は、シークレットのセキュリティで保護されたストアを提供するクラウド サービスです。 キー、パスワード、証明書、およびその他のシークレットを安全に保管することができます。 Azure Key Vault は、Azure Portal を使用して作成および管理できます。 このチュートリアルでは、キー コンテナーを作成し、それを使用して証明書をインポートします。 Key Vault の詳細については、概要に関する記事をご覧ください。

このチュートリアルでは、次の操作方法について説明します。

• Key Vault を作成します。
• ポータルを使用して Key Vault に証明書をインポートします。
• CLI を使用して Key Vault に証明書をインポートします。
• PowerShell を使用して Key Vault に証明書をインポートします。

始める前に、Key Vault の基本的な概念を確認してください。

Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。

Azure へのサインイン

Azure portal にサインインします。

Key Vault を作成します

次の 3 つの方法のいずれかを使用して、キー コンテナーを作成します。

• Azure portal を使用してキー コンテナーを作成する
• Azure CLI を使用してキー コンテナーを作成する
• Azure PowerShell を使用してキー コンテナーを作成する

キー コンテナーに証明書をインポートする

Note

既定では、インポートされた証明書にはエクスポート可能な秘密キーがあります。 SDK、Azure CLI、または PowerShell を使用して、秘密キーのエクスポートを妨げるポリシーを定義できます。

証明書をコンテナーにインポートするには、PEM または PFX 証明書ファイルをディスク上に配置する必要があります。 証明書が PEM 形式の場合、PEM ファイルには x509 証明書だけでなく、キーが含まれている必要があります。 この操作には、証明書/インポートのアクセス許可が必要です。

重要

Azure Key Vault でサポートされている証明書の形式は PFX と PEM です。

• .pem ファイル形式には、1 つまたは複数の X509 証明書ファイルが含まれています。
• .pfx ファイル形式は、サーバー証明書 (ドメイン用に発行) や一致する秘密キーなどの複数の暗号化オブジェクトを 1 つのファイルに格納するためのアーカイブ ファイル形式で、必要に応じて中間 CA を含めることができます。

この例では、ExampleCertificate という証明書を作成するか、ExampleCertificate という名前の証明書を **/path/to/cert.pem" というパスでインポートします。 証明書をインポートするには、Azure portal、Azure CLI、または Azure PowerShell を使用します。

Azure Portal

1. キー コンテナーのページで、[証明書] を選択します。
2. [Generate/Import](生成/インポート) をクリックします。
3. [証明書の作成] 画面で、次の値を選択します。
   • [証明書の作成方法] :インポート。
   • [証明書名] :ExampleCertificate。
   • [証明書ファイルのアップロード] : ディスクから証明書ファイルを選択します
   • [パスワード] : パスワードで保護された証明書ファイルをアップロードする場合は、ここにパスワードを指定します。 それ以外の場合は空白のまま残します。 証明書ファイルが正常にインポートされると、このパスワードはキー コンテナーによって削除されます。
4. Create をクリックしてください。

.pem ファイルをインポートするときに、次の形式であるかどうかを確認します。

-----BEGIN CERTIFICATE-----
MIID2TCCAsGg...
-----END CERTIFICATE-----
-----BEGIN PRIVATE KEY-----
MIIEvQIBADAN...
-----END PRIVATE KEY-----

証明書をインポートする際、証明書のパラメーター (有効期間、発行者名、アクティブ化した日など) は、Azure Key Vault によって自動的に設定されます。

証明書が正常にインポートされたことを示すメッセージが表示されたら、一覧でその証明書をクリックすることで、対応するプロパティを表示できます。

Azure CLI

Azure CLI az keyvault certificate import コマンドを使用して、証明書をキー コンテナ―にインポートします。

az keyvault certificate import --vault-name "<your-key-vault-name>" -n "ExampleCertificate" -f "/path/to/ExampleCertificate.pem"

証明書をインポートした後、Azure CLI az keyvault certificate show コマンドを使用して証明書を表示できます。

az keyvault certificate show --vault-name "<your-key-vault-name>" --name "ExampleCertificate"

Azure PowerShell

Azure PowerShell AzKeyVaultCertificate コマンドレットを使用して、証明書をキー コンテナ―にインポートできます。

$Password = ConvertTo-SecureString -String "123" -AsPlainText -Force
Import-AzKeyVaultCertificate -VaultName "<your-key-vault-name>" -Name "ExampleCertificate" -FilePath "C:\path\to\ExampleCertificate.pem" -Password $Password

証明書をインポートしたら、Azure PowerShell Get-AzKeyVaultCertificate コマンドレットを使用して証明書を表示できます

Get-AzKeyVaultCertificate -VaultName "<your-key-vault-name>" -Name "ExampleCertificate"

これで、キー コンテナーの作成、証明書のインポート、証明書のプロパティの表示が完了しました。

リソースをクリーンアップする

Key Vault に関する他のクイック スタートとチュートリアルは、このクイック スタートに基づいています。 後続のクイック スタートおよびチュートリアルを引き続き実行する場合は、これらのリソースをそのまま残しておくことをお勧めします。 不要になったら、リソース グループを削除します。これにより、Key Vault と関連リソースが削除されます。 ポータルを使用してリソース グループを削除するには:

1. ポータルの上部にある検索ボックスにリソース グループの名前を入力します。 このクイック スタートで使用されているリソース グループが検索結果に表示されたら、それを選択します。
2. [リソース グループの削除] を選択します。
3. [リソース グループ名を入力してください:] ボックスにリソース グループの名前を入力し、 [削除] を選択します。

次のステップ

このチュートリアルでは、キー コンテナーを作成して証明書を内部にインポートしました。 Key Vault およびアプリケーションとの統合方法の詳細については、引き続き以下の記事を参照してください。

• Azure Key Vault での証明書作成の管理の詳細を確認する
• REST API を使用した証明書のインポートの例を参照する
• Key Vault のセキュリティの概要を確認する