Azure Key Vault

Azure Key Vault是一个用来存放加密后秘钥和数据的数字库。

Azure Key Vault主要作用

Azure Key Vault是一个用来存放加密后秘钥和数据的数字库。秘钥可以通过统一资源标识符（URI）进行调用，Azure Key Vault可以用来对基于云的应用进行签名和加密。这意味着秘钥可以在不被从数字库删除的前提下进行引用。

Azure Key Vault使用方法

微软Azure Key Vault的使用相当的简单，但是秘钥库必须得通过PowerShell进行设置。你需要做的第一件事情是通过PowerShell登录到你的Azure Key Vault账号，然后连接你的Azure Key Vault订阅。可以通过以下命令来进行相关操作：

Add-AzureAccount

Get-AzureSubscription

Select-AzureSubscription –SubscriptionName <你的订阅名称>

一旦连接到订阅之后，使用Azure Resource Manager来创建一个资源组和秘钥库。可以通过以下命令来进行相关操作：

Switch-AzureMode AzureResourceManager

New-AzureResourceGroup –Name '<你的资源组名称>' –Location '<你的地区>'

New-AzureKeyVault –VaultName '<你的秘钥名称>' –ResourceGroupName '<你的资源组名称>' –Location <你的地区>

请注意，在这个Azure Key Vault命令里面，秘钥库指的是一个已命名的Azure Key Vault资源，它必须在资源组中被创建，Azure Key Vault资源组也是一个已命名的资源。

在Azure Key Vault中存储什么呢

微软Azure Key Vault管理员并不受限于使用一个单一的秘钥，他们可以上传或者创建多个秘钥。另外他们不限于不仅可以在Azure Key Vault秘钥库中存储秘钥，也可以存储秘密信息。

在Azure Key Vault中创建和使用秘钥

要在Azure Key Vault中创建和使用秘钥，你可以通过使用PowerShell来产生秘钥，如果你已经有PFX格式的秘钥的话你也可以上传这个秘钥来使用Azure Key Vault。一旦秘钥被创建或者上传，Azure Key Vault会被通过URI进行引用。

用来添加秘钥的PowerShell cmdlet是Add-AzureKeyVaultKey。因此，你可以通过以下一行代码来创建Azure Key Vault秘钥：

$Key = Add-AzureKeyVaultKey –VaultName '<你的秘钥库名称>' –Name '<你的秘钥名称>' –Destination 'Software'

在前面命令中的Destination参数控制了使用的秘钥是一个软件保护的Azure Key Vault秘钥还是硬件安全模块（HSM）保护的秘钥。如果你倾向于使用HSM保护的秘钥，那么Destination参数应该设置为HSM。

如果你倾向于导入一个存在的Azure Key Vault秘钥，你会需要使用下面两行的代码。第一行代码将Azure Key Vault秘钥的密码转换成一个安全的字符串；第二行代码指定了Azure Key Vault秘钥文件名然后将这个秘钥导入秘钥库中。需要的两行代码是这样的：

$SecureFXPwd = ConvertTo-SecureString –String '<秘钥的密码>' –AsPlainText –Force

$Key = Add-AzureKeyVaultKey –VaultName '<你的库名>' –Name '<你想要秘钥显示的名字>' –KeyFilePath '<你想要上传的秘钥的路径>' –KeyFilePassword $SecureFXPwd

一旦Azure Key Vault秘钥被创建或者上传，这个Azure Key Vault秘钥会被URI引用。记录这个URI最简单的方式是在它被创建的时候记录下来，但URI也可以以后获取。

以上的命令创建了一个变量叫做$Key，通过-- $key.key.kid --获取秘钥的URI前提是需要这个变量还是有效的。说了这么多，如果你需要在会话结束后或创建额外的秘钥后获取秘钥的URI的话，你需要使用其他不同的方法。