Condividi tramite

Preparare i certificati PKI dell'hub di Azure Stack per la distribuzione o la rotazione

  • Articolo

Nota

Questo articolo descrive solo la preparazione dei certificati esterni, che vengono usati per proteggere gli endpoint su infrastruttura e servizi esterni. I certificati interni vengono gestiti separatamente, durante il processo di rotazione dei certificati .

Nota

Se si installa Registro Azure Container, è consigliabile allineare le date di scadenza dei certificati del Registro Azure Container esterno alle date di scadenza degli altri certificati dell'hub di Azure Stack esterno. È inoltre consigliabile proteggere il file PFX per Azure Container Registry con la stessa password usata per proteggere gli altri PFX dei certificati esterni.

I file di certificato ottenuti dall'autorità di certificazione (CA) devono essere importati ed esportati con proprietà corrispondenti ai requisiti del certificato dell'hub di Azure Stack.

Questo articolo illustra come importare, creare pacchetti e convalidare certificati esterni per preparare la distribuzione o la rotazione dei segreti dell'hub di Azure Stack.

Prerequisiti

Il sistema deve soddisfare i prerequisiti seguenti prima di creare pacchetti di certificati PKI per una distribuzione dell'hub di Azure Stack:

  • I certificati restituiti dall'autorità di certificazione vengono archiviati in una singola directory, in formato .cer (altri formati configurabili, ad esempio .cert, .sst o pfx).
  • Windows 10 o Windows Server 2016 o versione successiva.
  • Usare lo stesso sistema che ha generato la richiesta di firma del certificato (a meno che non si usi un certificato prepacchetto in PFX).
  • Usare sessioni di PowerShell con privilegi elevati.

Continuare alla sezione appropriata Preparare i certificati (controllo dell'idoneità di Azure Stack) o Preparare i certificati (passaggi manuali).

Preparare i certificati (controllo dell'idoneità di Azure Stack)

Usare questi passaggi per creare pacchetti di certificati usando i cmdlet di PowerShell per la verifica dell'idoneità di Azure Stack:

  1. Installare il modulo di verifica dell'idoneità di Azure Stack da un prompt di PowerShell (5.1 o versione successiva), eseguendo il cmdlet seguente:

    Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease

  2. Specificare il percorso ai file di certificato. Per esempio:

    $Path = "$env:USERPROFILE\Documents\AzureStack"

  3. Dichiara il pfxPassword. Per esempio:

    $pfxPassword = Read-Host -AsSecureString -Prompt "PFX Password"

  4. Dichiarare il ExportPath in cui verranno esportati i PFX risultanti. Per esempio:

    $ExportPath = "$env:USERPROFILE\Documents\AzureStack"

  5. Convertire i certificati in certificati dell'hub di Azure Stack. Per esempio:

    ConvertTo-AzsPFX -Path $Path -pfxPassword $pfxPassword -ExportPath $ExportPath

  6. Esaminare l'output:

    ConvertTo-AzsPFX v1.2005.1286.272 started.

    Stage 1: Scanning Certificates
    Path: C:\Users\[*redacted*]\Documents\AzureStack Filter: CER Certificate count: 11
    adminmanagement_east_azurestack_contoso_com_CertRequest_20200710235648.cer
    adminportal_east_azurestack_contoso_com_CertRequest_20200710235645.cer
    management_east_azurestack_contoso_com_CertRequest_20200710235644.cer
    portal_east_azurestack_contoso_com_CertRequest_20200710235646.cer
    wildcard_adminhosting_east_azurestack_contoso_com_CertRequest_20200710235649.cer
    wildcard_adminvault_east_azurestack_contoso_com_CertRequest_20200710235642.cer
    wildcard_blob_east_azurestack_contoso_com_CertRequest_20200710235653.cer
    wildcard_hosting_east_azurestack_contoso_com_CertRequest_20200710235652.cer
    wildcard_queue_east_azurestack_contoso_com_CertRequest_20200710235654.cer
    wildcard_table_east_azurestack_contoso_com_CertRequest_20200710235650.cer
    wildcard_vault_east_azurestack_contoso_com_CertRequest_20200710235647.cer

Detected ExternalFQDN: east.azurestack.contoso.com

Stage 2: Exporting Certificates
    east.azurestack.contoso.com\Deployment\ARM Admin\ARMAdmin.pfx
    east.azurestack.contoso.com\Deployment\Admin Portal\AdminPortal.pfx
    east.azurestack.contoso.com\Deployment\ARM Public\ARMPublic.pfx
    east.azurestack.contoso.com\Deployment\Public Portal\PublicPortal.pfx
    east.azurestack.contoso.com\Deployment\Admin Extension Host\AdminExtensionHost.pfx
    east.azurestack.contoso.com\Deployment\KeyVaultInternal\KeyVaultInternal.pfx
    east.azurestack.contoso.com\Deployment\ACSBlob\ACSBlob.pfx
    east.azurestack.contoso.com\Deployment\Public Extension Host\PublicExtensionHost.pfx
    east.azurestack.contoso.com\Deployment\ACSQueue\ACSQueue.pfx
    east.azurestack.contoso.com\Deployment\ACSTable\ACSTable.pfx
    east.azurestack.contoso.com\Deployment\KeyVault\KeyVault.pfx

Stage 3: Validating Certificates.

Validating east.azurestack.contoso.com-Deployment-AAD certificates in C:\Users\[*redacted*]\Documents\AzureStack\east.azurestack.contoso.com\Deployment 

Testing: KeyVaultInternal\KeyVaultInternal.pfx
Thumbprint: E86699****************************4617D6
    PFX Encryption: OK
    Expiry Date: OK
    Signature Algorithm: OK
    DNS Names: OK
    Key Usage: OK
    Key Length: OK
    Parse PFX: OK
    Private Key: OK
    Cert Chain: OK
    Chain Order: OK
    Other Certificates: OK
Testing: ARM Public\ARMPublic.pfx
    ...
Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
ConvertTo-AzsPFX Completed

    Nota

    Usare Get-help ConvertTo-AzsPFX -Full per visualizzare altre opzioni, ad esempio la disabilitazione della convalida o il filtro per formati di certificato diversi.

    Dopo una convalida corretta, i certificati possono essere presentati per la distribuzione o la rotazione senza altri passaggi.

Preparare i certificati (passaggi manuali)

È possibile usare questi passaggi manuali per creare un pacchetto di certificati per i nuovi certificati PKI dell'hub di Azure Stack.

Importare il certificato

  1. Copiare le versioni originali dei certificati ottenute dalla CA preferita in una directory nell'host di distribuzione.

    Avvertimento

    Non copiare file già importati, esportati o modificati in alcun modo dai file forniti direttamente dalla CA.

  2. Fare clic con il pulsante destro del mouse sul certificato e selezionare Installa certificato o Installa PFX, a seconda della modalità di distribuzione del certificato dalla CA.

  3. Nella Importazione guidata certificatiselezionare Macchina locale come destinazione di importazione. Selezionare Avanti. Nella schermata seguente selezionare di nuovo avanti.

    percorso di importazione del computer locale per l' del certificato

  4. Seleziona Posiziona tutti i certificati nel seguente archivio e quindi seleziona Enterprise Trust come ubicazione. Selezionare OK per chiudere la finestra di dialogo di selezione dell'archivio certificati e quindi selezionare Avanti.

    Configurare l'archivio certificati per l'importazione di certificati

    1. Se si importa un file PFX, viene visualizzata una finestra di dialogo aggiuntiva. Nella pagina Protezione della chiave privata, immettere la password per i file di certificato e quindi abilitare l'opzione Contrassegna questa chiave come esportabile, consentendo di eseguire il backup o il trasporto delle chiavi in un secondo momento. Selezionare Avanti.

    Contrassegnare la chiave come esportabile

  5. Selezionare Fine per completare l'importazione.

Nota

Dopo aver importato un certificato per l'hub di Azure Stack, la chiave privata del certificato viene archiviata come file PKCS 12 (PFX) nell'archiviazione in cluster.

Esportare il certificato

Aprire la console MMC di Gestione certificati e connettersi all'archivio certificati del computer locale.

  1. Aprire Microsoft Management Console. Per aprire la console in Windows 10, fare clic con il pulsante destro del mouse sul menu Start , selezionare Esegui, quindi digitare mmc e premere INVIO.

  2. Selezionare File>Aggiungi/Rimuovisnap-in, quindi selezionare Certificati e selezionare Aggiungi.

    aggiungi snap-in certificati in Microsoft Management Console

  3. Selezionare Account computer, quindi selezionare Avanti. Selezionare computer locale e quindi Fine. Selezionare OK per chiudere la pagina Aggiungi/Rimuovi Snap-In.

    Selezionare l'account per aggiungere lo snap-in

  4. Sfoglia a Certificati>Attendibilità aziendale>Posizione certificato. Verificare che il certificato sia visualizzato a destra.

  5. Nella console di Gestione certificati selezionare Azioni >Tutti i compiti>Esporta. Selezionare Avanti.

    Nota

    A seconda del numero di certificati dell'hub di Azure Stack, potrebbe essere necessario completare questo processo più volte.

  6. Selezionare Sì, Esporta la chiave privatae quindi selezionare Avanti.

  7. Nella sezione Formato file di esportazione:

    • Selezionare Includi tutti i certificati nel certificato, se possibile,.
    • Selezionare Esporta tutte le proprietà estese.
    • Selezionare Abilita la privacy del certificato.
    • Selezionare Avanti.

    Esportazione guidata certificati con opzioni selezionate

  8. Selezionare Password e specificare una password per i certificati. Creare una password che soddisfi i requisiti di complessità delle password seguenti:

    • Lunghezza minima di otto caratteri.
    • Almeno tre dei caratteri seguenti: lettera maiuscola, lettera minuscola, numeri da 0 a 9, caratteri speciali, carattere alfabetico non maiuscolo o minuscolo.

    Prendere nota di questa password. Verrà usato in un secondo momento come parametro di distribuzione.

  9. Selezionare Avanti.

  10. Scegliere un nome file e un percorso per il file PFX da esportare. Selezionare Avanti.

  11. Selezionare Fine.

Passaggi successivi

Convalidare i certificati PKI