Guia de início rápido: definir e recuperar um certificado do Cofre da Chave do Azure usando o Azure PowerShell

Neste início rápido, você cria um cofre de chaves no Cofre de Chaves do Azure com o Azure PowerShell. O Azure Key Vault é um serviço cloud que funciona como um arquivo de segredos seguro. Pode armazenar chaves, palavras-passe, certificados e outros segredos em segurança. Para obter mais informações sobre o Key Vault, reveja a Descrição Geral. O Azure PowerShell é usado para criar e gerenciar recursos do Azure usando comandos ou scripts. Depois, você armazena um certificado.

Pré-requisitos

Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Criar um grupo de recursos

Um grupo de recursos é um contentor lógico no qual os recursos do Azure são implementados e geridos. Use o cmdlet New-AzResourceGroup do Azure PowerShell para criar um grupo de recursos chamado myResourceGroup na localização eastus.

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

Criar um cofre de chaves

Use o cmdlet New-AzKeyVault do Azure PowerShell para criar um Cofre da Chave no grupo de recursos da etapa anterior. Você precisa fornecer algumas informações:

  • Nome do cofre de chaves: uma cadeia de 3 a 24 caracteres que pode conter apenas números (0-9), letras (a-z, A-Z) e hífenes (-)

    Importante

    Cada cofre de chaves deve ter um nome exclusivo. Substitua <vault-name> pelo nome do seu cofre de chaves nos exemplos seguintes.

  • Nome do grupo de recursos: myResourceGroup

  • A localização: EastUS

New-AzKeyVault -Name "<vault-name>" -ResourceGroupName "myResourceGroup" -Location "EastUS" -EnableRbacAuthorization $true -EnablePurgeProtection

Observação

A proteção contra purgas é uma boa prática de segurança Key Vault.

O resultado deste cmdlet mostra as propriedades do novo cofre de chaves. Tome nota destas duas propriedades:

  • Nome do Vault: o nome que forneceu ao parâmetro -Name.
  • URI do Vault: Neste exemplo, o URI do vault é https://<vault-name>.vault.azure.net/. As aplicações que utilizam o cofre através da respetiva API têm de utilizar este URI.

Neste momento, a sua conta do Azure é a única autorizada a realizar quaisquer operações neste novo cofre.

Conceda à sua conta de utilizador permissões para gerir certificados no Cofre da Chave

Para obter permissões para seu cofre de chaves por meio do RBAC (Controle de Acesso Baseado em Função), atribua uma função ao seu "Nome Principal do Usuário" (UPN) usando o cmdlet New-AzRoleAssignment do Azure PowerShell.

New-AzRoleAssignment -SignInName "<upn>" -RoleDefinitionName "Key Vault Certificates Officer" -Scope "/subscriptions/<subscription-id>/resourceGroups/myResourceGroup/providers/Microsoft.KeyVault/vaults/<vault-name>"

Substitua <upn>, <subscription-id>, e <vault-name> pelos seus valores reais. Se usaste um nome diferente de grupo de recursos, substitui também "myResourceGroup". Seu UPN normalmente estará no formato de um endereço de e-mail (por exemplo, username@domain.com).

Adicionar um certificado ao Azure Key Vault

Agora pode adicionar um certificado ao cofre. Este certificado pode ser utilizado por uma aplicação.

Use estes comandos para criar um certificado autoassinado com a política chamada ExampleCertificate :

Observação

Este quickstart cria um certificado autoassinado para fins de demonstração. Para cargas de trabalho em produção, integre o Key Vault com uma autoridade de certificação de confiança. Veja Assegure os seus certificados de Azure Key Vault.

$Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=<domain-name>" -IssuerName "Self" -ValidityInMonths 6 -ReuseKeyOnRenewal

Add-AzKeyVaultCertificate -VaultName "<vault-name>" -Name "ExampleCertificate" -CertificatePolicy $Policy

Agora você pode fazer referência a esse certificado que adicionou ao Cofre da Chave do Azure usando seu URI. Utilize https://<vault-name>.vault.azure.net/certificates/ExampleCertificate para obter a versão atual.

Para visualizar o certificado armazenado anteriormente:

Get-AzKeyVaultCertificate -VaultName "<vault-name>" -Name "ExampleCertificate"

Resolução de problemas:

A operação devolveu um código de estado inválido 'Proibido'

Se você receber esse erro, a conta que acessa o Cofre da Chave do Azure não tem as permissões adequadas para criar certificados.

Execute o seguinte comando Azure PowerShell para atribuir o papel RBAC correto:

New-AzRoleAssignment -SignInName <user-principal-name> -RoleDefinitionName "Key Vault Certificates Officer" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.KeyVault/vaults/<vault-name>"

Limpar recursos

Outros guias de iniciação rápida e tutoriais desta coleção baseiam-se neste guia de iniciação rápida. Se tencionar continuar a trabalhar com outros tutoriais e guias de início rápido, pode optar por manter esses recursos no local.

Quando não for mais necessário, você poderá usar o cmdlet Azure PowerShell Remove-AzResourceGroup para remover o grupo de recursos e todos os recursos relacionados.

Remove-AzResourceGroup -Name "myResourceGroup"

Observação

Eliminar o grupo de recursos também elimina o cofre de chaves, mas o cofre entra então num estado de eliminação suave e permanece recuperável durante o período de retenção (90 dias por defeito). O nome do cofre permanece reservado globalmente durante esse período e, como a proteção contra purgas está ativada, o cofre não pode ser purgado antecipadamente. Para cofres de chaves padrão, os cofres eliminados temporariamente não incorrem em custos. Para mais informações, consulte Key Vault visão geral de apagamento suave.

Próximos passos

Neste início rápido, você criou um Cofre da Chave e armazenou um certificado nele. Para saber mais sobre o Key Vault e como integrá-lo com seus aplicativos, continue nos artigos abaixo.

  • Last updated on