你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
az keyvault certificate
管理证书。
命令
az keyvault certificate backup
备份指定的证书。
请求将指定证书的备份下载到客户端。 将下载证书的所有版本。 此操作需要证书/备份权限。
az keyvault certificate backup --file
[--id]
[--name]
[--vault-name]
必需参数
用于存储证书备份的本地文件路径。
可选参数
证书的 ID。 如果指定了所有其他“Id”参数,则应省略。
证书的名称。 如果未指定 --id,则为必需。
密钥库的名称。 如果未指定 --id,则为必需。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID
配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az keyvault certificate create
创建密钥库证书。
证书可用作预配虚拟机的机密。
az keyvault certificate create --name
--policy
--vault-name
[--disabled {false, true}]
[--tags]
[--validity]
示例
使用默认策略创建自签名证书,并将其添加到虚拟机。
az keyvault certificate create --vault-name vaultname -n cert1 \
-p "$(az keyvault certificate get-default-policy)"
secrets=$(az keyvault secret list-versions --vault-name vaultname \
-n cert1 --query "[?attributes.enabled].id" -o tsv)
vm_secrets=$(az vm secret format -s "$secrets")
az vm create -g group-name -n vm-name --admin-username deploy \
--image Debian11 --secrets "$vm_secrets"
必需参数
证书的名称。
JSON 编码的策略定义。 使用 @{file} 从文件加载(例如 @my_policy.json)。
保管库的名称。
可选参数
创建处于禁用状态的证书。
空格分隔标记:key[=value] [key[=value] ...]。使用“”清除现有标记。
证书有效的月数。 重写使用 --policy/-p 指定的值。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID
配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az keyvault certificate delete
警告! 如果在此密钥保管库上启用了软删除保护,此证书将移动到软删除状态。 在从软删除状态中清除证书之前,将无法在此密钥保管库中创建同名的证书。 有关其他指南,请参阅以下文档。 https://docs.microsoft.com/azure/key-vault/general/soft-delete-overview
从指定的密钥保管库中删除证书。
删除证书对象的所有版本及其关联的策略。 删除证书不能用于删除证书对象的单个版本。 此操作需要证书/删除权限。
az keyvault certificate delete [--id]
[--name]
[--vault-name]
可选参数
证书的 ID。 如果指定了所有其他“Id”参数,则应省略。
证书的名称。 如果未指定 --id,则为必需。
密钥库的名称。 如果未指定 --id,则为必需。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID
配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az keyvault certificate download
下载密钥库证书的公共部分。
格式化为 PEM 或 DER 的证书。 PEM 是默认值。
az keyvault certificate download --file
[--encoding {DER, PEM}]
[--id]
[--name]
[--vault-name]
[--version]
示例
将证书下载为 PEM,并在 openssl 中检查其指纹。
az keyvault certificate download --vault-name vault -n cert-name -f cert.pem && \
openssl x509 -in cert.pem -inform PEM -noout -sha1 -fingerprint
将证书下载为 DER,并在 openssl 中检查其指纹。
az keyvault certificate download --vault-name vault -n cert-name -f cert.crt -e DER && \
openssl x509 -in cert.crt -inform DER -noout -sha1 -fingerprint
必需参数
用于接收二进制证书内容的文件。
可选参数
证书的编码。 DER 将创建二进制 DER 格式 x509 证书,PEM 将创建 base64 PEM x509 证书。
证书的 ID。 如果指定了所有其他“Id”参数,则应省略。
证书的名称。 如果未指定 --id,则为必需。
密钥库的名称。 如果未指定 --id,则为必需。
证书版本。 如果省略,请使用最新版本。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID
配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az keyvault certificate get-default-policy
获取自签名证书的默认策略。
此默认策略可以与创建自签名证书结合使用 az keyvault create
。
默认策略还可以用作创建派生策略的起点。
有关详细信息,请参阅 https://docs.microsoft.com/azure/key-vault/certificates/about-certificates#certificate-policy 。
az keyvault certificate get-default-policy [--scaffold]
示例
使用默认策略创建自签名证书
az keyvault certificate create --vault-name vaultname -n cert1 \
-p "$(az keyvault certificate get-default-policy)"
可选参数
创建具有默认值的完全格式的策略结构。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID
配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az keyvault certificate import
将证书导入 KeyVault。
证书还可以用作预配虚拟机中的机密。
az keyvault certificate import --file
--name
--vault-name
[--disabled {false, true}]
[--password]
[--policy]
[--tags]
示例
使用证书创建服务主体,将证书添加到密钥库,并使用该证书预配 VM。
service_principal=$(az ad sp create-for-rbac --create-cert)
cert_file=$(echo $service_principal | jq .fileWithCertAndPrivateKey -r)
az keyvault create -g my-group -n vaultname
az keyvault certificate import --vault-name vaultname -n cert_name -f cert_file
secrets=$(az keyvault secret list-versions --vault-name vaultname \
-n cert1 --query "[?attributes.enabled].id" -o tsv)
vm_secrets=$(az vm secret format -s "$secrets")
az vm create -g group-name -n vm-name --admin-username deploy \
--image Debian11 --secrets "$vm_secrets"
必需参数
包含证书和私钥的 PKCS12 文件或 PEM 文件。
证书的名称。
保管库的名称。
可选参数
导入处于禁用状态的证书。
如果证书中的私钥已加密,则用于加密的密码。
JSON 编码的策略定义。 使用 @{file} 从文件加载(例如 @my_policy.json)。
空格分隔标记:key[=value] [key[=value] ...]。使用“”清除现有标记。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID
配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az keyvault certificate list
列出指定密钥保管库中的证书。
GetCertificates 操作返回指定密钥保管库中的证书资源集。 此操作需要证书/列表权限。
az keyvault certificate list [--id]
[--include-pending {false, true}]
[--maxresults]
[--vault-name]
可选参数
保管库的完整 URI。 如果指定了所有其他“Id”参数,则应省略。
指定是否包含未完全预配的证书。
在页面中返回的最大结果数。 如果未指定,服务将返回最多 25 个结果。
密钥库的名称。 如果未指定 --id,则为必需。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID
配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az keyvault certificate list-deleted
列出当前可恢复的已删除证书。
仅当保管库已启用软删除时,才可能。 需要证书/获取/列出权限。 检索当前保管库中的证书,这些证书处于已删除状态并已准备好恢复或清除。 此操作包括特定于删除的信息。
az keyvault certificate list-deleted [--id]
[--include-pending {false, true}]
[--maxresults]
[--vault-name]
可选参数
保管库的完整 URI。 如果指定了所有其他“Id”参数,则应省略。
指定是否包含未完全预配的证书。
在页面中返回的最大结果数。 如果未指定,服务将返回最多 25 个结果。
密钥库的名称。 如果未指定 --id,则为必需。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID
配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az keyvault certificate list-versions
列出证书的版本。
GetCertificateVersions 操作返回指定密钥保管库中证书的版本。 此操作需要证书/列表权限。
az keyvault certificate list-versions [--id]
[--maxresults]
[--name]
[--vault-name]
可选参数
证书的 ID。 如果指定了所有其他“Id”参数,则应省略。
在页面中返回的最大结果数。 如果未指定,服务将返回最多 25 个结果。
证书的名称。 如果未指定 --id,则为必需。
密钥库的名称。 如果未指定 --id,则为必需。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID
配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az keyvault certificate purge
永久删除指定的已删除证书。
PurgeDeletedCertificate 操作对指定的证书执行不可逆删除操作,且无法恢复。 如果恢复级别未指定“可清除”,则此操作不可用。 此操作需要证书/清除权限。
az keyvault certificate purge [--id]
[--name]
[--vault-name]
可选参数
证书的恢复 ID。 如果指定了所有其他“Id”参数,则应省略。
证书的名称。 如果未指定 --id,则为必需。
保管库的名称。 如果未指定 --id,则为必需。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID
配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az keyvault certificate recover
将已删除的证书恢复到其最新版本。
只能在启用了软删除的保管库中实现。 需要证书/恢复权限。 此方法返回密钥库已开始恢复证书。 恢复可能需要几秒钟时间。 因此,此方法返回一个轮询程序,使你能够等待恢复完成。 仅当想要立即在另一个操作中使用恢复的证书时,才需要等待。
az keyvault certificate recover [--id]
[--name]
[--vault-name]
可选参数
证书的恢复 ID。 如果指定了所有其他“Id”参数,则应省略。
证书的名称。 如果未指定 --id,则为必需。
保管库的名称。 如果未指定 --id,则为必需。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID
配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az keyvault certificate restore
将备份的证书还原到保管库。
将备份的证书及其所有版本还原到保管库。 此操作需要证书/还原权限。
az keyvault certificate restore --file
[--vault-name]
必需参数
从中还原证书的本地证书备份。
可选参数
密钥库的名称。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID
配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az keyvault certificate set-attributes
更新与给定证书关联的指定属性。
UpdateCertificate 操作对给定证书应用指定的更新;更新的唯一元素是证书的属性。 此操作需要证书/更新权限。
az keyvault certificate set-attributes [--enabled {false, true}]
[--id]
[--name]
[--policy]
[--tags]
[--vault-name]
[--version]
可选参数
启用证书。
证书的 ID。 如果指定了所有其他“Id”参数,则应省略。
证书的名称。 如果未指定 --id,则为必需。
JSON 编码的策略定义。 使用 @{file} 从文件加载(例如 @my_policy.json)。
空格分隔标记:key[=value] [key[=value] ...]。使用“”清除现有标记。
密钥库的名称。 如果未指定 --id,则为必需。
证书版本。 如果省略,请使用最新版本。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID
配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az keyvault certificate show
获取有关证书的信息。
获取有关特定证书的信息。 此操作需要证书/获取权限。
az keyvault certificate show [--id]
[--name]
[--vault-name]
[--version]
可选参数
证书的 ID。 如果指定了所有其他“Id”参数,则应省略。
证书的名称。 如果未指定 --id,则为必需。
密钥库的名称。 如果未指定 --id,则为必需。
证书版本。 如果省略,请使用最新版本。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID
配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az keyvault certificate show-deleted
获取已删除的证书。
只能在启用了软删除的保管库中实现。 需要证书/获取权限。 检索已删除的证书信息及其属性,例如保留间隔、计划的永久删除和当前删除恢复级别。
az keyvault certificate show-deleted [--id]
[--name]
[--vault-name]
可选参数
证书的恢复 ID。 如果指定了所有其他“Id”参数,则应省略。
证书的名称。 如果未指定 --id,则为必需。
保管库的名称。 如果未指定 --id,则为必需。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID
配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。