Aanvragen voor certificaatondertekening genereren voor Azure Stack Hub

U gebruikt het hulpprogramma Gereedheidscontrole van Azure Stack Hub om aanvragen voor certificaatondertekening (CDR's) te maken die geschikt zijn voor een Azure Stack Hub-implementatie of voor het vernieuwen van certificaten voor een bestaande implementatie. Het is belangrijk om certificaten aan te vragen, te genereren en te valideren met voldoende doorlooptijd om ze te testen voordat ze worden geïmplementeerd.

Het hulpprogramma wordt gebruikt om de volgende certificaten aan te vragen, op basis van het CSR-certificaataanvraagscenario keuzemenu bovenaan dit artikel:

• Standaardcertificaten voor een nieuwe implementatie: kies Nieuwe implementatie met behulp van het Een CSR-certificaatscenario kiezen selector boven aan dit artikel.
• Verlengingscertificaten voor een bestaande implementatie: kies Verlenging met behulp van de Kies een CSR-certificaatscenario selector boven aan dit artikel.
• PaaS-certificaten (Platform-as-a-Service): kan eventueel worden gegenereerd met zowel standaardcertificaten als verlengingscertificaten. Zie PKI-certificaatvereisten (Public Key Infrastructure) van Azure Stack Hub: optionele PaaS-certificaten voor meer informatie.

Voorwaarden

Voordat u CDR's genereert voor PKI-certificaten voor een Azure Stack Hub-implementatie, moet uw systeem voldoen aan de volgende vereisten:

• U moet zich op een computer bevinden met Windows 10 of hoger of Windows Server 2016 of hoger.
• Installeer het hulpprogramma Azure Stack Hub Readiness Checker via een PowerShell-prompt (5.1 of hoger) met behulp van de volgende cmdlet:

       Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
  

• U hebt de volgende kenmerken nodig voor uw certificaat:
  • Regio naam
  • Externe volledig gekwalificeerde domeinnaam (FQDN)
  • Onderwerp

CDR's genereren voor nieuwe implementatiecertificaten

Notitie

Verhoogde bevoegdheden zijn vereist voor het genereren van aanvragen voor certificaatondertekening. In beperkte omgevingen waar uitbreiding niet mogelijk is, kunt u dit hulpprogramma gebruiken om sjabloonbestanden met duidelijke tekst te genereren, die alle informatie bevatten die vereist is voor externe Azure Stack Hub-certificaten. Vervolgens moet u deze sjabloonbestanden op een sessie met verhoogde bevoegdheid gebruiken om het genereren van het openbare/persoonlijke sleutelpaar te voltooien. Zie hieronder voor meer informatie.

Om CSR's voor te bereiden op nieuwe PKI-certificaten van Azure Stack Hub, voert u de volgende stappen uit:

1. Open een PowerShell-sessie op de computer waarop u het hulpprogramma Gereedheidscontrole hebt geïnstalleerd.

2. Declareer de volgende variabelen:

   Notitie

   <regionName>.<externalFQDN> vormt de basis waarop alle externe DNS-namen in Azure Stack Hub worden gemaakt. In het volgende voorbeeld zou de portal portal.east.azurestack.contoso.comzijn.

   $outputDirectory = "$ENV:USERPROFILE\Documents\AzureStackCSR" # An existing output directory
   $IdentitySystem = "AAD"                     # Use "AAD" for Azure Active Director, "ADFS" for Active Directory Federation Services
   $regionName = 'east'                        # The region name for your Azure Stack Hub deployment
   $externalFQDN = 'azurestack.contoso.com'    # The external FQDN for your Azure Stack Hub deployment
   

Genereer nu de CDR's met dezelfde PowerShell-sessie. De instructies zijn specifiek voor de Onderwerp--indeling die u hieronder selecteert:

onderwerp zonder CN

Notitie

De eerste DNS-naam van de Azure Stack Hub-service wordt geconfigureerd als het CN-veld in de certificaataanvraag.

1. Declareer een onderwerp, bijvoorbeeld:

   $subject = "C=US,ST=Washington,L=Redmond,O=Microsoft,OU=Azure Stack Hub"
   

2. Genereer CDR's door een van de volgende handelingen uit te voeren:

   • Voor een productie-implementatieomgevinggenereert het eerste script CSRs voor implementatiecertificaten.

     New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
     

   • Het tweede script gebruikt, indien gewenst, de -IncludeContainerRegistry en genereert een CSR voor Azure Container Registry op hetzelfde moment als CDR's voor implementatiecertificaten:

     New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem -IncludeContainerRegistry
     

   • Met het derde script worden CDR's gegenereerd voor eventuele optionele PaaS-services die u hebt geïnstalleerd:

     # App Services
     New-AzsHubAppServicesCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
     
     # DBAdapter (SQL/MySQL)
     New-AzsHubDbAdapterCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
     
     # EventHubs
     New-AzsHubEventHubsCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
     
     # Azure Container Registry
     New-AzsHubAzureContainerRegistryCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory 
     

   • Voor een omgeving met lage bevoegdhedenvoegt u de parameter -LowPrivilege toe om een sjabloonbestand met duidelijke tekst te genereren met de benodigde kenmerken:

     New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem -LowPrivilege
     

   • Voor een ontwikkel- en testomgevingvoegt u de -RequestType SingleCSR parameter en waarde toe om één CSR te genereren met alternatieve namen voor meerdere onderwerpen.

     Belangrijk

     We raden niet het gebruik van deze benadering voor productieomgevingen aan.

     New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -RequestType SingleCSR -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
     

onderwerp met CN

Notitie

De CN die u opgeeft, wordt geconfigureerd voor elke certificaataanvraag.

1. Declareer een onderwerp, bijvoorbeeld:

   $subject = "C=US,ST=Washington,L=Redmond,O=Microsoft,OU=Azure Stack Hub,CN=NWTraders"
   

2. Genereer CDR's door een van de volgende handelingen uit te voeren:

   • Voor een productie-implementatieomgevinggenereert het eerste script CDR's voor implementatiecertificaten:

     New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
     

   • Het tweede script gebruikt, indien gewenst, de -IncludeContainerRegistry en genereert een CSR voor Azure Container Registry op hetzelfde moment als CDR's voor implementatiecertificaten:

     New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem -IncludeContainerRegistry
     

   • Met het derde script worden CDR's gegenereerd voor eventuele optionele PaaS-services die u hebt geïnstalleerd:

     # App Services
     New-AzsHubAppServicesCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
     
     # DBAdapter (SQL/MySQL)
     New-AzsHubDbAdapterCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
     
     # EventHubs
     New-AzsHubEventHubsCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
     
     # Azure Container Registry
     New-AzsHubAzureContainerRegistryCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory 
     

   • Voor een omgeving met lage bevoegdhedenvoegt u de parameter -LowPrivilege toe om een sjabloonbestand met duidelijke tekst te genereren met de benodigde kenmerken:

     New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem -LowPrivilege
     

   • Voor een ontwikkel- en testomgevingvoegt u de -RequestType SingleCSR parameter en waarde toe om één CSR te genereren met alternatieve namen voor meerdere onderwerpen.

     Belangrijk

     We niet het gebruik van deze benadering voor productieomgevingen aan te raden.

     New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -RequestType SingleCSR -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
     

Onderwerp alleen met CN

Notitie

Het hulpprogramma Gereedheidscontrole genereert een CN voor elk certificaat en er worden geen andere relatieve DN-namen opgenomen in het onderwerp.

1. Genereer CDR's door een van de volgende handelingen uit te voeren:

   • Voor een productie-implementatieomgeving, genereert het eerste script CSRs voor implementatiecertificaten.

     New-AzsCertificateSigningRequest -CertificateType Deployment -RegionName $regionName -FQDN $externalFQDN -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
     

   • Het tweede script gebruikt, indien gewenst, de -IncludeContainerRegistry en genereert een CSR voor Azure Container Registry op hetzelfde moment als CDR's voor implementatiecertificaten:

     New-AzsCertificateSigningRequest -CertificateType Deployment -RegionName $regionName -FQDN $externalFQDN -OutputRequestPath $OutputDirectory -IncludeContainerRegistry
     

   • Met het derde script worden CDR's gegenereerd voor eventuele optionele PaaS-services die u hebt geïnstalleerd:

     # App Services
     New-AzsCertificateSigningRequest -CertificateType AppServices -RegionName $regionName -FQDN $externalFQDN -OutputRequestPath $OutputDirectory
     
     # DBAdapter (SQL/MySQL)
     New-AzsCertificateSigningRequest -CertificateType DbAdapter -RegionName $regionName -FQDN $externalFQDN -OutputRequestPath $OutputDirectory
     
     # EventHubs
     New-AzsCertificateSigningRequest -CertificateType EventHubs -RegionName $regionName -FQDN $externalFQDN -OutputRequestPath $OutputDirectory
     
     # Azure Container Registry
     New-AzsHubAzureContainerRegistryCertificateSigningRequest -CertificateType AzureContainerRegistry -RegionName $regionName -FQDN $externalFQDN -OutputRequestPath $OutputDirectory 
     

   • Voor een ontwikkel- en testomgevingvoegt u de -RequestType SingleCSR parameter en waarde toe om één CSR te genereren met alternatieve namen voor meerdere onderwerpen.

     Belangrijk

     We niet het gebruik van deze benadering voor productieomgevingen aan te raden.

     New-AzsCertificateSigningRequest -CertificateType Deployment -RegionName $regionName -FQDN $externalFQDN -RequestType SingleCSR -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
     

Voltooi de laatste stappen:

1. Controleer de uitvoer:

   Starting Certificate Request Process for Deployment
   CSR generating for following SAN(s): *.adminhosting.east.azurestack.contoso.com,*.adminvault.east.azurestack.contoso.com,*.blob.east.azurestack.contoso.com,*.hosting.east.azurestack.contoso.com,*.queue.east.azurestack.contoso.com,*.table.east.azurestack.contoso.com,*.vault.east.azurestack.contoso.com,adminmanagement.east.azurestack.contoso.com,adminportal.east.azurestack.contoso.com,management.east.azurestack.contoso.com,portal.east.azurestack.contoso.com
   Present this CSR to your Certificate Authority for Certificate Generation:  C:\Users\username\Documents\AzureStackCSR\Deployment_east_azurestack_contoso_com_SingleCSR_CertRequest_20200710165538.req
   Certreq.exe output: CertReq: Request Created
   

2. Als de parameter -LowPrivilege is gebruikt, is er een INF-bestand gegenereerd in de submap C:\Users\username\Documents\AzureStackCSR. Bijvoorbeeld:

   C:\Users\username\Documents\AzureStackCSR\Deployment_east_azurestack_contoso_com_SingleCSR_CertRequest_20200710165538_ClearTextTemplate.inf

   Kopieer het bestand naar een systeem waar uitbreiding is toegestaan en onderteken vervolgens elke aanvraag met certreq met behulp van de volgende syntaxis: certreq -new <example.inf> <example.req>. Voltooi vervolgens de rest van het proces op dat verhoogde systeem, omdat hiervoor het nieuwe certificaat moet worden gekoppeld dat is ondertekend door de CA met de persoonlijke sleutel, die wordt gegenereerd op het verhoogde systeem.

• De regio van uw systeem en de externe domeinnaam (FQDN) worden gebruikt door de Gereedheidscontrole om het eindpunt te bepalen voor het extraheren van kenmerken uit uw bestaande certificaten. Als een van de volgende gevallen op uw scenario van toepassing is, moet u de selector Een CSR-certificaatscenario kiezen boven aan dit artikel gebruiken en in plaats daarvan de nieuwe uitrol versie van dit artikel selecteren.
  • U wilt de kenmerken van certificaten op het eindpunt wijzigen, zoals onderwerp, sleutellengte en handtekeningalgoritmen.
  • U wilt een certificaatonderwerp gebruiken dat alleen het algemene naamkenmerk bevat.
• Controleer of u HTTPS-connectiviteit hebt voor uw Azure Stack Hub-systeem voordat u begint.

CDR's genereren voor verlengingscertificaten

In deze sectie vindt u informatie over de voorbereiding van CDR's voor het vernieuwen van bestaande Azure Stack Hub PKI-certificaten.

CSRs genereren

1. Open een PowerShell-sessie op de computer waarop u het hulpprogramma Gereedheidscontrole hebt geïnstalleerd.

2. Declareer de volgende variabelen:

   Notitie

   De Gereedheidscontrole gebruikt stampEndpoint plus een vooraf gedefinieerde tekenreeks om bestaande certificaten te vinden. portal.east.azurestack.contoso.com wordt bijvoorbeeld gebruikt voor implementatiecertificaten, sso.appservices.east.azurestack.contoso.com voor app-servicescertificaten, enzovoort.

   $regionName = 'east'                                            # The region name for your Azure Stack Hub deployment
   $externalFQDN = 'azurestack.contoso.com'                        # The external FQDN for your Azure Stack Hub deployment    
   $stampEndpoint = "$regionName.$externalFQDN"
   $outputDirectory = "$ENV:USERPROFILE\Documents\AzureStackCSR"   # Declare the path to an existing output directory
   

3. Genereer CDR's door een of meer van de volgende handelingen uit te voeren:

   • Voor een productieomgevinggenereert het eerste script CDR's voor implementatiecertificaten:

     New-AzsHubDeploymentCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
     

   • Het tweede script gebruikt, indien gewenst, de -IncludeContainerRegistry en genereert een CSR voor Azure Container Registry op hetzelfde moment als CDR's voor implementatiecertificaten:

     New-AzsHubDeploymentCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory -IncludeContainerRegistry
     

   • Met het derde script worden CDR's gegenereerd voor eventuele optionele PaaS-services die u hebt geïnstalleerd:

     # App Services
     New-AzsHubAppServicesCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
     
     # DBAdapter
     New-AzsHubDBAdapterCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
     
     # EventHubs
     New-AzsHubEventHubsCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
     
     # Azure Container Registry
     New-AzsHubAzureContainerRegistryCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory 
     

   • Voor een ontwikkel- en testomgevingvoegt u de -RequestType SingleCSR parameter en waarde toe om één CSR te genereren met alternatieve namen voor meerdere onderwerpen.

     Belangrijk

     We niet het gebruik van deze benadering voor productieomgevingen aan te raden.

     New-AzsHubDeploymentCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory -RequestType SingleCSR
     

4. Controleer de uitvoer:

   Querying StampEndpoint portal.east.azurestack.contoso.com for existing certificate
   Starting Certificate Request Process for Deployment
   CSR generating for following SAN(s): *.adminhosting.east.azurestack.contoso.com,*.adminvault.east.azurestack.contoso.com,*.blob.east.azurestack.contoso.com,*.hosting.east.azurestack.contoso.com,*.queue.east.azurestack.contoso.com,*.table.east.azurestack.contoso.com,*.vault.east.azurestack.contoso.com,adminmanagement.east.azurestack.contoso.com,adminportal.east.azurestack.contoso.com,management.east.azurestack.contoso.com,portal.east.azurestack.contoso.com
   Present this CSR to your certificate authority for certificate generation: C:\Users\username\Documents\AzureStackCSR\Deployment_east_azurestack_contoso_com_SingleCSR_CertRequest_20200710122723.req
   Certreq.exe output: CertReq: Request Created
   

Wanneer u klaar bent, dient u het gegenereerde .req-bestand in bij uw CA (intern of openbaar). De map die is opgegeven door de $outputDirectory-variabele bevat de CDR's die moeten worden verzonden naar een CA. De map bevat ook een onderliggende map met de .inf-bestanden die moeten worden gebruikt tijdens het genereren van certificaataanvragen. Zorg ervoor dat uw CA certificaten genereert met behulp van een gegenereerde aanvraag die voldoet aan de PKI-vereisten van Azure Stack Hub.

Volgende stappen

Zodra u uw certificaten van uw certificeringsinstantie hebt ontvangen, volgt u de stappen in Azure Stack Hub PKI-certificaten voorbereiden op hetzelfde systeem.