Quickstart: Een certificaat instellen en ophalen uit Azure Key Vault met behulp van Azure PowerShell

In deze quickstart maakt u een sleutelkluis in Azure Key Vault met behulp van Azure PowerShell. Azure Key Vault is een cloudservice die werkt als een beveiligd geheimenarchief. U kunt veilig sleutels, wachtwoorden, certificaten en andere geheime informatie opslaan. Raadpleeg het Overzicht voor meer informatie over Key Vault. Azure PowerShell wordt gebruikt voor het maken en beheren van Azure-resources met behulp van opdrachten of scripts. Daarna slaat u een certificaat op.

Vereisten

Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.

Een brongroep maken

Een resourcegroep is een logische container waarin Azure-resources worden geïmplementeerd en beheerd. Gebruik de Cmdlet New-AzResourceGroup van Azure PowerShell om een resourcegroep met de naam myResourceGroup te maken op de locatie eastus.

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

Maak een sleutelkluis.

Gebruik de Azure PowerShell New-AzKeyVault-cmdlet om een Key Vault te maken in de resourcegroep uit de vorige stap. U moet enkele gegevens opgeven:

  • Sleutelkluisnaam: een tekenreeks van 3 tot 24 tekens die alleen cijfers (0-9), letters (a-z, A-Z) en afbreekstreepjes (-) mogen bevatten

    Belangrijk

    Elke sleutelkluis moet een unieke naam hebben. Vervang <vault-name> door de naam van uw sleutelkluis in de volgende voorbeelden.

  • Naam van resourcegroep: myResourceGroup

  • De locatie: EASTUS

New-AzKeyVault -Name "<vault-name>" -ResourceGroupName "myResourceGroup" -Location "EastUS" -EnableRbacAuthorization $true -EnablePurgeProtection

Opmerking

Opschoonbeveiliging is een best practice voor Key Vault-beveiliging.

De uitvoer van deze cmdlet toont eigenschappen van de nieuw aangemaakte sleutelkluis. Noteer deze twee eigenschappen:

  • Kluisnaam: de naam die u hebt opgegeven voor de parameter -Name.
  • Kluis-URI: In dit voorbeeld is https://<vault-name>.vault.azure.net/de kluis-URI. Toepassingen die via de REST API gebruikmaken van uw kluis, moeten deze URI gebruiken.

Vanaf dit punt is uw Azure-account nu als enige gemachtigd om bewerkingen op deze nieuwe kluis uit te voeren.

Geef uw gebruikersaccount machtigingen voor het beheren van certificaten in Key Vault

Als u machtigingen wilt verkrijgen voor uw sleutelkluis via op rollen gebaseerd toegangsbeheer (RBAC), wijst u een rol toe aan uw UPN (User Principal Name) met behulp van de Azure PowerShell-cmdlet New-AzRoleAssignment.

New-AzRoleAssignment -SignInName "<upn>" -RoleDefinitionName "Key Vault Certificates Officer" -Scope "/subscriptions/<subscription-id>/resourceGroups/myResourceGroup/providers/Microsoft.KeyVault/vaults/<vault-name>"

Vervang , <upn>en <subscription-id> door <vault-name>uw werkelijke waarden. Als u een andere resourcegroepnaam hebt gebruikt, vervangt u myResourceGroup ook. Uw UPN heeft doorgaans de indeling van een e-mailadres (bijvoorbeeld username@domain.com).

Een certificaat toevoegen aan Key Vault

U kunt nu een certificaat toevoegen aan de kluis. Dit certificaat kan worden gebruikt door een toepassing.

Gebruik deze opdrachten om een zelfondertekend certificaat te maken met beleid met de naam ExampleCertificate :

Opmerking

In deze quickstart wordt een zelfondertekend certificaat gemaakt voor demonstratiedoeleinden. Integreer voor productieworkloads Key Vault met een vertrouwde certificeringsinstantie. Zie Secure your Azure Key Vault certificates.

$Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=<domain-name>" -IssuerName "Self" -ValidityInMonths 6 -ReuseKeyOnRenewal

Add-AzKeyVaultCertificate -VaultName "<vault-name>" -Name "ExampleCertificate" -CertificatePolicy $Policy

U kunt nu verwijzen naar dit certificaat dat u aan Azure Key Vault hebt toegevoegd met behulp van de bijbehorende URI. Gebruik https://<vault-name>.vault.azure.net/certificates/ExampleCertificate om de huidige versie op te halen.

Een eerder opgeslagen certificaat weergeven:

Get-AzKeyVaultCertificate -VaultName "<vault-name>" -Name "ExampleCertificate"

Problemen oplossen:

De bewerking heeft een ongeldige statuscode 'Verboden' geretourneerd

Als u deze fout krijgt, beschikt het account dat toegang heeft tot Azure Key Vault niet over de juiste machtigingen om certificaten te maken.

Voer de volgende Azure PowerShell-opdracht uit om de juiste RBAC-rol toe te wijzen:

New-AzRoleAssignment -SignInName <user-principal-name> -RoleDefinitionName "Key Vault Certificates Officer" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.KeyVault/vaults/<vault-name>"

Resources opschonen

Andere snelstartgidsen en zelfstudies in deze verzameling zijn gebaseerd op deze snelstartgids. Als u van plan bent om verder te gaan met andere snelstarts en zelfstudies, kunt u deze resources intact laten.

Wanneer u de cmdlet Azure PowerShell Remove-AzResourceGroup niet meer nodig hebt, kunt u de resourcegroep en alle gerelateerde resources verwijderen.

Remove-AzResourceGroup -Name "myResourceGroup"

Opmerking

Als u de resourcegroep verwijdert, wordt ook de sleutelkluis verwijderd, maar de kluis krijgt vervolgens de status Voorlopig verwijderd en blijft gedurende de bewaarperiode (standaard 90 dagen) herstelbaar. De naam van de kluis blijft gedurende die periode wereldwijd gereserveerd en, omdat beveiliging tegen definitief verwijderen is ingeschakeld, kan de kluis niet eerder definitief worden verwijderd. Voor standaardsleutelkluizen worden er geen kosten in rekening gebracht voor voorlopig verwijderde kluizen. Zie Overzicht van voorlopig verwijderen in Key Vault voor meer informatie.

Volgende stappen

In deze quickstart hebt u een Key Vault gemaakt en daar een certificaat in opgeslagen. Voor meer informatie over Key Vault en hoe u Key Vault integreert met uw toepassingen gaat u verder naar de artikelen hieronder.

  • Last updated on