Weryfikowanie certyfikatów infrastruktury kluczy publicznych usługi Azure Stack Hub

Narzędzie do sprawdzania gotowości usługi Azure Stack Hub opisane w tym artykule jest dostępne z galerii programu PowerShell. Użyj narzędzia aby sprawdzić, czy certyfikaty infrastruktury kluczy publicznych (PKI) wygenerowane przez są odpowiednie przed wdrożeniem. Zweryfikuj certyfikaty, pozostawiając wystarczająco dużo czasu, aby przetestować i ponownie wystawiać certyfikaty w razie potrzeby.

Narzędzie sprawdzania gotowości przeprowadza następujące weryfikacje certyfikatów:

• analizowanie PFX
  Sprawdza prawidłowy plik PFX, poprawne hasło i czy informacje publiczne są chronione hasłem.
• data wygaśnięcia
  Sprawdza minimalną ważność wynoszącą siedem dni.
• algorytm podpisu
  Sprawdza, czy algorytm podpisu nie jest algorytmem SHA1.
• klucz prywatny
  Sprawdza, czy klucz prywatny jest obecny i jest eksportowany z atrybutem komputera lokalnego.
• łańcuch certyfikatów
  Sprawdza, czy łańcuch certyfikatów jest nienaruszony, w tym sprawdza, czy certyfikaty są podpisane własnym kluczem.
• nazwy DNS
  Sprawdza, czy sieć SAN zawiera odpowiednie nazwy DNS dla każdego punktu końcowego lub czy jest obecny pomocniczy symbol wieloznaczny.
• Użycie klucza
  Sprawdza, czy użycie klucza zawiera podpis cyfrowy i szyfrowanie klucza oraz sprawdza, czy rozszerzone użycie klucza zawiera uwierzytelnianie serwera i uwierzytelnianie klienta.
• rozmiar klucza
  Sprawdza, czy rozmiar klucza to 2048 lub większy.
• Zamówienie łańcucha
  Sprawdza kolejność innych certyfikatów sprawdzających poprawność zamówienia.
• Inne certyfikaty
  Upewnij się, że w formacie PFX nie zostały zawarte inne certyfikaty niż właściwy certyfikat końcowy i jego łańcuch certyfikatów.

Ważny

Certyfikat PKI jest plikiem PFX, a hasło powinno być traktowane jako informacje poufne.

Warunki wstępne

System powinien spełniać następujące wymagania wstępne przed zweryfikowaniem certyfikatów PKI dla wdrożenia usługi Azure Stack Hub:

• Narzędzie do sprawdzania gotowości usługi Microsoft Azure Stack Hub.
• Certyfikaty SSL wyeksportowane zgodnie z instrukcjami przygotowywania .
• DeploymentData.json.
• Windows 10 lub Windows Server 2016.

Przeprowadzanie weryfikacji certyfikatu usług podstawowych

Wykonaj następujące kroki, aby zweryfikować certyfikaty PKI usługi Azure Stack Hub na potrzeby wdrażania i rotacji tajemnic:

1. Zainstaluj azsReadinessChecker z poziomu wiersza polecenia programu PowerShell (5.1 lub nowszego), uruchamiając następujące polecenie cmdlet:

   Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
   

2. Utwórz strukturę katalogu certyfikatów. W poniższym przykładzie możesz zmienić <C:\Certificates\Deployment> na nową wybraną ścieżkę katalogu.

   New-Item C:\Certificates\Deployment -ItemType Directory
   
   $directories = 'ACSBlob', 'ACSQueue', 'ACSTable', 'Admin Extension Host', 'Admin Portal', 'ARM Admin', 'ARM Public', 'KeyVault', 'KeyVaultInternal', 'Public Extension Host', 'Public Portal'
   
   $destination = 'C:\Certificates\Deployment'
   
   $directories | % { New-Item -Path (Join-Path $destination $PSITEM) -ItemType Directory -Force}
   

   Nota

   Usługi AD FS i program Graph są wymagane, jeśli używasz usług AD FS jako systemu tożsamości. Na przykład:

   $directories = 'ACSBlob', 'ACSQueue', 'ACSTable', 'ADFS', 'Admin Extension Host', 'Admin Portal', 'ARM Admin', 'ARM Public', 'Graph', 'KeyVault', 'KeyVaultInternal', 'Public Extension Host', 'Public Portal'
   

   • Umieść certyfikaty w odpowiednich katalogach utworzonych w poprzednim kroku. Na przykład:
     • C:\Certificates\Deployment\ACSBlob\CustomerCertificate.pfx
     • C:\Certificates\Deployment\Admin Portal\CustomerCertificate.pfx
     • C:\Certificates\Deployment\ARM Admin\CustomerCertificate.pfx

3. W oknie programu PowerShell zmień wartości RegionName, FQDN i IdentitySystem odpowiednie dla środowiska usługi Azure Stack Hub i uruchom następujące polecenie cmdlet:

   $pfxPassword = Read-Host -Prompt "Enter PFX Password" -AsSecureString 
   Invoke-AzsHubDeploymentCertificateValidation -CertificatePath C:\Certificates\Deployment -pfxPassword $pfxPassword -RegionName east -FQDN azurestack.contoso.com -IdentitySystem AAD  
   

4. Sprawdź dane wyjściowe i upewnij się, że wszystkie certyfikaty przechodzą wszystkie testy. Na przykład:

   Invoke-AzsHubDeploymentCertificateValidation v1.2005.1286.272 started.
   Testing: KeyVaultInternal\KeyVaultInternal.pfx
   Thumbprint: E86699****************************4617D6
       PFX Encryption: OK
       Expiry Date: OK
       Signature Algorithm: OK
       DNS Names: OK
       Key Usage: OK
       Key Length: OK
       Parse PFX: OK
       Private Key: OK
       Cert Chain: OK
       Chain Order: OK
       Other Certificates: OK
   Testing: ARM Public\ARMPublic.pfx
   Thumbprint: 8DC4D9****************************69DBAA
       PFX Encryption: OK
       Expiry Date: OK
       Signature Algorithm: OK
       DNS Names: OK
       Key Usage: OK
       Key Length: OK
       Parse PFX: OK
       Private Key: OK
       Cert Chain: OK
       Chain Order: OK
       Other Certificates: OK
   Testing: Admin Portal\AdminPortal.pfx
   Thumbprint: 6F9055****************************4AC0EA
       PFX Encryption: OK
       Expiry Date: OK
       Signature Algorithm: OK
       DNS Names: OK
       Key Usage: OK
       Key Length: OK
       Parse PFX: OK
       Private Key: OK
       Cert Chain: OK
       Chain Order: OK
       Other Certificates: OK
   Testing: Public Portal\PublicPortal.pfx
   
   
   Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
   Report location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
   Invoke-AzsHubDeploymentCertificateValidation Completed
   

   Aby zweryfikować certyfikaty dla innych usług Azure Stack Hub, zmień wartość dla -CertificatePath. Na przykład:

   # App Services
   Invoke-AzsHubAppServicesCertificateValidation -CertificatePath C:\Certificates\AppServices -pfxPassword $pfxPassword -RegionName east -FQDN azurestack.contoso.com
   
   # DBAdapter
   Invoke-AzsHubDBAdapterCertificateValidation -CertificatePath C:\Certificates\DBAdapter -pfxPassword $pfxPassword -RegionName east -FQDN azurestack.contoso.com
   
   # EventHubs
   Invoke-AzsHubEventHubsCertificateValidation -CertificatePath C:\Certificates\EventHubs -pfxPassword $pfxPassword -RegionName east -FQDN azurestack.contoso.com
   

   Każdy folder powinien zawierać jeden plik PFX dla typu certyfikatu. Jeśli typ certyfikatu ma wymagania dotyczące wielu certyfikatów, zagnieżdżone foldery dla każdego certyfikatu są oczekiwane i wrażliwe na nazwy. Poniższy kod przedstawia przykładową strukturę folderu/certyfikatu dla wszystkich typów certyfikatów oraz odpowiednią wartość dla -CertificatePath.

   C:\>tree c:\SecretStore /A /F
       Folder PATH listing
       Volume serial number is 85AE-DF2E
       C:\SECRETSTORE
       \---AzureStack
           +---CertificateRequests
           \---Certificates
               +---AppServices         # Invoke-AzsCertificateValidation `
               |   +---API             # -CertificatePath C:\Certificates\AppServices
               |   |       api.pfx     
               |   |
               |   +---DefaultDomain
               |   |       wappsvc.pfx
               |   |
               |   +---Identity
               |   |       sso.pfx
               |   |
               |   \---Publishing
               |           ftp.pfx
               |
               +---DBAdapter           # Invoke-AzsCertificateValidation `
               |       dbadapter.pfx   # -CertificatePath C:\Certificates\DBAdapter
               |                       
               |
               +---Deployment          # Invoke-AzsCertificateValidation `
               |   +---ACSBlob         # -CertificatePath C:\Certificates\Deployment
               |   |       acsblob.pfx 
               |   |
               |   +---ACSQueue
               |   |       acsqueue.pfx
              ./. ./. ./. ./. ./. ./. ./.    <- Deployment certificate tree trimmed.
               |   \---Public Portal
               |           portal.pfx
               |
               \---EventHubs           # Invoke-AzsCertificateValidation `
                       eventhubs.pfx   # -CertificatePath C:\Certificates\EventHubs
   
   

Znane problemy

Objaw: testy są pomijane

Przyczyna: AzsReadinessChecker pomija niektóre testy, jeśli zależność nie jest spełnina:

• Inne certyfikaty są pomijane, jeśli łańcuch certyfikatów zakończy się niepowodzeniem.

  Testing: ACSBlob\singlewildcard.pfx
       Read PFX: OK
       Signature Algorithm: OK
       Private Key: OK
       Cert Chain: OK
       DNS Names: Fail
       Key Usage: OK
       Key Size: OK
       Chain Order: OK
       Other Certificates: Skipped
  Details:
  The certificate records '*.east.azurestack.contoso.com' do not contain a record that is valid for '*.blob.east.azurestack.contoso.com'. Please refer to the documentation for how to create the required certificate file.
  The other certificates check was skipped because cert chain and/or DNS names failed. Follow the guidance to remediate those issues and recheck. 
  
  Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
  Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
  Invoke-AzsCertificateValidation Completed
  

Rezolucja: Postępuj zgodnie ze wskazówkami narzędzia zawartymi w sekcji szczegółów w każdym zestawie testów dla każdego certyfikatu.

Objaw: sprawdzanie CRL protokołu HTTP kończy się niepowodzeniem, mimo że HTTP CDP jest zapisane w rozszerzeniach x509.

Przyczyna: obecnie usługa AzsReadinessChecker nie może sprawdzić dostępności usługi HTTP CDP w niektórych językach.

Rezolucja: Uruchom walidację z językiem systemu operacyjnego ustawionym na EN-US.

Certyfikaty

Katalog	Certyfikat
ACSBlob	wildcard_blob_<region>_<externalFQDN>
ACSQueue	wildcard_queue_<region>_<externalFQDN>
Tabela ACS	wildcard_table_<region>_<externalFQDN>
Host rozszerzenia administratora	wildcard_adminhosting_<region>_<externalFQDN>
Portal administracyjny	adminportal_<region>_<externalFQDN>
Administrator usługi ARM	adminmanagement_<region>_<externalFQDN>
Publiczna usługa ARM	management_<region>_<externalFQDN>
KeyVault	wildcard_vault_<region>_<externalFQDN>
KeyVaultInternal	wildcard_adminvault_<region>_<externalFQDN>
Host rozszerzenia publicznego	wildcard_hosting_<region>_<externalFQDN>
Portal publiczny	portal_<region>_<externalFQDN>

Następne kroki

Po zweryfikowaniu certyfikatów przez narzędzie AzsReadinessChecker możesz używać ich do wdrażania Azure Stack Hub lub rotacji tajnych danych po wdrożeniu.

• W przypadku wdrożenia bezpiecznie przetransferuj certyfikaty do inżyniera wdrażania, aby umożliwić im skopiowanie ich na hosta maszyny wirtualnej wdrożenia, jak określono w wymagania infrastruktury kluczy publicznych usługi Azure Stack Hub — obowiązkowe certyfikaty.
• Aby uzyskać informacje na temat rotacji tajemnic, zobacz Obracanie tajemnic w usłudze Azure Stack Hub. Rotacja certyfikatów dostawcy zasobów o wartości dodanej jest omówiona w sekcji Rotacja zewnętrznych tajemnic.