你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

从 Azure Key Vault 中导出证书

了解如何从 Azure Key Vault 中导出证书。 你可以使用 Azure CLI、Azure PowerShell 或 Azure 门户来导出证书。

关于 Azure Key Vault 证书

使用 Azure Key Vault,你可以轻松地为网络预配、管理和部署数字证书。 它还能使应用程序之间进行安全的通信。 有关详细信息,请参阅 Azure Key Vault 证书

证书的组成部分

创建 Key Vault 证书时,还会创建具有相同名称的可寻址密钥和机密 。 Key Vault 密钥允许密钥操作。 Key Vault 机密允许以机密的形式检索证书值。 Key Vault 证书还包含公共 x509 证书元数据。 有关详细信息,请参阅证书的组成部分

可导出和不可导出的密钥

创建 Key Vault 证书后,可以使用私钥从可寻址机密中检索该证书。 以 PFX 或 PEM 格式检索证书。

  • 可导出:用于创建证书的策略指示密钥可导出。
  • 不可导出:用于创建证书的策略指示密钥不可导出。 在这种情况下,当以机密的形式进行检索时,私钥不是值的一部分。

支持的 KeyType:RSA、RSA-HSM、EC、EC-HSM 等(参见此处)“可导出”状态仅与 RSA 和 EC 一起使用。 HSM 密钥不可导出。

有关详细信息,请参阅关于 Azure Key Vault 证书

导出存储的证书

你可以使用 Azure CLI、Azure PowerShell 或 Azure 门户来导出 Azure Key Vault 中存储的证书。

注意

只有在密钥保管库中导入证书时,才需要证书密码。 Key Vault 不会保存关联的密码。 导出证书时,密码为空。

在 Azure CLI 中使用以下命令,下载 Key Vault 证书的公有部分。

az keyvault certificate download --file
                                 [--encoding {DER, PEM}]
                                 [--id]
                                 [--name]
                                 [--subscription]
                                 [--vault-name]
                                 [--version]

有关详细信息,请查看示例和参数定义

作为证书下载意味着获取公共部分。 如果同时需要私钥和公共元数据,可以将其作为机密下载。

az keyvault secret download --file {nameofcert.pfx}
                            [--encoding {ascii, base64, hex, utf-16be, utf-16le, utf-8}]
                            [--id]
                            [--name]
                            [--subscription]
                            [--vault-name]
                            [--version]

有关详细信息,请参阅参数定义

了解详细信息