Sdílet prostřednictvím

Příprava certifikátů PKI služby Azure Stack Hub pro nasazení nebo obměnu

  • Článek

Poznámka

Tento článek popisuje pouze přípravu externích certifikátů, které slouží k zabezpečení koncových bodů v externí infrastruktuře a službách. Interní certifikáty se spravují samostatně během procesu obměně certifikátů .

Poznámka

Pokud instalujete Službu Azure Container Registry (ACR), doporučujeme sladit data vypršení platnosti externích certifikátů ACR s daty vypršení platnosti ostatních externích certifikátů služby Azure Stack Hub. Kromě toho doporučujeme chránit pfx pro ACR pomocí stejného hesla, které používáte k ochraně ostatních externích certifikátů PFX.

Soubory certifikátů získané od certifikační autority (CA) musí být importovány a exportovány s vlastnostmi odpovídajícími požadavkům na certifikát služby Azure Stack Hub.

V tomto článku se dozvíte, jak importovat, zabalit a ověřit externí certifikáty a připravit se na nasazení nebo obměnu tajných kódů služby Azure Stack Hub.

Požadavky

Před zabalením certifikátů PKI pro nasazení služby Azure Stack Hub by měl váš systém splňovat následující požadavky:

  • Certifikáty vrácené certifikační autoritou jsou uložené v jednom adresáři ve formátu .cer (jiné konfigurovatelné formáty, jako jsou .cert, .sst nebo .pfx).
  • Windows 10 nebo Windows Server 2016 nebo novější.
  • Použijte stejný systém, který vygeneroval žádost o podepsání certifikátu (pokud nesměřujete na předem zabalený certifikát do PFX).
  • Použijte relace PowerShellu se zvýšenými oprávněními.

Pokračujte v příslušném oddílu Příprava certifikátů (kontrola připravenosti služby Azure Stack) nebo Příprava certifikátů (ruční kroky).

Příprava certifikátů (kontrola připravenosti služby Azure Stack)

Pomocí následujícího postupu zabalte certifikáty pomocí rutin PowerShellu pro kontrolu připravenosti služby Azure Stack:

  1. Nainstalujte modul kontroly připravenosti služby Azure Stack z příkazového řádku PowerShellu (5.1 nebo novější) spuštěním následující rutiny:

    Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease

  2. Zadejte cestu k souborům certifikátu. Například:

    $Path = "$env:USERPROFILE\Documents\AzureStack"

  3. Zadejte pfxPassword. Například:

    $pfxPassword = Read-Host -AsSecureString -Prompt "PFX Password"

  4. Deklarujte ExportPath, do kterého se budou exportovat výsledné PFXy. Například:

    $ExportPath = "$env:USERPROFILE\Documents\AzureStack"

  5. Převeďte certifikáty na certifikáty služby Azure Stack Hub. Například:

    ConvertTo-AzsPFX -Path $Path -pfxPassword $pfxPassword -ExportPath $ExportPath

  6. Zkontrolujte výstup:

    ConvertTo-AzsPFX v1.2005.1286.272 started.

    Stage 1: Scanning Certificates
    Path: C:\Users\[*redacted*]\Documents\AzureStack Filter: CER Certificate count: 11
    adminmanagement_east_azurestack_contoso_com_CertRequest_20200710235648.cer
    adminportal_east_azurestack_contoso_com_CertRequest_20200710235645.cer
    management_east_azurestack_contoso_com_CertRequest_20200710235644.cer
    portal_east_azurestack_contoso_com_CertRequest_20200710235646.cer
    wildcard_adminhosting_east_azurestack_contoso_com_CertRequest_20200710235649.cer
    wildcard_adminvault_east_azurestack_contoso_com_CertRequest_20200710235642.cer
    wildcard_blob_east_azurestack_contoso_com_CertRequest_20200710235653.cer
    wildcard_hosting_east_azurestack_contoso_com_CertRequest_20200710235652.cer
    wildcard_queue_east_azurestack_contoso_com_CertRequest_20200710235654.cer
    wildcard_table_east_azurestack_contoso_com_CertRequest_20200710235650.cer
    wildcard_vault_east_azurestack_contoso_com_CertRequest_20200710235647.cer

Detected ExternalFQDN: east.azurestack.contoso.com

Stage 2: Exporting Certificates
    east.azurestack.contoso.com\Deployment\ARM Admin\ARMAdmin.pfx
    east.azurestack.contoso.com\Deployment\Admin Portal\AdminPortal.pfx
    east.azurestack.contoso.com\Deployment\ARM Public\ARMPublic.pfx
    east.azurestack.contoso.com\Deployment\Public Portal\PublicPortal.pfx
    east.azurestack.contoso.com\Deployment\Admin Extension Host\AdminExtensionHost.pfx
    east.azurestack.contoso.com\Deployment\KeyVaultInternal\KeyVaultInternal.pfx
    east.azurestack.contoso.com\Deployment\ACSBlob\ACSBlob.pfx
    east.azurestack.contoso.com\Deployment\Public Extension Host\PublicExtensionHost.pfx
    east.azurestack.contoso.com\Deployment\ACSQueue\ACSQueue.pfx
    east.azurestack.contoso.com\Deployment\ACSTable\ACSTable.pfx
    east.azurestack.contoso.com\Deployment\KeyVault\KeyVault.pfx

Stage 3: Validating Certificates.

Validating east.azurestack.contoso.com-Deployment-AAD certificates in C:\Users\[*redacted*]\Documents\AzureStack\east.azurestack.contoso.com\Deployment 

Testing: KeyVaultInternal\KeyVaultInternal.pfx
Thumbprint: E86699****************************4617D6
    PFX Encryption: OK
    Expiry Date: OK
    Signature Algorithm: OK
    DNS Names: OK
    Key Usage: OK
    Key Length: OK
    Parse PFX: OK
    Private Key: OK
    Cert Chain: OK
    Chain Order: OK
    Other Certificates: OK
Testing: ARM Public\ARMPublic.pfx
    ...
Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
ConvertTo-AzsPFX Completed

    Poznámka

    Pomocí Get-help ConvertTo-AzsPFX -Full můžete zobrazit další možnosti, jako je zakázání ověřování nebo filtrování pro různé formáty certifikátů.

    Po úspěšném ověření je možné certifikáty předložit pro nasazení nebo obměnu bez jakýchkoli dalších kroků.

Příprava certifikátů (ruční kroky)

Pomocí těchto ručních kroků můžete zabalit certifikáty pro nové certifikáty PKI služby Azure Stack Hub.

Import certifikátu

  1. Zkopírujte původní verze certifikátů získané z vaší certifikační autority do adresáře na hostiteli nasazení.

    Varování

    Nekopírujte soubory, které už byly importovány, exportovány nebo změněny, žádným způsobem ze souborů poskytovaných přímo certifikační autoritou.

  2. Klikněte pravým tlačítkem myši na certifikát a vyberte Nainstalovat certifikát nebo Nainstalovat PFXv závislosti na způsobu doručení certifikátu od vaší certifikační autority.

  3. V průvodci importem certifikátu vyberte místní počítač jako umístění importu. Vyberte Další. Na následující obrazovce znovu vyberte další.

    umístění importu certifikátu na místním počítači pro

  4. Vyberte Umístěte všechny certifikáty do následujícího úložiště a pak jako umístění vyberte Důvěryhodné podnikání. Vyberte OK zavřete dialogové okno pro výběr úložiště certifikátů a pak vyberte Další.

    Nakonfigurujte úložiště certifikátů pro importu certifikátů

    1. Pokud importujete PFX, zobrazí se další dialogové okno. Na stránce ochrana privátního klíče zadejte heslo pro soubory certifikátu a potom povolte Označit tento klíč jako exportovatelný. možnost, která vám umožní později zálohovat nebo přenášet klíče. Vyberte Další.

    Označit klíč jako exportovatelný

  5. Pro dokončení importu vyberte Dokončit.

Poznámka

Po importu certifikátu pro Azure Stack Hub se privátní klíč certifikátu uloží jako soubor PKCS 12 (PFX) v clusterovém úložišti.

Export certifikátu

Otevřete konzolu MMC Správce certifikátů a připojte se k úložišti certifikátů místního počítače.

  1. Otevřete konzolu Microsoft Management Console. Konzolu otevřete ve Windows 10 tak, že kliknete pravým tlačítkem myši na nabídku Start, vyberete Spustit, pak zadáte mmc a poté stisknete klávesu Enter.

  2. Vyberte Soubor>Přidat nebo odebrat modul snap-in; poté vyberte Certifikáty a vyberte Přidat.

    Přidejte modul snap-in Certifikáty v konzoli Microsoft Management Console

  3. Vyberte počítačový účet, poté vyberte Další. Vyberte místní počítač a potom Dokončit. Výběrem OK zavřete stránku Přidání/Odebrání Snap-In.

    Vyberte účet pro modul snap-in

  4. Přejděte na Certifikáty>důvěryhodnost společnosti>umístění certifikátu. Ověřte, že se na pravé straně zobrazí váš certifikát.

  5. Na hlavním panelu konzoly Správce certifikátů vyberte Akce>Všechny úlohy>Exportovat. Vyberte Další.

    Poznámka

    V závislosti na tom, kolik certifikátů služby Azure Stack Hub máte, možná budete muset tento proces dokončit více než jednou.

  6. Vyberte Ano, exportujteprivátního klíče a pak vyberte Další.

  7. V části Formát souboru exportu:

    • Vyberte možnost Zahrnout do certifikátu všechny certifikáty, pokud je to možné.
    • Vyberte Exportovat všechny rozšířené vlastnosti.
    • Vyberte Povolit ochranu soukromí certifikátu.
    • Vyberte Další.

    Průvodce exportem certifikátu s vybranými možnostmi

  8. Vyberte Heslo a zadejte heslo pro certifikáty. Vytvořte heslo, které splňuje následující požadavky na složitost hesla:

    • Minimální délka osmi znaků.
    • Nejméně tři z následujících znaků: velká písmena, malá písmena, číslice od 0 do 9, speciální znaky, abecední znak, který není velkými nebo malými písmeny.

    Poznamenejte si toto heslo. Použijete ho později jako parametr nasazení.

  9. Vyberte Další.

  10. Zvolte název a umístění souboru PFX, který chcete exportovat. Vyberte Další.

  11. Vyberte Dokončit.

Další kroky

ověření certifikátů PKI