快速入门：使用 Azure CLI 在 Azure Key Vault 中设置和检索证书

在本快速入门中，你将使用 Azure CLI 在 Azure Key Vault 中创建一个密钥保管库。 Azure Key Vault 是一项云服务，用作安全的机密存储。 可以安全地存储密钥、密码、证书和其他机密。 有关 Key Vault 的详细信息，可以参阅概述。 Azure CLI 用于通过命令或脚本创建和管理 Azure 资源。 完成该操作后，你将存储证书。

如果没有 Azure 帐户，请在开始前创建一个免费帐户。

先决条件

• 在 Azure Cloud Shell 中使用 Bash 环境。 有关详细信息，请参阅 Azure Cloud Shell 入门。

  

• 如需在本地运行 CLI 参考命令，请安装 Azure CLI。 如果在 Windows 或 macOS 上运行，请考虑在 Docker 容器中运行 Azure CLI。 有关详细信息，请参阅如何在 Docker 容器中运行 Azure CLI。

  • 如果使用的是本地安装，请使用 az login 命令登录到 Azure CLI。 若要完成身份验证过程，请遵循终端中显示的步骤。 有关其他登录选项，请参阅 使用 Azure CLI 向 Azure 进行身份验证。

  • 出现提示时，请在首次使用时安装 Azure CLI 扩展。 有关扩展的详细信息，请参阅 使用和管理 Azure CLI 中的扩展。

  • 运行 az version 以查找安装的版本和依赖库。 若要升级到最新版本，请运行 az upgrade。

• 本快速入门需要 Azure CLI 版本 2.0.4 或更高版本。 如果使用 Azure Cloud Shell，则最新版本已安装。

创建资源组

资源组是在其中部署和管理 Azure 资源的逻辑容器。 使用 az group create 命令在 eastus 位置创建一个名为 myResourceGroup 的资源组 。

az group create --name "myResourceGroup" --___location "EastUS"

创建密钥保管库

使用 Azure CLI az keyvault create 命令在上一步骤的资源组中创建 Key Vault。 需要提供某些信息：

• Key Vault 名称：由 3 到 24 个字符构成的字符串，只能包含数字 (0-9)、字母（a-z、A-Z）和连字符 (-)

  重要

  每个密钥保管库必须具有唯一的名称。 在以下示例中，将 <your-unique-keyvault-name> 替换为密钥保管库的名称。

• 资源组名称：myResourceGroup。

• 位置：EastUS。

az keyvault create --name "<your-unique-keyvault-name>" --resource-group "myResourceGroup"

此命令的输出会显示新建的 Key Vault 的属性。 记下以下两个属性：

• 保管库名称：为 --name 参数提供的名称。
• 保管库 URI：在本示例中，保管库 URI 为 https://<密钥保管库唯一名称>.vault.azure.net/。 通过其 REST API 使用保管库的应用程序必须使用此 URI。

向用户帐户授予管理 Key Vault 中的证书的权限

若要通过基于角色的访问控制 (RBAC) 授予对密钥保管库的权限，请使用 Azure CLI 命令 az role assignment create 将角色分配给你的“用户主体名称”(UPN)。

az role assignment create --role "Key Vault Certificates Officer" --assignee "<upn>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

将 <upn>、<subscription-id>、<resource-group-name> 和 <your-unique-keyvault-name> 替换为你的实际值。 你的 UPN 通常采用电子邮件地址格式（例如 username@___domain.com）。

将证书添加到 Key Vault

若要向保管库中添加证书，只需再执行几个步骤即可。 此证书可供应用程序使用。

键入以下命令，使用名为“ExampleCertificate” 的默认策略创建自签名证书：

az keyvault certificate create --vault-name "<your-unique-keyvault-name>" -n ExampleCertificate -p "$(az keyvault certificate get-default-policy)"

现在，可以通过 URI 来引用已添加到 Azure Key Vault 的此证书。 使用 https://<your-unique-keyvault-name>.vault.azure.net/certificates/ExampleCertificate 获取当前版本。

若要查看以前存储的证书，请使用以下命令：

az keyvault certificate show --name "ExampleCertificate" --vault-name "<your-unique-keyvault-name>"

现在，你已创建了一个密钥保管库，存储了一个证书，并检索了该证书。

清理资源

本系列中的其他快速入门和教程是在本快速入门的基础上制作的。 如果打算继续使用后续的快速入门和教程，则可能需要保留这些资源。

如果不再需要资源组和所有相关的资源，可以使用 Azure CLI az group delete 命令将其删除：

az group delete --name "myResourceGroup"

后续步骤

在本快速入门中，你创建了一个密钥保管库并在其中存储了一个证书。 若要详细了解 Key Vault 以及如何将其与应用程序集成，请继续阅读以下文章。

• 阅读 Azure Key Vault 概述
• 请参阅 Azure CLI az keyvault 命令参考
• 请参阅 Key Vault 安全性概述