你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

适用于 JavaScript 的 Azure Key Vault 证书客户端库 - 版本 4.9.0

Azure Key Vault 是一项云服务，提供在整个云应用程序中使用的安全存储和自动管理证书。 可将多个证书和同一证书的多个版本保存在 Azure Key Vault 中。 保管库中的每个证书都有一个与其关联的策略，用于控制证书的颁发和生存期，以及要作为证书即将到期而执行的操作。

若要详细了解 Azure Key Vault，可能需要查看：什么是 Azure Key Vault？

使用 Node.js 应用程序中 Azure Key Vault 证书的客户端库可以：

• 获取、设置和删除证书。
• 更新证书及其属性、颁发者、策略、操作和联系人。
• 备份和还原证书。
• 获取、清除或恢复已删除的证书。
• 获取证书的所有版本。
• 获取所有证书。
• 获取所有已删除的证书。

注意：由于 Azure Key Vault 服务限制，无法在浏览器中使用此包，请参阅本文档 获取指导 。

关键链接：

• 源代码
• 包 （npm）
• API 参考文档
• 产品文档
• 示例

开始

当前支持的环境

• LTS 版本的 Node.js

先决条件

• Azure 订阅
• 现有的 azure Key Vault 。 如果需要创建密钥保管库，可以按照本文档 中的步骤在 Azure 门户中执行此操作。 或者，按照 这些步骤使用 Azure CLI。

安装包

使用 npm 安装 Azure Key Vault 证书客户端库

npm install @azure/keyvault-certificates

安装标识库

Key Vault 客户端使用 Azure 标识库进行身份验证。 安装它以及使用 npm

npm install @azure/identity

配置 TypeScript

TypeScript 用户需要安装 Node 类型定义：

npm install @types/node

还需要在 tsconfig.json中启用 compilerOptions.allowSyntheticDefaultImports。 请注意，如果已启用 compilerOptions.esModuleInterop，则默认启用 allowSyntheticDefaultImports。 有关详细信息，请参阅 TypeScript 的编译器选项手册。

使用 Azure Active Directory 进行身份验证

Key Vault 服务依赖于 Azure Active Directory 对其 API 的请求进行身份验证。 @azure/identity 包提供了应用程序可用于执行此操作的各种凭据类型。 的 自述文件提供了更多详细信息和示例来帮助你入门。

若要与 Azure Key Vault 服务交互，需要创建 CertificateClient 类的实例、保管库 URL 和凭据对象。 本文档中显示的示例使用名为 DefaultAzureCredential的凭据对象，该对象适用于大多数方案，包括本地开发和生产环境。 此外，我们建议在生产环境中使用 托管标识 进行身份验证。

可以在 Azure 标识文档中找到有关身份验证的不同方式及其相应凭据类型的详细信息。

下面是一个快速示例。 首先，导入 DefaultAzureCredential 和 CertificateClient：

const { DefaultAzureCredential } = require("@azure/identity");
const { CertificateClient } = require("@azure/keyvault-certificates");

导入这些项后，接下来可以连接到 Key Vault 服务：

const { DefaultAzureCredential } = require("@azure/identity");
const { CertificateClient } = require("@azure/keyvault-certificates");

const credential = new DefaultAzureCredential();

// Build the URL to reach your key vault
const vaultName = "<YOUR KEYVAULT NAME>";
const url = `https://${vaultName}.vault.azure.net`;

// Lastly, create our certificates client and connect to the service
const client = new CertificateClient(url, credential);

关键概念

• 证书客户端 是与 JavaScript 应用程序中的证书相关的 API 方法交互的主要接口。 初始化后，它提供可用于创建、读取、更新和删除证书的基本方法集。
• 证书版本 是 Key Vault 中的证书版本。 每当用户向唯一证书名称分配值时，都会创建该证书的新 版本。 除非向查询提供特定版本，否则按名称检索证书将始终返回分配的最新值。
• 软删除 允许 Key Vault 支持删除和清除作为两个单独的步骤，因此删除的证书不会立即丢失。 仅当 Key Vault 已启用软删除 时，才会发生这种情况。
• 可以从任何创建的证书生成 证书备份。 这些备份是二进制数据，只能用于重新生成以前删除的证书。

指定 Azure Key Vault 服务 API 版本

默认情况下，此包使用 7.1的最新 Azure Key Vault 服务版本。 唯一支持的其他版本是 7.0。 可以通过在客户端构造函数中设置选项 serviceVersion 来更改正在使用的服务版本，如下所示：

const { DefaultAzureCredential } = require("@azure/identity");
const { CertificateClient } = require("@azure/keyvault-certificates");

const credential = new DefaultAzureCredential();

const vaultName = "<YOUR KEYVAULT NAME>";
const url = `https://${vaultName}.vault.azure.net`;

// Change the Azure Key Vault service API version being used via the `serviceVersion` option
const client = new CertificateClient(url, credential, {
  serviceVersion: "7.0",
});

例子

以下部分提供了代码片段，这些代码片段涵盖使用 Azure Key Vault 证书执行的某些常见任务。 此处介绍的方案包括：

• 创建和设置证书。
• 获取密钥保管库证书。
• 获取证书的完整信息。
• PEM 格式 证书。
• 列出所有证书。
• 更新证书。
• 删除证书。
• 迭代证书列表。

创建和设置证书

beginCreateCertificate 创建要存储在 Azure Key Vault 中的证书。 如果已存在同名证书，则会创建新版本的证书。

const { DefaultAzureCredential } = require("@azure/identity");
const { CertificateClient } = require("@azure/keyvault-certificates");

const credential = new DefaultAzureCredential();

const vaultName = "<YOUR KEYVAULT NAME>";
const url = `https://${vaultName}.vault.azure.net`;

const client = new CertificateClient(url, credential);

const certificateName = "MyCertificateName";

async function main() {
  // Note: Sending `Self` as the `issuerName` of the certificate's policy will create a self-signed certificate.
  await client.beginCreateCertificate(certificateName, {
    issuerName: "Self",
    subject: "cn=MyCert",
  });
}

main();

除了证书名称和策略的名称外，还可以在具有可选值的第三个参数中传递以下属性：

• enabled：一个布尔值，用于确定是否可以使用证书。
• tags：可用于搜索和筛选证书的任何键值集。

const { DefaultAzureCredential } = require("@azure/identity");
const { CertificateClient } = require("@azure/keyvault-certificates");

const credential = new DefaultAzureCredential();

const vaultName = "<YOUR KEYVAULT NAME>";
const url = `https://${vaultName}.vault.azure.net`;

const client = new CertificateClient(url, credential);

const certificateName = "MyCertificateName";

// Note: Sending `Self` as the `issuerName` of the certificate's policy will create a self-signed certificate.
const certificatePolicy = {
  issuerName: "Self",
  subject: "cn=MyCert",
};
const enabled = true;
const tags = {
  myCustomTag: "myCustomTagsValue",
};

async function main() {
  await client.beginCreateCertificate(certificateName, certificatePolicy, {
    enabled,
    tags,
  });
}

main();

调用同名 beginCreateCertificate 将创建同一证书的新版本，其中包含最新提供的属性。

由于证书需要一些时间才能完全创建，beginCreateCertificate 返回一个轮询器对象，该对象根据我们的准则跟踪基础长时间运行操作：https://azure.github.io/azure-sdk/typescript_design.html#ts-lro

接收的轮询器将允许通过调用 poller.getResult()来获取创建的证书。 还可以等待删除完成，方法是运行单个服务调用，直到证书创建，或者等待进程完成：

const { DefaultAzureCredential } = require("@azure/identity");
const { CertificateClient } = require("@azure/keyvault-certificates");

const credential = new DefaultAzureCredential();

const vaultName = "<YOUR KEYVAULT NAME>";
const url = `https://${vaultName}.vault.azure.net`;

const client = new CertificateClient(url, credential);

const certificateName = "MyCertificateName";
const certificatePolicy = {
  issuerName: "Self",
  subject: "cn=MyCert",
};

async function main() {
  const poller = await client.beginCreateCertificate(certificateName, certificatePolicy);

  // You can use the pending certificate immediately:
  const pendingCertificate = poller.getResult();

  // Or you can wait until the certificate finishes being signed:
  const keyVaultCertificate = await poller.pollUntilDone();
  console.log(keyVaultCertificate);
}

main();

等待证书签名的另一种方法是执行单个调用，如下所示：

const { DefaultAzureCredential } = require("@azure/identity");
const { CertificateClient } = require("@azure/keyvault-certificates");
const { delay } = require("@azure/core-util");

const credential = new DefaultAzureCredential();

const vaultName = "<YOUR KEYVAULT NAME>";
const url = `https://${vaultName}.vault.azure.net`;

const client = new CertificateClient(url, credential);

const certificateName = "MyCertificateName";
const certificatePolicy = {
  issuerName: "Self",
  subject: "cn=MyCert",
};

async function main() {
  const poller = await client.beginCreateCertificate(certificateName, certificatePolicy);

  while (!poller.isDone()) {
    await poller.poll();
    await delay(5000);
  }

  console.log(`The certificate ${certificateName} is fully created`);
}

main();

获取 Key Vault 证书

从保管库中读取证书的最简单方法是按名称获取证书。 getCertificate 将检索最新版本的证书以及证书的策略。 如果指定版本，可以选择通过调用 getCertificateVersion 来获取不同版本的证书。 getCertificateVersion 不返回证书的策略。

const { DefaultAzureCredential } = require("@azure/identity");
const { CertificateClient } = require("@azure/keyvault-certificates");

const credential = new DefaultAzureCredential();

const vaultName = "<YOUR KEYVAULT NAME>";
const url = `https://${vaultName}.vault.azure.net`;

const client = new CertificateClient(url, credential);

const certificateName = "MyCertificateName";

async function main() {
  const latestCertificate = await client.getCertificate(certificateName);
  console.log(`Latest version of the certificate ${certificateName}: `, latestCertificate);
  const specificCertificate = await client.getCertificateVersion(
    certificateName,
    latestCertificate.properties.version
  );
  console.log(
    `The certificate ${certificateName} at the version ${latestCertificate.properties.version}: `,
    specificCertificate
  );
}

main();

获取证书的完整信息

Azure Key Vault 的设计区分密钥、机密和证书。 Key Vault 服务的证书功能是利用其密钥和机密功能设计的。 让我们评估 Key Vault 证书的组合：

创建 Key Vault 证书时，还会创建具有相同名称的可寻址密钥和机密。 Key Vault 密钥允许密钥操作，Key Vault 机密允许将证书值检索为机密。 Key Vault 证书还包含公共 x509 证书元数据。 来源：证书的 构成。

知道私钥存储在 Key Vault 机密中，并包含公共证书，因此可以使用 Key Vault 机密客户端检索它。

// Using the same credential object we used before,
// and the same keyVaultUrl,
// let's create a SecretClient
import { SecretClient } from "@azure/keyvault-secrets";

const secretClient = new SecretClient(keyVaultUrl, credential);

// Assuming you've already created a Key Vault certificate,
// and that certificateName contains the name of your certificate
const certificateSecret = await secretClient.getSecret(certificateName);

// Here we can find both the private key and the public certificate, in PKCS 12 format:
const PKCS12Certificate = certificateSecret.value!;

// You can write this into a file:
fs.writeFileSync("myCertificate.p12", PKCS12Certificate);

请注意，默认情况下，证书的内容类型为 PKCS 12。 通过指定证书的内容类型，可以采用 PEM 格式检索它。 在演示如何创建 PEM 证书之前，让我们先了解如何从 PKCS 12 证书检索 PEM 密钥。

使用 openssl，可以使用以下命令检索 PEM 格式的公共证书：

openssl pkcs12 -in myCertificate.p12 -out myCertificate.crt.pem -clcerts -nokeys

还可以使用 openssl 检索私钥，如下所示：

openssl pkcs12 -in myCertificate.p12 -out myCertificate.key.pem -nocerts -nodes

请注意，在这两种情况下，openssl 都会要求你输入用于创建证书的密码。 到目前为止，我们使用的示例代码尚未指定密码，因此可以将 -passin 'pass:' 追加到每个命令的末尾。

PEM 格式的证书

如果要使用 PEM 格式的证书，可以告知 Azure 的 Key Vault 服务通过在创建证书时提供 contentType 属性，以 PEM 格式创建和管理证书。

以下示例演示如何使用 Key Vault 客户端为证书和机密创建和检索 PEM 格式证书的公共和专用部分：

// Creating the certificate
const certificateName = "MyCertificate";
const createPoller = await client.beginCreateCertificate(certificateName, {
  issuerName: "Self",
  subject: "cn=MyCert",
  contentType: "application/x-pem-file", // Here you specify you want to work with PEM certificates.
});
const keyVaultCertificate = await createPoller.pollUntilDone();

// Getting the PEM formatted private key and public certificate:
const certificateSecret = await secretClient.getSecret(certificateName);
const PEMPair = certificateSecret.value!;

console.log(PEMPair);

请记住，公共证书将位于与私钥相同的内容 blob 中。 可以使用 PEM 标头相应地提取它们。

列出所有证书

listPropertiesOfCertificates 将列出 Key Vault 中的所有证书。

const { DefaultAzureCredential } = require("@azure/identity");
const { CertificateClient } = require("@azure/keyvault-certificates");

const credential = new DefaultAzureCredential();

const vaultName = "<YOUR KEYVAULT NAME>";
const url = `https://${vaultName}.vault.azure.net`;

const client = new CertificateClient(url, credential);

async function main() {
  for await (let certificateProperties of client.listPropertiesOfCertificates()) {
    console.log("Certificate properties: ", certificateProperties);
  }
}

main();

更新证书

证书属性可以更新到具有 updateCertificate的现有证书版本，如下所示：

const { DefaultAzureCredential } = require("@azure/identity");
const { CertificateClient } = require("@azure/keyvault-certificates");

const credential = new DefaultAzureCredential();

const vaultName = "<YOUR KEYVAULT NAME>";
const url = `https://${vaultName}.vault.azure.net`;

const client = new CertificateClient(url, credential);

const certificateName = "MyCertificateName";

async function main() {
  const result = await client.getCertificate(certificateName);
  await client.updateCertificateProperties(certificateName, result.properties.version, {
    enabled: false,
    tags: {
      myCustomTag: "myCustomTagsValue",
    },
  });
}

main();

还可以使用 updateCertificatePolicy单独更新证书的策略，如下所示：

const { DefaultAzureCredential } = require("@azure/identity");
const { CertificateClient } = require("@azure/keyvault-certificates");

const credential = new DefaultAzureCredential();

const vaultName = "<YOUR KEYVAULT NAME>";
const url = `https://${vaultName}.vault.azure.net`;

const client = new CertificateClient(url, credential);

const certificateName = "MyCertificateName";

async function main() {
  const result = client.getCertificate(certificateName);
  // Note: Sending `Self` as the `issuerName` of the certificate's policy will create a self-signed certificate.
  await client.updateCertificatePolicy(certificateName, {
    issuerName: "Self",
    subject: "cn=MyCert",
  });
}

main();

删除证书

beginDeleteCertificate 方法设置要删除的证书。 一旦提供必要的资源，此过程就会在后台进行。

如果为 Key Vault 启用了软删除 ，此操作只会将证书标记为已删除 证书 。 无法更新已删除的证书。 它们只能读取、恢复或清除。

const { DefaultAzureCredential } = require("@azure/identity");
const { CertificateClient } = require("@azure/keyvault-certificates");

const credential = new DefaultAzureCredential();

const vaultName = "<YOUR KEYVAULT NAME>";
const url = `https://${vaultName}.vault.azure.net`;

const client = new CertificateClient(url, credential);

const certificateName = "MyCertificateName";

async function main() {
  const poller = await client.beginDeleteCertificate(certificateName);

  // You can use the deleted certificate immediately:
  const deletedCertificate = poller.getResult();

  // The certificate is being deleted. Only wait for it if you want to restore it or purge it.
  await poller.pollUntilDone();

  // You can also get the deleted certificate this way:
  await client.getDeletedCertificate(certificateName);

  // Deleted certificates can also be recovered or purged.

  // recoverDeletedCertificate returns a poller, just like beginDeleteCertificate.
  // const recoverPoller = await client.beginRecoverDeletedCertificate(certificateName);
  // await recoverPoller.pollUntilDone();

  // If a certificate is done and the Key Vault has soft-delete enabled, the certificate can be purged with:
  await client.purgeDeletedCertificate(certificateName);
}

main();

由于删除证书不会立即发生，因此在调用删除的证书之前调用 beginDeleteCertificate 方法之后，需要一段时间才能读取、恢复或清除已删除的证书。

循环访问证书列表

使用 CertificateClient，可以检索并循环访问证书保管库中的所有证书，以及所有已删除的证书和特定证书的版本。 可以使用以下 API 方法：

• listPropertiesOfCertificates 将按其名称列出所有未删除的证书，仅在其最新版本中列出。
• listDeletedCertificates 将按其名称列出所有已删除的证书，仅按最新版本列出。
• listPropertiesOfCertificateVersions 将基于证书名称列出证书的所有版本。

可按如下所示使用：

const { DefaultAzureCredential } = require("@azure/identity");
const { CertificateClient } = require("@azure/keyvault-certificates");

const credential = new DefaultAzureCredential();

const vaultName = "<YOUR KEYVAULT NAME>";
const url = `https://${vaultName}.vault.azure.net`;

const client = new CertificateClient(url, credential);

const certificateName = "MyCertificateName";

async function main() {
  for await (let certificateProperties of client.listPropertiesOfCertificates()) {
    console.log("Certificate properties: ", certificateProperties);
  }
  for await (let deletedCertificate of client.listDeletedCertificates()) {
    console.log("Deleted certificate: ", deletedCertificate);
  }
  for await (let certificateProperties of client.listPropertiesOfCertificateVersions(
    certificateName
  )) {
    console.log("Certificate properties: ", certificateProperties);
  }
}

main();

所有这些方法将同时返回 所有可用结果。 若要按页面检索它们，请在调用要使用的 API 方法后立即添加 .byPage()，如下所示：

const { DefaultAzureCredential } = require("@azure/identity");
const { CertificateClient } = require("@azure/keyvault-certificates");

const credential = new DefaultAzureCredential();

const vaultName = "<YOUR KEYVAULT NAME>";
const url = `https://${vaultName}.vault.azure.net`;

const client = new CertificateClient(url, credential);

const certificateName = "MyCertificateName";

async function main() {
  for await (let page of client.listPropertiesOfCertificates().byPage()) {
    for (let certificateProperties of page) {
      console.log("Certificate properties: ", certificateProperties);
    }
  }
  for await (let page of client.listDeletedCertificates().byPage()) {
    for (let deletedCertificate of page) {
      console.log("Deleted certificate: ", deletedCertificate);
    }
  }
  for await (let page of client.listPropertiesOfCertificateVersions(certificateName).byPage()) {
    for (let certificateProperties of page) {
      console.log("Properties of certificate: ", certificateProperties);
    }
  }
}

main();

故障 排除

启用日志记录可能有助于发现有关故障的有用信息。 若要查看 HTTP 请求和响应的日志，请将 AZURE_LOG_LEVEL 环境变量设置为 info。 或者，可以通过在 @azure/logger中调用 setLogLevel 在运行时启用日志记录：

import { setLogLevel } from "@azure/logger";

setLogLevel("info");

有关如何诊断各种故障方案的详细信息，请参阅 故障排除指南。

后续步骤

可以通过以下链接查找更多代码示例：

• Key Vault 证书示例 （JavaScript）
• Key Vault 证书示例（TypeScript）
• Key Vault 证书测试用例

贡献

若要参与此库，请阅读 贡献指南 了解有关如何生成和测试代码的详细信息。