1

我正在尝试将证书从一个密钥库复制到另一个而不将其保留在本地计算机上。我看起来像 Azure KeyVault CLI 只支持基于文件的证书导入,如下所示:

# download cert 
az keyvault certificate download --file $certFileName --vault-name $sourceAkv -n $certName

# import cert 
az keyvault certificate import --file $certFileName --vault-name $destAkv -n $certName

有没有办法传递一个对象或字符串呢?在 Azure Powershell 模块中,这是可能的:

Import-AzureKeyVaultCertificate -VaultName $DestinationVaultName -Name $CertificateName -CertificateString $secretText.SecretValueText

想法?

4

2 回答 2

3

我发现类似的东西可以在 PowerShell 中将证书和密钥导出为对象,然后将其导入另一个密钥库,而无需将其保存为临时 PFX 文件。

$CertName = 'mycert'
$SrcVault = 'mysourcekeyvault'
$DstVault = 'mydestinationkeyvault'
$cert = Get-AzKeyVaultCertificate -VaultName $SrcVault -Name $CertName
$secret = Get-AzKeyVaultSecret -VaultName $SrcVault -Name $cert.Name
$secretValueText = '';
$ssPtr = [System.Runtime.InteropServices.Marshal]::SecureStringToBSTR($secret.SecretValue)
try {
    $secretValueText = [System.Runtime.InteropServices.Marshal]::PtrToStringBSTR($ssPtr)
}
finally {
    [System.Runtime.InteropServices.Marshal]::ZeroFreeBSTR($ssPtr)
}
$secretByte = [Convert]::FromBase64String($secretValueText)
$x509Cert = new-object System.Security.Cryptography.X509Certificates.X509Certificate2
$x509Cert.Import($secretByte, "", "Exportable,PersistKeySet")
Import-AzKeyVaultCertificate -VaultName $DstVault -Name $CertName -CertificateCollection $x509Cert
于 2020-11-03T00:48:32.857 回答
1

正如你所说,似乎没有办法只将证书上下文导入 Azure Keyvault。它只有依赖于证书文件的参数。

于 2019-03-28T01:30:47.197 回答