Vorbereiten von Azure Stack Hub-PKI-Zertifikaten für die Bereitstellung oder Erneuerung

Anmerkung

In diesem Artikel wird nur die Vorbereitung externer Zertifikate beschrieben, die zum Sichern von Endpunkten für externe Infrastruktur und Dienste verwendet werden. Interne Zertifikate werden während des Zertifikatrotationsprozesses separat verwaltet.

Anmerkung

Wenn Sie azure Container Registry (ACR) installieren, empfehlen wir, die Ablaufdaten Ihrer externen ACR-Zertifikate an die Ablaufdaten Ihrer anderen externen Azure Stack Hub-Zertifikate auszurichten. Darüber hinaus empfehlen wir, Ihre PFX für ACR mit demselben Kennwort zu schützen, das Sie zum Schutz Ihrer anderen externen Zertifikat-PFXs verwenden.

Die Von der Zertifizierungsstelle (CA ) abgerufenen Zertifikatdateien müssen importiert und mit Eigenschaften exportiert werden, die den Zertifikatanforderungen von Azure Stack Hub entsprechen.

In diesem Artikel erfahren Sie, wie Sie externe Zertifikate importieren, packen und überprüfen, um sich auf die Bereitstellung von Azure Stack Hub oder den Austausch geheimer Schlüssel vorzubereiten.

Voraussetzungen

Ihr System sollte die folgenden Voraussetzungen erfüllen, bevor PKI-Zertifikate für eine Azure Stack Hub-Bereitstellung verpackt werden:

• Von der Zertifizierungsstelle zurückgegebene Zertifikate werden in einem einzigen Verzeichnis gespeichert, im .cer Format (andere konfigurierbare Formate wie .cert, .sst oder .pfx).
• Windows 10 oder Windows Server 2016 oder höher.
• Verwenden Sie dasselbe System, das die Zertifikatsignieranfrage generiert hat, es sei denn, Sie zielen auf ein in PFX-Dateien vorverpacktes Zertifikat.
• Verwenden Sie PowerShell-Sitzungen mit erhöhten Rechten.

Fahren Sie mit dem entsprechenden Abschnitt Vorbereiten von Zertifikaten (Azure Stack Readiness Checker) oder Vorbereiten von Zertifikaten (manuelle Schritte) fort.

Vorbereiten von Zertifikaten (Azure Stack Readiness Checker)

Führen Sie die folgenden Schritte aus, um Zertifikate mithilfe der PowerShell-Cmdlets der Azure Stack-Bereitschaftsprüfung zu verpacken:

1. Installieren Sie das Azure Stack-Bereitschaftsprüfungsmodul über eine PowerShell-Eingabeaufforderung (5.1 oder höher), indem Sie das folgende Cmdlet ausführen:

   Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
   

2. Geben Sie den Pfad zu den Zertifikatdateien an. Zum Beispiel:

   $Path = "$env:USERPROFILE\Documents\AzureStack"
   

3. Deklarieren Sie pfxPassword. Zum Beispiel:

   $pfxPassword = Read-Host -AsSecureString -Prompt "PFX Password"
   

4. Deklarieren Sie den Exportpfad (ExportPath), an den die resultierenden PFX-Dateien exportiert werden. Zum Beispiel:

   $ExportPath = "$env:USERPROFILE\Documents\AzureStack"
   

5. Konvertieren Sie Zertifikate in Azure Stack Hub-Zertifikate. Zum Beispiel:

   ConvertTo-AzsPFX -Path $Path -pfxPassword $pfxPassword -ExportPath $ExportPath
   

6. Überprüfen Sie die Ausgabe:

   ConvertTo-AzsPFX v1.2005.1286.272 started.
   

   Stage 1: Scanning Certificates
       Path: C:\Users\[*redacted*]\Documents\AzureStack Filter: CER Certificate count: 11
       adminmanagement_east_azurestack_contoso_com_CertRequest_20200710235648.cer
       adminportal_east_azurestack_contoso_com_CertRequest_20200710235645.cer
       management_east_azurestack_contoso_com_CertRequest_20200710235644.cer
       portal_east_azurestack_contoso_com_CertRequest_20200710235646.cer
       wildcard_adminhosting_east_azurestack_contoso_com_CertRequest_20200710235649.cer
       wildcard_adminvault_east_azurestack_contoso_com_CertRequest_20200710235642.cer
       wildcard_blob_east_azurestack_contoso_com_CertRequest_20200710235653.cer
       wildcard_hosting_east_azurestack_contoso_com_CertRequest_20200710235652.cer
       wildcard_queue_east_azurestack_contoso_com_CertRequest_20200710235654.cer
       wildcard_table_east_azurestack_contoso_com_CertRequest_20200710235650.cer
       wildcard_vault_east_azurestack_contoso_com_CertRequest_20200710235647.cer
   
   Detected ExternalFQDN: east.azurestack.contoso.com
   
   Stage 2: Exporting Certificates
       east.azurestack.contoso.com\Deployment\ARM Admin\ARMAdmin.pfx
       east.azurestack.contoso.com\Deployment\Admin Portal\AdminPortal.pfx
       east.azurestack.contoso.com\Deployment\ARM Public\ARMPublic.pfx
       east.azurestack.contoso.com\Deployment\Public Portal\PublicPortal.pfx
       east.azurestack.contoso.com\Deployment\Admin Extension Host\AdminExtensionHost.pfx
       east.azurestack.contoso.com\Deployment\KeyVaultInternal\KeyVaultInternal.pfx
       east.azurestack.contoso.com\Deployment\ACSBlob\ACSBlob.pfx
       east.azurestack.contoso.com\Deployment\Public Extension Host\PublicExtensionHost.pfx
       east.azurestack.contoso.com\Deployment\ACSQueue\ACSQueue.pfx
       east.azurestack.contoso.com\Deployment\ACSTable\ACSTable.pfx
       east.azurestack.contoso.com\Deployment\KeyVault\KeyVault.pfx
   
   Stage 3: Validating Certificates.
   
   Validating east.azurestack.contoso.com-Deployment-AAD certificates in C:\Users\[*redacted*]\Documents\AzureStack\east.azurestack.contoso.com\Deployment 
   
   Testing: KeyVaultInternal\KeyVaultInternal.pfx
   Thumbprint: E86699****************************4617D6
       PFX Encryption: OK
       Expiry Date: OK
       Signature Algorithm: OK
       DNS Names: OK
       Key Usage: OK
       Key Length: OK
       Parse PFX: OK
       Private Key: OK
       Cert Chain: OK
       Chain Order: OK
       Other Certificates: OK
   Testing: ARM Public\ARMPublic.pfx
       ...
   Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
   ConvertTo-AzsPFX Completed
   

   Anmerkung

   Verwenden Sie Get-help ConvertTo-AzsPFX -Full, um weitere Optionen anzuzeigen, z. B. Deaktivieren der Validierung oder Filterung für verschiedene Zertifikatformate.

   Nach einer erfolgreichen Überprüfung können Zertifikate für die Bereitstellung oder Rotation ohne weitere Schritte vorgelegt werden.

Vorbereiten von Zertifikaten (manuelle Schritte)

Sie können diese manuellen Schritte verwenden, um Zertifikate für neue Azure Stack Hub-PKI-Zertifikate zu verpacken.

Importieren des Zertifikats

1. Kopieren Sie die ursprünglichen Zertifikatversionen , die Sie von Ihrer ausgewählten Zertifizierungsstelle erhalten haben, in ein Verzeichnis auf dem Bereitstellungshost.

   Warnung

   Kopieren Sie keine Dateien, die bereits importiert, exportiert oder geändert wurden, aus den dateien, die direkt von der Zertifizierungsstelle bereitgestellt wurden.

2. Klicken Sie mit der rechten Maustaste auf das Zertifikat, und wählen Sie Zertifikat installieren oder PFX installieren aus, je nachdem, wie das Zertifikat von Ihrer Zertifizierungsstelle übermittelt wurde.

3. Wählen Sie im Zertifikatimport-Assistenten als Importspeicherort die Option Lokaler Computer aus. Wählen Sie Weiter aus. Wählen Sie auf dem folgenden Bildschirm erneut die nächste Option aus.

   

4. Wählen Sie Alle Zertifikate im folgenden Speicher platzieren, und wählen Sie dann Enterprise Trust als Speicherort aus. Wählen Sie OK aus, um das Auswahldialogfeld des Zertifikatspeichers zu schließen, und wählen Sie dann Weiteraus.

   

   1. Wenn Sie ein PFX importieren, wird ein zusätzliches Dialogfeld angezeigt. Geben Sie auf der Seite Privater Schlüsselschutz das Kennwort für Ihre Zertifikatdateien ein und aktivieren Sie dann die Option Schlüssel als exportierbar kennzeichnen, damit Sie Ihre Schlüssel später sichern oder transportieren können. Wählen Sie Weiter aus.

   

5. Wählen Sie Fertig stellen aus, um den Import abzuschließen.

Anmerkung

Nachdem Sie ein Zertifikat für Azure Stack Hub importiert haben, wird der private Schlüssel des Zertifikats als PKCS 12-Datei (PFX) im gruppierten Speicher gespeichert.

Exportieren des Zertifikats

Öffnen Sie die MMC-Konsole des Zertifikat-Managers, und stellen Sie eine Verbindung mit dem Zertifikatspeicher des lokalen Computers her.

1. Öffnen Sie die Microsoft Management Console. Um die Konsole in Windows 10 zu öffnen, klicken Sie mit der rechten Maustaste auf das Startmenü, wählen Sie Ausführenaus, geben Sie dann mmc- ein, und drücken Sie die EINGABETASTE.

2. Wählen Sie Datei>Snap-In hinzufügen/entfernen aus, und wählen Sie dann Zertifikate und Hinzufügen aus.

   

3. Wählen Sie Computerkonto und dann Weiter aus. Wählen Sie Lokaler Computer und dann Fertig stellen aus. Wählen Sie OK aus, um die Seite "Snap-In hinzufügen/entfernen" zu schließen.

   auswählen

4. Navigieren Sie zu Zertifikate>Organisationsvertrauen>Zertifikatspeicherort. Vergewissern Sie sich, dass Ihr Zertifikat auf der rechten Seite angezeigt wird.

5. Wählen Sie auf der Taskleiste der Zertifikat-Manager-Konsole Aktionen>Alle Aufgaben>Exportieren aus. Wählen Sie Weiter aus.

   Anmerkung

   Je nachdem, über wie viele Azure Stack Hub-Zertifikate Sie verfügen, müssen Sie diesen Vorgang möglicherweise mehrmals abschließen.

6. Wählen Sie Ja, exportieren Sie den privaten Schlüssel, und wählen Sie dann Weiteraus.

7. Im Abschnitt "Export-Dateiformat"

   • Wählen Sie Alle Zertifikate in das Zertifikat einschließen, falls möglich.
   • Wählen Sie Alle erweiterten Eigenschaftenexportieren.
   • Wählen Sie Zertifikatdatenschutz aktivieren.
   • Wählen Sie Weiter aus.

   

8. Wählen Sie Kennwort- aus, und geben Sie ein Kennwort für die Zertifikate ein. Erstellen Sie ein Kennwort, das die folgenden Anforderungen an die Kennwortkomplexität erfüllt:

   • Eine Mindestlänge von acht Zeichen.
   • Mindestens drei der folgenden Zeichen: Großbuchstaben, Kleinbuchstaben, Zahlen von 0 bis 9, Sonderzeichen, alphabetisches Zeichen, das nicht Groß- oder Kleinbuchstaben ist.

   Notieren Sie sich dieses Kennwort. Sie verwenden sie später als Bereitstellungsparameter.

9. Wählen Sie Weiter aus.

10. Wählen Sie einen Dateinamen und Speicherort für die zu exportierende PFX-Datei aus. Wählen Sie Weiter aus.

11. Wählen Sie Fertig stellenaus.

Nächste Schritte

Überprüfen von PKI-Zertifikaten