Snabbstart: Ange och hämta ett certifikat från Azure Key Vault med Hjälp av Azure PowerShell

I den här snabbstarten skapar du ett nyckelvalv i Azure Key Vault med Azure PowerShell. Azure Key Vault är en molntjänst som fungerar som ett säkert lager för hemligheter. Du kan på ett säkert sätt lagra nycklar, lösenord, certifikat och andra hemligheter. Mer information om nyckelvalv finns i översikten. Azure PowerShell används för att skapa och hantera Azure-resurser med hjälp av kommandon eller skript. Därefter lagrar du ett certifikat.

Förutsättningar

Om du inte har någon Azure-prenumeration skapar du ett kostnadsfritt konto innan du börjar.

• Om du väljer att använda Azure PowerShell lokalt:
  • Installera den senaste versionen av Az PowerShell-modulen.
  • Anslut till ditt Azure-konto med hjälp av cmdleten Connect-AzAccount .
• Om du väljer att använda Azure Cloud Shell:
  • Mer information finns i Översikt över Azure Cloud Shell .

Skapa en resursgrupp

En resursgrupp är en logisk container där Azure-resurser distribueras och hanteras. Använd cmdleten Azure PowerShell New-AzResourceGroup för att skapa en resursgrupp med namnet myResourceGroup på platsen eastus .

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

Skapa ett nyckelvalv

Använd cmdleten Azure PowerShell New-AzKeyVault för att skapa ett Nyckelvalv i resursgruppen från föregående steg. Du måste ange viss information:

• Nyckelvalvsnamn: En sträng på 3 till 24 tecken som endast kan innehålla siffror (0–9), bokstäver (a-z, A-Z) och bindestreck (-)

  Viktigt!

  Varje nyckelvalv måste ha ett unikt namn. Ersätt <ditt unika keyvault-name> med namnet på ditt nyckelvalv i följande exempel.

• Resursgruppsnamn: myResourceGroup.

• Platsen: EastUS.

New-AzKeyVault -Name "<your-unique-keyvault-name>" -ResourceGroupName "myResourceGroup" -Location "EastUS"

Utdata från denna cmdlet visar egenskaper för nyckelvalvet du precis skapade. Notera följande två egenskaper:

• Valvnamn: Det namn som du angav för parametern -Name.
• Valv-URI: I exemplet är den här URI:n https://< din-unik-keyvault-name.vault.azure.net/>. Program som använder ditt valv via dess REST-API måste använda denna URI.

Nu är ditt Azure-konto det enda kontot med behörighet att utföra åtgärder i det nya valvet.

Ge ditt användarkonto behörighet att hantera certifikat i Key Vault

Om du vill få behörighet till ditt nyckelvalv via rollbaserad åtkomstkontroll (RBAC) tilldelar du en roll till ditt UPN (User Principal Name) med hjälp av Azure PowerShell-cmdleten New-AzRoleAssignment.

New-AzRoleAssignment -SignInName "<upn>" -RoleDefinitionName "Key Vault Certificate Officer" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

Ersätt <upn>, <subscription-id>, <resource-group-name> och <your-unique-keyvault-name> med dina faktiska värden. Ditt UPN är vanligtvis i formatet för en e-postadress (t.ex. username@domain.com).

Lägga till ett certifikat i Key Vault

Nu kan du lägga till ett certifikat i valvet. Det här certifikatet kan användas av ett program.

Använd dessa kommandon för att skapa ett självsignerat certifikat med principen ExampleCertificate :

$Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "Self" -ValidityInMonths 6 -ReuseKeyOnRenewal

Add-AzKeyVaultCertificate -VaultName "<your-unique-keyvault-name>" -Name "ExampleCertificate" -CertificatePolicy $Policy

Du kan nu referera till det här certifikatet som du lade till i Azure Key Vault med hjälp av dess URI. Använd https://<your-unique-keyvault-name>.vault.azure.net/certificates/ExampleCertificate till att hämta aktuell version.

Så här visar du tidigare lagrat certifikat:

Get-AzKeyVaultCertificate -VaultName "<your-unique-keyvault-name>" -Name "ExampleCertificate"

Felsökning:

Åtgärden returnerade en ogiltig statuskod "Förbjuden"

Om du får det här felet har kontot som kommer åt Azure Key Vault inte rätt behörighet att skapa certifikat.

Kör följande Azure PowerShell-kommando för att tilldela rätt behörigheter:

Set-AzKeyVaultAccessPolicy -VaultName <KeyVaultName> -ObjectId <AzureObjectID> -PermissionsToCertificates get,list,update,create

Rensa resurser

De andra snabbstarterna och självstudierna i den här samlingen bygger på den här snabbstarten. Om du planerar att fortsätta med andra snabbstarter och självstudier kan du lämna kvar de här resurserna.

När den inte längre behövs kan du använda cmdleten Azure PowerShell Remove-AzResourceGroup för att ta bort resursgruppen och alla relaterade resurser.

Remove-AzResourceGroup -Name "myResourceGroup"

Nästa steg

I den här snabbstarten skapade du ett Key Vault och lagrade ett certifikat i det. Om du vill veta mer om Key Vault och hur du integrerar det med dina program fortsätter du till artiklarna nedan.

• Läs en översikt över Azure Key Vault
• Se referensen för Azure PowerShell Key Vault-cmdletar
• Granska säkerhetsöversikten för Key Vault