你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

az keyvault certificate

管理证书。

命令

名称 说明 类型 Status
az keyvault certificate backup

备份指定的证书。

核心 GA
az keyvault certificate contact

管理证书管理的联系人。

核心 GA
az keyvault certificate contact add

将联系人添加到指定的保管库,以接收证书操作通知。

核心 GA
az keyvault certificate contact delete

从指定的保管库中删除证书联系人。

核心 GA
az keyvault certificate contact list

列出指定密钥保管库的证书联系人。

核心 GA
az keyvault certificate create

创建密钥库证书。

核心 GA
az keyvault certificate delete

从指定的密钥保管库中删除证书。

核心 已放弃
az keyvault certificate download

下载密钥库证书的公共部分。

核心 GA
az keyvault certificate get-default-policy

获取自签名证书的默认策略。

核心 GA
az keyvault certificate import

将证书导入 KeyVault。

核心 GA
az keyvault certificate issuer

管理证书颁发者信息。

核心 GA
az keyvault certificate issuer admin

管理证书颁发者的管理员信息。

核心 GA
az keyvault certificate issuer admin add

为指定的证书颁发者添加管理员详细信息。

核心 GA
az keyvault certificate issuer admin delete

删除指定证书颁发者的管理员详细信息。

核心 GA
az keyvault certificate issuer admin list

列出指定证书颁发者的管理员。

核心 GA
az keyvault certificate issuer create

创建证书颁发者记录。

核心 GA
az keyvault certificate issuer delete

删除指定的证书颁发者。

核心 GA
az keyvault certificate issuer list

列出密钥保管库的证书颁发者的属性。

核心 GA
az keyvault certificate issuer show

获取指定的证书颁发者。

核心 GA
az keyvault certificate issuer update

更新证书颁发者记录。

核心 GA
az keyvault certificate list

列出指定密钥保管库中的证书。

核心 GA
az keyvault certificate list-deleted

列出当前可恢复的已删除证书。

核心 GA
az keyvault certificate list-versions

列出证书的版本。

核心 GA
az keyvault certificate pending

管理挂起的证书创建操作。

核心 GA
az keyvault certificate pending delete

删除特定证书的创建操作。

核心 GA
az keyvault certificate pending merge

将证书或证书链与服务器上现有的密钥对合并。

核心 GA
az keyvault certificate pending show

获取证书的创建操作。

核心 GA
az keyvault certificate purge

永久删除指定的已删除证书。

核心 GA
az keyvault certificate recover

将已删除的证书恢复到其最新版本。

核心 GA
az keyvault certificate restore

将备份的证书还原到保管库。

核心 GA
az keyvault certificate set-attributes

更新与给定证书关联的指定属性。

核心 GA
az keyvault certificate show

获取有关证书的信息。

核心 GA
az keyvault certificate show-deleted

获取已删除的证书。

核心 GA

az keyvault certificate backup

备份指定的证书。

请求将指定证书的备份下载到客户端。 将下载证书的所有版本。 此操作需要证书/备份权限。

az keyvault certificate backup --file
                               [--id]
                               [--name]
                               [--vault-name]

必需参数

--file -f

用于存储证书备份的本地文件路径。

可选参数

--id

证书的 ID。 如果指定了所有其他“Id”参数,则应省略。

--name -n

证书的名称。 如果未指定 --id,则为必需。

--vault-name

密钥库的名称。 如果未指定 --id,则为必需。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault certificate create

创建密钥库证书。

证书可用作预配虚拟机的机密。

az keyvault certificate create --name
                               --policy
                               --vault-name
                               [--disabled {false, true}]
                               [--tags]
                               [--validity]

示例

使用默认策略创建自签名证书,并将其添加到虚拟机。

az keyvault certificate create --vault-name vaultname -n cert1 \
  -p "$(az keyvault certificate get-default-policy)"

secrets=$(az keyvault secret list-versions --vault-name vaultname \
  -n cert1 --query "[?attributes.enabled].id" -o tsv)

vm_secrets=$(az vm secret format -s "$secrets")

az vm create -g group-name -n vm-name --admin-username deploy  \
  --image Debian11 --secrets "$vm_secrets"

必需参数

--name -n

证书的名称。

--policy -p

JSON 编码的策略定义。 使用 @{file} 从文件加载(例如 @my_policy.json)。

--vault-name

保管库的名称。

可选参数

--disabled

创建处于禁用状态的证书。

接受的值: false, true
--tags

空格分隔标记:key[=value] [key[=value] ...]。使用“”清除现有标记。

--validity

证书有效的月数。 重写使用 --policy/-p 指定的值。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault certificate delete

已放弃

警告! 如果在此密钥保管库上启用了软删除保护,此证书将移动到软删除状态。 在从软删除状态中清除证书之前,将无法在此密钥保管库中创建同名的证书。 有关其他指南,请参阅以下文档。 https://docs.microsoft.com/azure/key-vault/general/soft-delete-overview

从指定的密钥保管库中删除证书。

删除证书对象的所有版本及其关联的策略。 删除证书不能用于删除证书对象的单个版本。 此操作需要证书/删除权限。

az keyvault certificate delete [--id]
                               [--name]
                               [--vault-name]

可选参数

--id

证书的 ID。 如果指定了所有其他“Id”参数,则应省略。

--name -n

证书的名称。 如果未指定 --id,则为必需。

--vault-name

密钥库的名称。 如果未指定 --id,则为必需。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault certificate download

下载密钥库证书的公共部分。

格式化为 PEM 或 DER 的证书。 PEM 是默认值。

az keyvault certificate download --file
                                 [--encoding {DER, PEM}]
                                 [--id]
                                 [--name]
                                 [--vault-name]
                                 [--version]

示例

将证书下载为 PEM,并在 openssl 中检查其指纹。

az keyvault certificate download --vault-name vault -n cert-name -f cert.pem && \
openssl x509 -in cert.pem -inform PEM  -noout -sha1 -fingerprint

将证书下载为 DER,并在 openssl 中检查其指纹。

az keyvault certificate download --vault-name vault -n cert-name -f cert.crt -e DER && \
openssl x509 -in cert.crt -inform DER  -noout -sha1 -fingerprint

必需参数

--file -f

用于接收二进制证书内容的文件。

可选参数

--encoding -e

证书的编码。 DER 将创建二进制 DER 格式 x509 证书,PEM 将创建 base64 PEM x509 证书。

接受的值: DER, PEM
默认值: PEM
--id

证书的 ID。 如果指定了所有其他“Id”参数,则应省略。

--name -n

证书的名称。 如果未指定 --id,则为必需。

--vault-name

密钥库的名称。 如果未指定 --id,则为必需。

--version -v

证书版本。 如果省略,请使用最新版本。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault certificate get-default-policy

获取自签名证书的默认策略。

此默认策略可以与创建自签名证书结合使用 az keyvault create 。 默认策略还可以用作创建派生策略的起点。

有关详细信息,请参阅 https://docs.microsoft.com/azure/key-vault/certificates/about-certificates#certificate-policy

az keyvault certificate get-default-policy [--scaffold]

示例

使用默认策略创建自签名证书

az keyvault certificate create --vault-name vaultname -n cert1 \
  -p "$(az keyvault certificate get-default-policy)"

可选参数

--scaffold

创建具有默认值的完全格式的策略结构。

默认值: False
全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault certificate import

将证书导入 KeyVault。

证书还可以用作预配虚拟机中的机密。

az keyvault certificate import --file
                               --name
                               --vault-name
                               [--disabled {false, true}]
                               [--password]
                               [--policy]
                               [--tags]

示例

使用证书创建服务主体,将证书添加到密钥库,并使用该证书预配 VM。

service_principal=$(az ad sp create-for-rbac --create-cert)

cert_file=$(echo $service_principal | jq .fileWithCertAndPrivateKey -r)

az keyvault create -g my-group -n vaultname

az keyvault certificate import --vault-name vaultname -n cert_name -f cert_file

secrets=$(az keyvault secret list-versions --vault-name vaultname \
  -n cert1 --query "[?attributes.enabled].id" -o tsv)

vm_secrets=$(az vm secret format -s "$secrets")

az vm create -g group-name -n vm-name --admin-username deploy  \
  --image Debian11 --secrets "$vm_secrets"

必需参数

--file -f

包含证书和私钥的 PKCS12 文件或 PEM 文件。

--name -n

证书的名称。

--vault-name

保管库的名称。

可选参数

--disabled

导入处于禁用状态的证书。

接受的值: false, true
--password

如果证书中的私钥已加密,则用于加密的密码。

--policy -p

JSON 编码的策略定义。 使用 @{file} 从文件加载(例如 @my_policy.json)。

--tags

空格分隔标记:key[=value] [key[=value] ...]。使用“”清除现有标记。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault certificate list

列出指定密钥保管库中的证书。

GetCertificates 操作返回指定密钥保管库中的证书资源集。 此操作需要证书/列表权限。

az keyvault certificate list [--id]
                             [--include-pending {false, true}]
                             [--maxresults]
                             [--vault-name]

可选参数

--id

保管库的完整 URI。 如果指定了所有其他“Id”参数,则应省略。

--include-pending

指定是否包含未完全预配的证书。

接受的值: false, true
--maxresults

在页面中返回的最大结果数。 如果未指定,服务将返回最多 25 个结果。

--vault-name

密钥库的名称。 如果未指定 --id,则为必需。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault certificate list-deleted

列出当前可恢复的已删除证书。

仅当保管库已启用软删除时,才可能。 需要证书/获取/列出权限。 检索当前保管库中的证书,这些证书处于已删除状态并已准备好恢复或清除。 此操作包括特定于删除的信息。

az keyvault certificate list-deleted [--id]
                                     [--include-pending {false, true}]
                                     [--maxresults]
                                     [--vault-name]

可选参数

--id

保管库的完整 URI。 如果指定了所有其他“Id”参数,则应省略。

--include-pending

指定是否包含未完全预配的证书。

接受的值: false, true
--maxresults

在页面中返回的最大结果数。 如果未指定,服务将返回最多 25 个结果。

--vault-name

密钥库的名称。 如果未指定 --id,则为必需。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault certificate list-versions

列出证书的版本。

GetCertificateVersions 操作返回指定密钥保管库中证书的版本。 此操作需要证书/列表权限。

az keyvault certificate list-versions [--id]
                                      [--maxresults]
                                      [--name]
                                      [--vault-name]

可选参数

--id

证书的 ID。 如果指定了所有其他“Id”参数,则应省略。

--maxresults

在页面中返回的最大结果数。 如果未指定,服务将返回最多 25 个结果。

--name -n

证书的名称。 如果未指定 --id,则为必需。

--vault-name

密钥库的名称。 如果未指定 --id,则为必需。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault certificate purge

永久删除指定的已删除证书。

PurgeDeletedCertificate 操作对指定的证书执行不可逆删除操作,且无法恢复。 如果恢复级别未指定“可清除”,则此操作不可用。 此操作需要证书/清除权限。

az keyvault certificate purge [--id]
                              [--name]
                              [--vault-name]

可选参数

--id

证书的恢复 ID。 如果指定了所有其他“Id”参数,则应省略。

--name -n

证书的名称。 如果未指定 --id,则为必需。

--vault-name

保管库的名称。 如果未指定 --id,则为必需。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault certificate recover

将已删除的证书恢复到其最新版本。

只能在启用了软删除的保管库中实现。 需要证书/恢复权限。 此方法返回密钥库已开始恢复证书。 恢复可能需要几秒钟时间。 因此,此方法返回一个轮询程序,使你能够等待恢复完成。 仅当想要立即在另一个操作中使用恢复的证书时,才需要等待。

az keyvault certificate recover [--id]
                                [--name]
                                [--vault-name]

可选参数

--id

证书的恢复 ID。 如果指定了所有其他“Id”参数,则应省略。

--name -n

证书的名称。 如果未指定 --id,则为必需。

--vault-name

保管库的名称。 如果未指定 --id,则为必需。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault certificate restore

将备份的证书还原到保管库。

将备份的证书及其所有版本还原到保管库。 此操作需要证书/还原权限。

az keyvault certificate restore --file
                                [--vault-name]

必需参数

--file -f

从中还原证书的本地证书备份。

可选参数

--vault-name

密钥库的名称。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault certificate set-attributes

更新与给定证书关联的指定属性。

UpdateCertificate 操作对给定证书应用指定的更新;更新的唯一元素是证书的属性。 此操作需要证书/更新权限。

az keyvault certificate set-attributes [--enabled {false, true}]
                                       [--id]
                                       [--name]
                                       [--policy]
                                       [--tags]
                                       [--vault-name]
                                       [--version]

可选参数

--enabled

启用证书。

接受的值: false, true
--id

证书的 ID。 如果指定了所有其他“Id”参数,则应省略。

--name -n

证书的名称。 如果未指定 --id,则为必需。

--policy -p

JSON 编码的策略定义。 使用 @{file} 从文件加载(例如 @my_policy.json)。

--tags

空格分隔标记:key[=value] [key[=value] ...]。使用“”清除现有标记。

--vault-name

密钥库的名称。 如果未指定 --id,则为必需。

--version -v

证书版本。 如果省略,请使用最新版本。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault certificate show

获取有关证书的信息。

获取有关特定证书的信息。 此操作需要证书/获取权限。

az keyvault certificate show [--id]
                             [--name]
                             [--vault-name]
                             [--version]

可选参数

--id

证书的 ID。 如果指定了所有其他“Id”参数,则应省略。

--name -n

证书的名称。 如果未指定 --id,则为必需。

--vault-name

密钥库的名称。 如果未指定 --id,则为必需。

--version -v

证书版本。 如果省略,请使用最新版本。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。

az keyvault certificate show-deleted

获取已删除的证书。

只能在启用了软删除的保管库中实现。 需要证书/获取权限。 检索已删除的证书信息及其属性,例如保留间隔、计划的永久删除和当前删除恢复级别。

az keyvault certificate show-deleted [--id]
                                     [--name]
                                     [--vault-name]

可选参数

--id

证书的恢复 ID。 如果指定了所有其他“Id”参数,则应省略。

--name -n

证书的名称。 如果未指定 --id,则为必需。

--vault-name

保管库的名称。 如果未指定 --id,则为必需。

全局参数
--debug

提高日志记录详细程度以显示所有调试日志。

--help -h

显示此帮助消息并退出。

--only-show-errors

只显示错误,取消显示警告。

--output -o

输出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
默认值: json
--query

JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/

--subscription

订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。

--verbose

提高日志记录详细程度。 使用 --debug 获取完整的调试日志。