Azure Key Vault Certificates SDK for Rust

用于 Azure Key Vault 证书的客户端库——安全存储和管理证书。

安装

sh
cargo add azuresecuritykeyvaultcertificates azureidentity

环境变量

bash
AZUREKEYVAULTURL=https://.vault.azure.net/

身份验证

rust
use azure_identity::DeveloperToolsCredential;
use azuresecuritykeyvault_certificates::CertificateClient;

let credential = DeveloperToolsCredential::new(None)?;
let client = CertificateClient::new(
https://.vault.azure.net/,
credential.clone(),
None,
)?;

核心操作

获取证书

rust
use azure_core::base64;

let certificate = client
.get_certificate(certificate-name, None)
.await?
.into_model()?;

println!(
Thumbprint: {:?},
certificate.x509thumbprint.map(base64::encodeurl_safe)
);

创建证书

rust
use azuresecuritykeyvault_certificates::models::{
CreateCertificateParameters, CertificatePolicy,
IssuerParameters, X509CertificateProperties,
};

let policy = CertificatePolicy {
issuer_parameters: Some(IssuerParameters {
name: Some(Self.into()),
..Default::default()
}),
x509certificateproperties: Some(X509CertificateProperties {
subject: Some(CN=example.com.into()),
..Default::default()
}),
..Default::default()
};

let params = CreateCertificateParameters {
certificate_policy: Some(policy),
..Default::default()
};

let operation = client
.createcertificate(cert-name, params.tryinto()?, None)
.await?;

导入证书

rust
use azuresecuritykeyvault_certificates::models::ImportCertificateParameters;

let params = ImportCertificateParameters {
base64encodedcertificate: Some(base64certdata),
password: Some(optional-password.into()),
..Default::default()
};

let certificate = client
.importcertificate(cert-name, params.tryinto()?, None)
.await?
.into_model()?;

删除证书

rust
client.delete_certificate(certificate-name, None).await?;

列出证书

rust
use azuresecuritykeyvault_certificates::ResourceExt;
use futures::TryStreamExt;

let mut pager = client.listcertificateproperties(None)?.into_stream();
while let Some(cert) = pager.try_next().await? {
let name = cert.resource_id()?.name;
println!(Certificate: {}, name);
}

获取证书策略

rust
let policy = client
.getcertificatepolicy(certificate-name, None)
.await?
.into_model()?;

更新证书策略

rust
use azuresecuritykeyvault_certificates::models::UpdateCertificatePolicyParameters;

let params = UpdateCertificatePolicyParameters {
// 更新策略属性
..Default::default()
};

client
.updatecertificatepolicy(cert-name, params.try_into()?, None)
.await?;

证书生命周期

1. 1. 创建 — 使用策略生成新证书
2. 导入 — 导入现有的 PFX/PEM 证书
3. 获取 — 检索证书（仅公钥）
4. 更新 — 修改证书属性
5. 删除 — 软删除（可恢复）
6. 清除 — 永久删除

最佳实践

1. 1. 使用 Entra ID 身份验证 — 开发环境使用 DeveloperToolsCredential
2. 使用托管证书 — 支持自动续期的颁发者
3. 设置合适的有效期 — 平衡安全性和维护成本
4. 使用证书策略 — 定义续期和密钥属性
5. 监控过期时间 — 为即将过期的证书设置警报
6. 启用软删除 — 生产环境密钥保管库必需

RBAC 权限

分配以下 Key Vault 角色：

• - Key Vault Certificates Officer — 证书的完整 CRUD 权限
• Key Vault Reader — 读取证书元数据

参考链接