Compartir a través de

Preparación de certificados PKI de Azure Stack Hub para la implementación o rotación

  • Artículo

Nota

En este artículo solo se describe la preparación de certificados externos, que se usan para proteger puntos de conexión en servicios y infraestructuras externos. Los certificados internos se administran por separado, durante el proceso de rotación de certificados de .

Nota

Si va a instalar Azure Container Registry (ACR), se recomienda alinear las fechas de expiración de los certificados ACR externos con las fechas de expiración de los otros certificados externos de Azure Stack Hub. Además, se recomienda proteger su PFX para ACR con la misma contraseña que usa para proteger sus otros PFX de certificado externo.

Los archivos de certificado obtenidos de la entidad de certificación (CA) deben importarse y exportarse con propiedades que coincidan con los requisitos de certificado de Azure Stack Hub.

En este artículo, aprenderá a importar, empaquetar y validar certificados externos para prepararse para la implementación de Azure Stack Hub y la rotación de secretos.

Prerrequisitos

El sistema debe cumplir los siguientes requisitos previos antes de empaquetar certificados PKI para una implementación de Azure Stack Hub:

  • Los certificados devueltos por la entidad de certificación se almacenan en un único directorio, en .cer formato (otros formatos configurables, como .cert, .sst o .pfx).
  • Windows 10 o Windows Server 2016 o posterior.
  • Use el mismo sistema que generó la solicitud de firma de certificados (a menos que tenga como destino un certificado empaquetado previamente en PFX).
  • Use sesiones de PowerShell con privilegios elevados.

Continúe a la sección adecuada de Preparación de certificados (comprobador de preparación de Azure Stack) o Preparación de certificados (pasos manuales).

Preparación de certificados (comprobador de preparación de Azure Stack)

Siga estos pasos para empaquetar certificados mediante los cmdlets de PowerShell del comprobador de preparación de Azure Stack:

  1. Instale el módulo de Azure Stack Readiness Checker desde un símbolo del sistema de PowerShell (5.1 o superior) mediante la ejecución del siguiente cmdlet:

    Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease

  2. Especifique la ruta de acceso a los archivos de certificado. Por ejemplo:

    $Path = "$env:USERPROFILE\Documents\AzureStack"

  3. Declare la contraseña pfxPassword. Por ejemplo:

    $pfxPassword = Read-Host -AsSecureString -Prompt "PFX Password"

  4. Declare la ruta de ExportPath a la que se exportarán los PFX resultantes. Por ejemplo:

    $ExportPath = "$env:USERPROFILE\Documents\AzureStack"

  5. Conversión de certificados en certificados de Azure Stack Hub. Por ejemplo:

    ConvertTo-AzsPFX -Path $Path -pfxPassword $pfxPassword -ExportPath $ExportPath

  6. Revise la salida:

    ConvertTo-AzsPFX v1.2005.1286.272 started.

    Stage 1: Scanning Certificates
    Path: C:\Users\[*redacted*]\Documents\AzureStack Filter: CER Certificate count: 11
    adminmanagement_east_azurestack_contoso_com_CertRequest_20200710235648.cer
    adminportal_east_azurestack_contoso_com_CertRequest_20200710235645.cer
    management_east_azurestack_contoso_com_CertRequest_20200710235644.cer
    portal_east_azurestack_contoso_com_CertRequest_20200710235646.cer
    wildcard_adminhosting_east_azurestack_contoso_com_CertRequest_20200710235649.cer
    wildcard_adminvault_east_azurestack_contoso_com_CertRequest_20200710235642.cer
    wildcard_blob_east_azurestack_contoso_com_CertRequest_20200710235653.cer
    wildcard_hosting_east_azurestack_contoso_com_CertRequest_20200710235652.cer
    wildcard_queue_east_azurestack_contoso_com_CertRequest_20200710235654.cer
    wildcard_table_east_azurestack_contoso_com_CertRequest_20200710235650.cer
    wildcard_vault_east_azurestack_contoso_com_CertRequest_20200710235647.cer

Detected ExternalFQDN: east.azurestack.contoso.com

Stage 2: Exporting Certificates
    east.azurestack.contoso.com\Deployment\ARM Admin\ARMAdmin.pfx
    east.azurestack.contoso.com\Deployment\Admin Portal\AdminPortal.pfx
    east.azurestack.contoso.com\Deployment\ARM Public\ARMPublic.pfx
    east.azurestack.contoso.com\Deployment\Public Portal\PublicPortal.pfx
    east.azurestack.contoso.com\Deployment\Admin Extension Host\AdminExtensionHost.pfx
    east.azurestack.contoso.com\Deployment\KeyVaultInternal\KeyVaultInternal.pfx
    east.azurestack.contoso.com\Deployment\ACSBlob\ACSBlob.pfx
    east.azurestack.contoso.com\Deployment\Public Extension Host\PublicExtensionHost.pfx
    east.azurestack.contoso.com\Deployment\ACSQueue\ACSQueue.pfx
    east.azurestack.contoso.com\Deployment\ACSTable\ACSTable.pfx
    east.azurestack.contoso.com\Deployment\KeyVault\KeyVault.pfx

Stage 3: Validating Certificates.

Validating east.azurestack.contoso.com-Deployment-AAD certificates in C:\Users\[*redacted*]\Documents\AzureStack\east.azurestack.contoso.com\Deployment 

Testing: KeyVaultInternal\KeyVaultInternal.pfx
Thumbprint: E86699****************************4617D6
    PFX Encryption: OK
    Expiry Date: OK
    Signature Algorithm: OK
    DNS Names: OK
    Key Usage: OK
    Key Length: OK
    Parse PFX: OK
    Private Key: OK
    Cert Chain: OK
    Chain Order: OK
    Other Certificates: OK
Testing: ARM Public\ARMPublic.pfx
    ...
Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
ConvertTo-AzsPFX Completed

    Nota

    Use Get-help ConvertTo-AzsPFX -Full para ver más opciones, como deshabilitar la validación o el filtrado para distintos formatos de certificado.

    Después de una validación correcta, se pueden presentar certificados para la implementación o rotación sin pasos adicionales.

Preparación de certificados (pasos manuales)

Puede usar estos pasos manuales para empaquetar certificados para nuevos certificados PKI de Azure Stack Hub.

Importación del certificado

  1. Copie las versiones de certificado originales obtenidos de la entidad de certificación que prefiera en un directorio del host de implementación.

    Advertencia

    No copie los archivos que ya se importaron, exportaron o modificaron de alguna manera de los archivos proporcionados directamente por la Autoridad de Certificación.

  2. Haga clic con el botón derecho en el certificado y seleccione Instalar certificado o Instalar PFX, dependiendo de cómo se entrega el certificado desde la entidad de certificación.

  3. En el Asistente para importación de certificados , seleccione máquina local como ubicación de importación. Seleccione Siguiente. En la siguiente pantalla, vuelva a seleccionar siguiente.

    Ubicación de importación de la máquina local para el certificado

  4. Seleccione Colocar todo el certificado en el siguiente almacén y, a continuación, seleccione Enterprise Trust como ubicación. Seleccione Aceptar para cerrar el cuadro de diálogo de selección de almacén de certificados y, luego, seleccione Siguiente.

    Configurar el almacén de certificados para la importación de certificados

    1. Si importa un PFX, aparecerá un cuadro de diálogo adicional. En la página protección de claves privadas, escriba la contraseña de sus archivos de certificados y, a continuación, habilite la opción Marcar esta clave como exportable para permitirle realizar copias de seguridad o transportar sus claves más adelante. Seleccione Siguiente.

    Marcar clave como exportable

  5. Seleccione Finalizar para completar la importación.

Nota

Después de importar un certificado para Azure Stack Hub, la clave privada del certificado se almacena como un archivo PKCS 12 (PFX) en el almacenamiento en clúster.

Exportación del certificado

Abra la consola MMC del Administrador de certificados y conéctese al almacén de certificados del equipo local.

  1. Abra Microsoft Management Console. Para abrir la consola en Windows 10, haga clic con el botón derecho en el menú Inicio , seleccione Ejecutar, y escriba mmc y pulse Enter.

  2. Haga clic en Archivo>Agregar o quitar complemento y, después, seleccione Certificados y haga clic en Agregar.

    Incorporación del complemento Certificados en Microsoft Management Console

  3. Seleccione la cuenta de equipo y seleccione Siguiente. Seleccione Equipo local y, después, seleccione Finalizar. Seleccione Aceptar para cerrar la página Agregar o quitar complemento.

    Seleccionar la cuenta para agregar complemento de certificados en Microsoft Management Console

  4. Vaya a Certificados>Confianza empresarial>Ubicación de certificado. Compruebe que ve el certificado a la derecha.

  5. En la barra de tareas de la consola del Administrador de certificados, seleccione Acciones>Todas las tareas>Exportar. Seleccione Siguiente.

    Nota

    En función del número de certificados de Azure Stack Hub que tenga, es posible que tenga que completar este proceso más de una vez.

  6. Seleccione Sí, Exportar la clave privaday, a continuación, seleccione Siguiente.

  7. En la sección Export File Format (Exportar formato de archivo):

    • Seleccione Incluir todos los certificados en el certificado si es posible.
    • Seleccione Exportar todas las propiedades extendidas.
    • Seleccione Habilitar la privacidad del certificado.
    • Seleccione Siguiente.

    Asistente para exportación de certificados con opciones seleccionadas

  8. Seleccione contraseña y proporcione una contraseña para los certificados. Cree una contraseña que cumpla los siguientes requisitos de complejidad de contraseña:

    • Longitud mínima de ocho caracteres.
    • Al menos tres de los siguientes caracteres: letra mayúscula, letra minúscula, números de 0 a 9, caracteres especiales, caracteres alfabéticos que no están en mayúsculas o minúsculas.

    Anote esta contraseña. Lo usas más adelante como parámetro de implementación.

  9. Seleccione Siguiente.

  10. Elija un nombre de archivo y una ubicación para el archivo PFX que se va a exportar. Seleccione Siguiente.

  11. Seleccione Finalizar.

Pasos siguientes

validar certificados PKI