Certificados de exportação do Azure Key Vault

Aprenda a exportar certificados do Azure Key Vault. Pode exportar certificados usando o Azure CLI, Azure PowerShell ou o portal Azure.

Sobre certificados do Azure Key Vault

O Azure Key Vault permite-lhe provisionar, gerir e implementar certificados digitais facilmente para a sua rede. Também permite comunicações seguras para aplicações. Consulte os certificados Azure Key Vault para mais informações.

Composição de um certificado

Quando um certificado de Cofre de Chaves é criado, são criadas uma chave endereçável e um segredo com o mesmo nome. A chave do Cofre de Chaves permite operações de chaves. O segredo do Key Vault permite obter o valor do certificado como um segredo. Um certificado Key Vault também contém metadados públicos do certificado x509. Consulte Composição de um certificado para mais informações.

Chaves exportáveis e não exportáveis

Depois de criar um certificado Key Vault, pode recuperá-lo do segredo endereçável com a chave privada. Recupere o certificado em formato PFX ou PEM.

Exportável: A política usada para criar o certificado indica que a chave é exportável.
Não exportável: A política usada para criar o certificado indica que a chave é não exportável. Neste caso, a chave privada não faz parte do valor quando é recuperada como um segredo.

Tipos de chaves suportados: RSA, RSA-HSM, EC, EC-HSM, oct ( listado aqui) Exportável só é permitido com chaves RSA e EC. As chaves HSM seriam não exportáveis.

Para mais informações, consulte Sobre os certificados Azure Key Vault.

Exportar certificados armazenados

Pode exportar certificados armazenados no Azure Key Vault usando o Azure CLI, Azure PowerShell ou o portal Azure.

Observação

Só precisa de uma palavra-passe do certificado quando importar o certificado no cofre de chaves. O Key Vault não guarda a palavra-passe associada. Quando exportas o certificado, a palavra-passe fica em branco.

Azure CLI
PowerShell
Portal

Use o seguinte comando na CLI do Azure para descarregar a parte pública de um certificado do Key Vault.

az keyvault certificate download --file
                                 [--encoding {DER, PEM}]
                                 [--id]
                                 [--name]
                                 [--subscription]
                                 [--vault-name]
                                 [--version]

Veja exemplos e definições de parâmetros para mais informações.

Quando descarregas como certificado, recebes a parte pública. Se quiseres tanto a chave privada como os metadados públicos, descarrega-os como secretos.

az keyvault secret download --file {nameofcert.pfx}
                            [--encoding {ascii, base64, hex, utf-16be, utf-16le, utf-8}]
                            [--id]
                            [--name]
                            [--subscription]
                            [--vault-name]
                            [--version]

Para mais informações, consulte definições de parâmetros.

Use este comando no Azure PowerShell para obter um certificado do seu cofre de chaves. Para descarregar o certificado como ficheiro PFX, execute o seguinte comando. Estes comandos acedem ao SecretId e depois guardam o conteúdo como ficheiro PFX.

$vaultName = '<vault-name>'
$certificateName = '<certificate-name>'
$password = '<password>'

$pfxSecret = Get-AzKeyVaultSecret -VaultName $vaultName -Name $certificateName -AsPlainText
$certBytes = [Convert]::FromBase64String($pfxSecret)

# Write to a file
Set-Content -Path cert.pfx -Value $certBytes -AsByteStream

Este comando exporta toda a cadeia de certificados com chave privada (ou seja, a mesma em que foi importada). O certificado é protegido por senha.

Para mais informações sobre o comando e parâmetros Get-AzKeyVaultCertificate , veja Get-AzKeyVaultCertificate - Exemplo 2.

Ler mais

Vários tipos e definições de ficheiros de certificados

Comentários

Esta página foi útil?

Last updated on 2026-03-27