De cmdlet Add-AzKeyVaultKey maakt een sleutel in een sleutelkluis in Azure Key Vault of importeert een sleutel in een sleutelkluis.
Gebruik deze cmdlet om sleutels toe te voegen met behulp van een van de volgende methoden:
Maak een sleutel in een HSM (Hardware Security Module) in de Key Vault-service.
Maak een sleutel in software in de Key Vault-service.
Importeer een sleutel uit uw eigen HSM (Hardware Security Module) naar HSM's in de Key Vault-service.
Importeer een sleutel uit een PFX-bestand op uw computer.
Importeer een sleutel uit een PFX-bestand op uw computer naar HSM's (Hardware Security Modules) in de Key Vault-service.
Voor een van deze bewerkingen kunt u sleutelkenmerken opgeven of standaardinstellingen accepteren.
Als u een sleutel maakt of importeert met dezelfde naam als een bestaande sleutel in uw sleutelkluis, wordt de oorspronkelijke sleutel bijgewerkt met de waarden die u voor de nieuwe sleutel opgeeft. U kunt toegang krijgen tot de vorige waarden met behulp van de versiespecifieke URI voor die versie van de sleutel. Voor meer informatie over sleutelversies en de URI-structuur raadpleegt u Over sleutels en geheimen in de key vault REST API-documentatie.
Opmerking: als u een sleutel uit uw eigen hardwarebeveiligingsmodule wilt importeren, moet u eerst een BYOK-pakket (een bestand met de extensie .byok-bestandsnaam) genereren met behulp van de BYOK-toolset van Azure Key Vault. Zie Voor meer informatie het genereren en overdragen van HSM-Protected sleutels voor Azure Key Vault.
Als best practice kunt u een back-up van uw sleutel maken nadat deze is gemaakt of bijgewerkt, met behulp van de Backup-AzKeyVaultKey-cmdlet. Er is geen onherstelbare functionaliteit, dus als u per ongeluk uw sleutel verwijdert of verwijdert en vervolgens van gedachten verandert, kan de sleutel niet worden hersteld, tenzij u een back-up van de sleutel hebt die u kunt herstellen.
Vault/HSM Name : test-kv
Name : test-key
Key Type : EC
Key Size :
Curve Name : P-256
Version : 4da74af2b4fd47d6b1aa0b05c9a2ed13
Id : https://test-kv.vault.azure.net:443/keys/test-key/4da74af2b4fd47d6b1aa0b05c9a2ed13
Enabled : True
Expires :
Not Before :
Created : 8/24/2021 6:38:34 AM
Updated : 8/24/2021 6:38:34 AM
Recovery Level : Recoverable+Purgeable
Tags :
Met deze opdracht maakt u een met software beveiligde EC-sleutel met de naam test-key in de sleutelkluis met de naam test-kv. De naam van de curve is standaard P-256.
Vault/HSM Name : contoso
Name : ITHsmNonDefault
Key Type : RSA
Key Size : 2048
Version : 929bfc14db84439b823ffd1bedadaf5f
Id : https://contoso.vault.azure.net:443/keys/ITHsmNonDefault/929bfc14db84439b823ffd1bedadaf5f
Enabled : False
Expires : 5/21/2020 11:12:43 PM
Not Before : 5/21/2018 11:12:50 PM
Created : 5/21/2018 11:13:17 PM
Updated : 5/21/2018 11:13:17 PM
Purge Disabled : False
Tags : Name Value
Severity high
Accounting true
Met de eerste opdracht worden de waarden ontsleuteld en gecontroleerd in de $KeyOperations variabele.
Met de tweede opdracht maakt u een DateTime-object , gedefinieerd in UTC, met behulp van de cmdlet Get-Date .
Dit object specificeert een tijd twee jaar in de toekomst. Met de opdracht wordt die datum opgeslagen in de variabele $Expires. Typ voor meer informatie Get-Help Get-Date.
Met de derde opdracht maakt u een DateTime-object met behulp van de cmdlet Get-Date . Dit object specificeert de huidige UTC-tijd. Met de opdracht wordt die datum opgeslagen in de variabele $NotBefore.
Met de laatste opdracht maakt u een sleutel met de naam ITHsmNonDefault die een met HSM beveiligde sleutel is. De opdracht geeft waarden op voor toegestane sleutelbewerkingen die zijn opgeslagen $KeyOperations. Met de opdracht worden tijden opgegeven voor de parameters Verlopen en NotBefore die in de vorige opdrachten zijn gemaakt, en tags voor hoge ernst en IT. De nieuwe sleutel is uitgeschakeld. U kunt deze inschakelen met behulp van de cmdlet Set-AzKeyVaultKey .
Voorbeeld 5: Een met HSM beveiligde sleutel importeren
Vault Name : contoso
Name : ITByok
Version : 67da57e9cadf48a2ad8d366b115843ab
Id : https://contoso.vault.azure.net:443/keys/ITByok/67da57e9cadf48a2ad8d366b115843ab
Enabled : True
Expires :
Not Before :
Created : 5/21/2018 11:10:58 PM
Updated : 5/21/2018 11:10:58 PM
Purge Disabled : False
Tags :
Met deze opdracht wordt de sleutel met de naam ITByok geïmporteerd vanaf de locatie die de parameter KeyFilePath opgeeft. De geïmporteerde sleutel is een met HSM beveiligde sleutel.
Als u een sleutel uit uw eigen hardwarebeveiligingsmodule wilt importeren, moet u eerst een BYOK-pakket (een bestand met de bestandsextensie .byok) genereren met behulp van de BYOK-toolset van Azure Key Vault.
Zie Voor meer informatie het genereren en overdragen van HSM-Protected sleutels voor Azure Key Vault.
Voorbeeld 6: Een met software beveiligde sleutel importeren
Vault Name : contoso
Name : ITPfx
Version : 67da57e9cadf48a2ad8d366b115843ab
Id : https://contoso.vault.azure.net:443/keys/ITPfx/67da57e9cadf48a2ad8d366b115843ab
Enabled : True
Expires :
Not Before :
Created : 5/21/2018 11:10:58 PM
Updated : 5/21/2018 11:10:58 PM
Purge Disabled : False
Tags :
Met de eerste opdracht wordt een tekenreeks geconverteerd naar een beveiligde tekenreeks met behulp van de cmdlet ConvertTo-SecureString en wordt die tekenreeks vervolgens opgeslagen in de $Password variabele. Typ voor meer informatie Get-Help ConvertTo-SecureString.
Met de tweede opdracht maakt u een softwarewachtwoord in de Contoso-sleutelkluis. Met de opdracht geeft u de locatie op voor de sleutel en het wachtwoord dat is opgeslagen in $Password.
Voorbeeld 7: Een sleutel importeren en kenmerken toewijzen
Vault Name : contoso
Name : ITPfxToHSM
Version : 929bfc14db84439b823ffd1bedadaf5f
Id : https://contoso.vault.azure.net:443/keys/ITPfxToHSM/929bfc14db84439b823ffd1bedadaf5f
Enabled : True
Expires : 5/21/2020 11:12:43 PM
Not Before :
Created : 5/21/2018 11:13:17 PM
Updated : 5/21/2018 11:13:17 PM
Purge Disabled : False
Tags : Name Value
Severity high
Accounting true
Met de eerste opdracht wordt een tekenreeks geconverteerd naar een beveiligde tekenreeks met behulp van de cmdlet ConvertTo-SecureString en wordt die tekenreeks vervolgens opgeslagen in de $Password variabele.
Met de tweede opdracht maakt u een DateTime-object met behulp van de cmdlet Get-Date en slaat u dat object vervolgens op in de $Expires variabele.
Met de derde opdracht maakt u de $tags variabele om tags in te stellen voor hoge ernst en IT.
Met de laatste opdracht importeert u een sleutel als een HSM-sleutel vanaf de opgegeven locatie. De opdracht geeft de verlooptijd op die is opgeslagen in $Expires en het wachtwoord dat is opgeslagen in $Password en past de tags toe die zijn opgeslagen in $tags.
Voorbeeld 8: Een KEK (Key Exchange Key) genereren voor de functie Bring Your Own Key (BYOK)
Hiermee wordt een sleutel gegenereerd (aangeduid als een Sleuteluitwisselingssleutel (KEK)). De KEK moet een RSA-HSM sleutel zijn die alleen de importsleutelbewerking heeft. Alleen Key Vault Premium SKU ondersteunt RSA-HSM sleutels.
Raadpleeg voor meer informatie https://free.blessedness.top/azure/key-vault/keys/hsm-protected-keys
Voorbeeld 9: Een beveiligde sleutel maken in beheerde hsm
Hiermee geeft u op of de sleutel moet worden toegevoegd als een met software beveiligde sleutel of een met HSM beveiligde sleutel in de Key Vault-service.
Geldige waarden zijn: HSM en Software.
Opmerking: Als u HSM als bestemming wilt gebruiken, moet u een sleutelkluis hebben die HSM's ondersteunt. Zie de prijzenwebsite van Azure Key Vault voor meer informatie over de servicelagen en mogelijkheden voor Azure Key Vault.
Deze parameter is vereist wanneer u een nieuwe sleutel maakt. Als u een sleutel importeert met behulp van de parameter KeyFilePath , is deze parameter optioneel:
Als u deze parameter niet opgeeft en deze cmdlet een sleutel importeert die de extensie .byok heeft, wordt die sleutel geïmporteerd als een met HSM beveiligde sleutel. De cmdlet kan die sleutel niet importeren als met software beveiligde sleutel.
Als u deze parameter niet opgeeft en deze cmdlet een sleutel importeert met de extensie .pfx, wordt de sleutel geïmporteerd als een met software beveiligde sleutel.
Geeft aan dat de sleutel die u toevoegt, is ingesteld op een initiële status uitgeschakeld. Pogingen om de sleutel te gebruiken, mislukken. Gebruik deze parameter als u sleutels vooraf laadt die u later wilt inschakelen.
Hiermee geeft u de verlooptijd van de sleutel in UTC, als een DateTime-object , op voor de sleutel die door deze cmdlet wordt toegevoegd. Als dit niet is opgegeven, verloopt de sleutel niet. Gebruik de cmdlet Get-Date om een DateTime-object op te halen. Typ voor meer informatie Get-Help Get-Date. Let op: verlopen wordt genegeerd voor sleuteluitwisselingssleutel die wordt gebruikt in het BYOK-proces.
Hiermee stelt u het releasebeleid in als onveranderbare status. Zodra deze vlag is gemarkeerd als onveranderbaar, kan deze vlag niet opnieuw worden ingesteld en kan het beleid in geen geval worden gewijzigd.
Hiermee geeft u een wachtwoord voor het geïmporteerde bestand op als een SecureString-object . Gebruik de cmdlet ConvertTo-SecureString om een SecureString-object op te halen. Typ voor meer informatie Get-Help ConvertTo-SecureString. U moet dit wachtwoord opgeven om een bestand te importeren met de extensie .pfx.
Hiermee geeft u het pad op van een lokaal bestand dat sleutelmateriaal bevat dat door deze cmdlet wordt geïmporteerd.
De geldige bestandsnaamextensies zijn .byok en .pfx.
Als het bestand een BYOK-bestand is, wordt de sleutel automatisch beveiligd door HSM's na het importeren en kunt u deze standaardinstelling niet overschrijven.
Als het bestand een PFX-bestand is, wordt de sleutel automatisch beveiligd door software na het importeren. Als u deze standaardwaarde wilt overschrijven, stelt u de doelparameter in op HSM, zodat de sleutel is beveiligd met HSM.
Wanneer u deze parameter opgeeft, is de doelparameter optioneel.
Hiermee geeft u een matrix van bewerkingen die kunnen worden uitgevoerd met behulp van de sleutel die door deze cmdlet wordt toegevoegd.
Als u deze parameter niet opgeeft, kunnen alle bewerkingen worden uitgevoerd.
De acceptabele waarden voor deze parameter zijn een door komma's gescheiden lijst met sleutelbewerkingen, zoals gedefinieerd door de JSON-specificatie (JWK):
Hiermee geeft u de naam van de sleutel die moet worden toegevoegd aan de sleutelkluis. Met deze cmdlet wordt de FQDN (Fully Qualified Domain Name) van een sleutel samengesteld op basis van de naam die met deze parameter wordt opgegeven, de naam van de sleutelkluis en uw huidige omgeving. De naam moet een tekenreeks van 1 tot en met 63 tekens lang zijn die slechts 0-9, a-z, A-Z en - (het streepjesymbool) bevat.
Hiermee geeft u de tijd, als een DateTime-object , voordat de sleutel niet kan worden gebruikt. Deze parameter maakt gebruik van UTC. Gebruik de cmdlet Get-Date om een DateTime-object op te halen. Als u deze parameter niet opgeeft, kan de sleutel onmiddellijk worden gebruikt.
Hiermee geeft u de naam op van de sleutelkluis waaraan deze cmdlet de sleutel toevoegt. Met deze cmdlet wordt de FQDN van een sleutelkluis samengesteld op basis van de naam die met deze parameter wordt opgegeven en uw huidige omgeving.
De bron voor deze inhoud vindt u op GitHub, waar u ook problemen en pull-aanvragen kunt maken en controleren. Bekijk onze gids voor inzenders voor meer informatie.
