Quickstart: Een certificaat instellen en ophalen uit Azure Key Vault met behulp van Azure CLI
In deze quickstart maakt u een sleutelkluis in Azure Key Vault met behulp van de Azure CLI. Azure Key Vault is een cloudservice die werkt als een beveiligd geheimenarchief. U kunt veilig sleutels, wachtwoorden, certificaten en andere geheime informatie opslaan. U kunt het Overzicht raadplegen voor meer informatie over Key Vault. Azure CLI wordt gebruikt voor het maken en beheren van Azure-resources met behulp van opdrachten of scripts. Nadat u dat hebt gedaan, gaat u een certificaat opslaan.
Als u geen Azure-abonnement hebt, kunt u een gratis Azure-account maken voordat u begint.
Vereisten
Gebruik de Bash-omgeving in Azure Cloud Shell. Zie quickstart voor Bash in Azure Cloud Shell voor meer informatie.
Installeer de Azure CLI, indien gewenst, om CLI-referentieopdrachten uit te voeren. Als u in Windows of macOS werkt, kunt u Azure CLI uitvoeren in een Docker-container. Zie De Azure CLI uitvoeren in een Docker-container voor meer informatie.
Als u een lokale installatie gebruikt, meldt u zich aan bij Azure CLI met behulp van de opdracht az login. Volg de stappen die worden weergegeven in de terminal, om het verificatieproces te voltooien. Raadpleeg Aanmelden bij Azure CLI voor aanvullende aanmeldingsopties.
Installeer de Azure CLI-extensie bij het eerste gebruik, wanneer u hierom wordt gevraagd. Raadpleeg Extensies gebruiken met Azure CLI voor meer informatie over extensies.
Voer az version uit om de geïnstalleerde versie en afhankelijke bibliotheken te vinden. Voer az upgrade uit om te upgraden naar de nieuwste versie.
- Voor deze quickstart is versie 2.0.4 of hoger van Azure CLI vereist. Als u Azure Cloud Shell gebruikt, is de nieuwste versie al geïnstalleerd.
Een brongroep maken
Een resourcegroep is een logische container waarin Azure-resources worden geïmplementeerd en beheerd. Gebruik de opdracht az group create om een resourcegroep met de naam myResourceGroup te maken op de locatie eastus.
az group create --name "myResourceGroup" --location "EastUS"
Maak een sleutelkluis.
Gebruik de azure CLI az keyvault create command om een Key Vault te maken in de resourcegroep uit de vorige stap. U moet enkele gegevens verstrekken:
Sleutelkluisnaam: een tekenreeks van 3 tot 24 tekens die alleen cijfers (0-9), letters (a-z, A-Z) en afbreekstreepjes (-) mogen bevatten
Belangrijk
Elke sleutelkluis moet een unieke naam hebben. Vervang <uw unieke sleutelkluisnaam> door de naam van uw sleutelkluis in de volgende voorbeelden.
Naam van resourcegroep: myResourceGroup.
De locatie: EastUS.
az keyvault create --name "<your-unique-keyvault-name>" --resource-group "myResourceGroup"
In de uitvoer van deze opdracht ziet u eigenschappen van de zojuist gemaakte sleutelkluis. Noteer deze twee eigenschappen:
- Kluisnaam: de naam die u hebt opgegeven voor de
--name
parameter. - Kluis-URI: In dit voorbeeld is de kluis-URI https://< your-unique-keyvault-name.vault.azure.net/>. Toepassingen die via de REST API gebruikmaken van uw kluis, moeten deze URI gebruiken.
Geef uw gebruikersaccount machtigingen voor het beheren van certificaten in Key Vault
Als u machtigingen wilt verkrijgen voor uw sleutelkluis via op rollen gebaseerd toegangsbeheer (RBAC), wijst u een rol toe aan uw UPN (User Principal Name) met behulp van de Azure CLI-opdracht az role assignment create.
az role assignment create --role "Key Vault Certificate Officer" --assignee "<upn>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"
Vervang <upn>, <subscription-id>, <resource-group-name> en <your-unique-keyvault-name> door uw werkelijke waarden. Uw UPN heeft doorgaans de indeling van een e-mailadres (bijvoorbeeld username@domain.com).
Een certificaat toevoegen aan Key Vault
Als u een certificaat wilt toevoegen aan de kluis, hoeft u maar een paar extra stappen uit te voeren. Dit certificaat kan worden gebruikt door een toepassing.
Typ de onderstaande opdrachten om een zelfondertekend certificaat te maken met het standaardbeleid met de naam ExampleCertificate:
az keyvault certificate create --vault-name "<your-unique-keyvault-name>" -n ExampleCertificate -p "$(az keyvault certificate get-default-policy)"
U kunt nu verwijzen naar dit certificaat dat u aan Azure Key Vault hebt toegevoegd met behulp van de bijbehorende URI. Gebruik https://<your-unique-keyvault-name>.vault.azure.net/certificates/ExampleCertificate
om de huidige versie op te halen.
Een eerder opgeslagen certificaat weergeven:
az keyvault certificate show --name "ExampleCertificate" --vault-name "<your-unique-keyvault-name>"
U hebt nu een sleutelkluis gemaakt, een certificaat opgeslagen en dat vervolgens opgehaald.
Resources opschonen
Andere snelstartgidsen en zelfstudies in deze verzameling zijn gebaseerd op deze snelstartgids. Als u van plan bent om verder te gaan met volgende snelstarts en zelfstudies, kunt u deze resources intact laten.
U kunt de opdracht az group delete van Azure CLI gebruiken om de resourcegroep en alle gerelateerde resources te verwijderen wanneer u deze niet meer nodig hebt.
az group delete --name "myResourceGroup"
Volgende stappen
In deze quickstart hebt u een Key Vault gemaakt en daar een certificaat in opgeslagen. Voor meer informatie over Key Vault en hoe u Key Vault integreert met uw toepassingen gaat u verder naar de artikelen hieronder.
- Lees een Overzicht van Azure Key Vault
- Raadpleeg de naslaginformatie voor de az keyvault-opdrachten van de Azure CLI
- Raadpleeg het Overzicht voor Key Vault-beveiliging