你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
从 Azure Key Vault 中导出证书
了解如何从 Azure Key Vault 中导出证书。 你可以使用 Azure CLI、Azure PowerShell 或 Azure 门户来导出证书。
关于 Azure Key Vault 证书
使用 Azure Key Vault,你可以轻松地为网络预配、管理和部署数字证书。 它还能使应用程序之间进行安全的通信。 有关详细信息,请参阅 Azure Key Vault 证书。
证书的组成部分
创建 Key Vault 证书时,还会创建具有相同名称的可寻址密钥和机密 。 Key Vault 密钥允许密钥操作。 Key Vault 机密允许以机密的形式检索证书值。 Key Vault 证书还包含公共 x509 证书元数据。 有关详细信息,请参阅证书的组成部分。
可导出和不可导出的密钥
创建 Key Vault 证书后,可以使用私钥从可寻址机密中检索该证书。 以 PFX 或 PEM 格式检索证书。
- 可导出:用于创建证书的策略指示密钥可导出。
- 不可导出:用于创建证书的策略指示密钥不可导出。 在这种情况下,当以机密的形式进行检索时,私钥不是值的一部分。
支持的 KeyType:RSA、RSA-HSM、EC、EC-HSM 等(参见此处)“可导出”状态仅与 RSA 和 EC 一起使用。 HSM 密钥不可导出。
有关详细信息,请参阅关于 Azure Key Vault 证书。
导出存储的证书
你可以使用 Azure CLI、Azure PowerShell 或 Azure 门户来导出 Azure Key Vault 中存储的证书。
注意
只有在密钥保管库中导入证书时,才需要证书密码。 Key Vault 不会保存关联的密码。 导出证书时,密码为空。
在 Azure CLI 中使用以下命令,下载 Key Vault 证书的公有部分。
az keyvault certificate download --file
[--encoding {DER, PEM}]
[--id]
[--name]
[--subscription]
[--vault-name]
[--version]
有关详细信息,请查看示例和参数定义。
作为证书下载意味着获取公共部分。 如果同时需要私钥和公共元数据,可以将其作为机密下载。
az keyvault secret download --file {nameofcert.pfx}
[--encoding {ascii, base64, hex, utf-16be, utf-16le, utf-8}]
[--id]
[--name]
[--subscription]
[--vault-name]
[--version]
有关详细信息,请参阅参数定义。
