Início Rápido: Definir e recuperar um certificado do Azure Key Vault usando o Azure PowerShell

Neste início rápido, você criará um cofre de chaves no Azure Key Vault com o Azure PowerShell. O Azure Key Vault é um serviço de nuvem que funciona como um repositório de segredos seguro. Você pode armazenar chaves, senhas, certificados e outros segredos com segurança. Para saber mais sobre o Key Vault, analise a Visão geral. O Azure PowerShell é usado para criar e gerenciar recursos do Azure usando comandos ou scripts. Posteriormente, você armazena um certificado.

Pré-requisitos

Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.

• Se você optar por usar o Azure PowerShell localmente:
  • Instale a versão mais recente do módulo do Az PowerShell.
  • Conecte-se à sua conta do Azure usando o cmdlet Connect-AzAccount.
• Se você optar por usar o Azure Cloud Shell:
  • Confira Visão geral do Azure Cloud Shell para obter mais informações.

Criar um grupo de recursos

Um grupo de recursos é um contêiner lógico no qual os recursos do Azure são implantados e gerenciados. Use o cmdlet New-AzResourceGroup do Azure PowerShell para criar um grupo de recursos chamado myResourceGroup na localização eastus.

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

Criar um cofre de chaves

Use o cmdlet New-AzKeyVault do Azure PowerShell para criar um Key Vault no grupo de recursos da etapa anterior. Você precisa fornecer algumas informações:

• Nome do cofre de chaves: uma cadeia de 3 a 24 caracteres contendo somente números (0-9), letras (a-z, A-Z) e hifens (-)

  Importante

  Cada cofre de chaves deve ter um nome exclusivo. Substitua <seu-nome-de cofre-de-chaves-exclusivo> pelo nome do seu cofre de chaves nos exemplos a seguir.

• Nome do grupo de recursos: myResourceGroup.

• A localização: EastUS.

New-AzKeyVault -Name "<your-unique-keyvault-name>" -ResourceGroupName "myResourceGroup" -Location "EastUS"

A saída desse cmdlet mostra as propriedades do cofre de chaves criado recentemente. Anote estas duas propriedades:

• Nome do Cofre: o nome que você forneceu ao parâmetro -Name.
• URI do Cofre: no exemplo, esse URI é https://<your-unique-keyvault-name>.vault.azure.net/. Aplicativos que usam seu cofre via API REST devem usar esse URI.

Nesse ponto, sua conta do Azure é a única autorizada a executar qualquer operação nesse novo cofre.

Dê aos usuários da conta permissões para gerenciar segredos no Key Vault

Para obter permissões para o cofre de chaves por meio do RBAC (controle de acesso baseado em função), atribua uma função ao seu UPN (nome principal do usuário) usando o cmdlet do Azure PowerShell New-AzRoleAssignment.

New-AzRoleAssignment -SignInName "<upn>" -RoleDefinitionName "Key Vault Certificate Officer" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

Substitua <upn>, <subscription-id>, <resource-group-name> e <your-unique-keyvault-name> pelos valores reais. Seu UPN normalmente estará no formato de um endereço de email (por exemplo, username@domain.com).

Adicionar um certificado ao Key Vault

Agora é possível adicionar um certificado ao cofre. Esse certificado pode ser usado por um aplicativo.

Use estes comandos para criar um certificado autoassinado com uma política chamada ExampleCertificate:

$Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "Self" -ValidityInMonths 6 -ReuseKeyOnRenewal

Add-AzKeyVaultCertificate -VaultName "<your-unique-keyvault-name>" -Name "ExampleCertificate" -CertificatePolicy $Policy

Agora você pode referenciar esse certificado que foi adicionado ao Azure Key Vault usando o respectivo URI. Use https://<your-unique-keyvault-name>.vault.azure.net/certificates/ExampleCertificate para obter a versão atual.

Para ver o certificado armazenado anteriormente:

Get-AzKeyVaultCertificate -VaultName "<your-unique-keyvault-name>" -Name "ExampleCertificate"

Solução de problemas:

A operação retornou o código de status inválido 'Proibido'

Se você receber esse erro, a conta que estiver acessando o Azure Key Vault não terá as permissões adequadas para criar certificados.

Execute o seguinte comando do Azure PowerShell para atribuir as permissões adequadas:

Set-AzKeyVaultAccessPolicy -VaultName <KeyVaultName> -ObjectId <AzureObjectID> -PermissionsToCertificates get,list,update,create

Limpar os recursos

Outros guias de início rápido e tutoriais da coleção aproveitam esse guia de início rápido. Se você planeja continuar a trabalhar com outros tutoriais e inícios rápidos, deixe esses recursos onde estão.

Quando o grupo de recursos e todos os recursos relacionados não forem mais necessários, use o cmdlet Remove-AzResourceGroup do Azure PowerShell para removê-los.

Remove-AzResourceGroup -Name "myResourceGroup"

Próximas etapas

Neste início rápido, você criou um Key Vault e armazenou um certificado nele. Para saber mais sobre o Key Vault e como integrá-lo a seus aplicativos, confira os artigos abaixo.

• Leia uma Visão geral do Azure Key Vault
• Confira a referência dos cmdlets do Key Vault do Azure PowerShell
• Examine a Visão geral de segurança do Key Vault