Partilhar via

Preparar certificados PKI do Azure Stack Hub para implementação ou substituição

  • Artigo

Observação

Este artigo trata apenas da preparação de certificados externos, que são usados para proteger pontos de extremidade em infraestrutura e serviços externos. Os certificados internos são gerenciados separadamente, durante o processo de rotação de certificados .

Observação

Se você estiver instalando o Azure Container Registry (ACR), recomendamos alinhar as datas de expiração de seus certificados ACR externos com as datas de expiração de seus outros certificados externos do Azure Stack Hub. Além disso, recomendamos proteger seu PFX para ACR com a mesma senha que você usa para proteger seus outros PFXs de certificado externos.

Os arquivos de certificado obtidos da autoridade de certificação (CA) devem ser importados e exportados com propriedades que correspondam aos requisitos de certificado do Azure Stack Hub.

Neste artigo, você aprenderá a importar, empacotar e validar certificados externos para se preparar para a implantação do Azure Stack Hub ou a rotação de segredos.

Pré-requisitos

Seu sistema deve atender aos seguintes pré-requisitos antes de empacotar certificados PKI para uma implantação do Azure Stack Hub:

  • Os certificados retornados da Autoridade de Certificação são armazenados em um único diretório, em formato .cer (outros formatos configuráveis, como .cert, .sst ou .pfx).
  • Windows 10 ou Windows Server 2016 ou posterior.
  • Use o mesmo sistema que gerou a Solicitação de Assinatura de Certificado (a menos que você esteja direcionando um certificado pré-empacotado em PFXs).
  • Use sessões elevadas do PowerShell.

Continue para a seção apropriada Preparar certificados (verificador de prontidão do Azure Stack), ou Preparar certificados (passos manuais).

Preparar certificados (verificador de preparação do Azure Stack)

Use estas etapas para empacotar certificados usando os cmdlets do PowerShell do verificador de preparação do Azure Stack:

  1. Instale o módulo do verificador de preparação do Azure Stack a partir de um prompt do PowerShell (5.1 ou superior), executando o seguinte cmdlet:

    Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease

  2. Especifique o caminho para os arquivos de certificado. Por exemplo:

    $Path = "$env:USERPROFILE\Documents\AzureStack"

  3. Declare o pfxPassword. Por exemplo:

    $pfxPassword = Read-Host -AsSecureString -Prompt "PFX Password"

  4. Declare o ExportPath para onde os PFXs resultantes serão exportados. Por exemplo:

    $ExportPath = "$env:USERPROFILE\Documents\AzureStack"

  5. Converter certificados em Certificados do Azure Stack Hub. Por exemplo:

    ConvertTo-AzsPFX -Path $Path -pfxPassword $pfxPassword -ExportPath $ExportPath

  6. Analise a saída:

    ConvertTo-AzsPFX v1.2005.1286.272 started.

    Stage 1: Scanning Certificates
    Path: C:\Users\[*redacted*]\Documents\AzureStack Filter: CER Certificate count: 11
    adminmanagement_east_azurestack_contoso_com_CertRequest_20200710235648.cer
    adminportal_east_azurestack_contoso_com_CertRequest_20200710235645.cer
    management_east_azurestack_contoso_com_CertRequest_20200710235644.cer
    portal_east_azurestack_contoso_com_CertRequest_20200710235646.cer
    wildcard_adminhosting_east_azurestack_contoso_com_CertRequest_20200710235649.cer
    wildcard_adminvault_east_azurestack_contoso_com_CertRequest_20200710235642.cer
    wildcard_blob_east_azurestack_contoso_com_CertRequest_20200710235653.cer
    wildcard_hosting_east_azurestack_contoso_com_CertRequest_20200710235652.cer
    wildcard_queue_east_azurestack_contoso_com_CertRequest_20200710235654.cer
    wildcard_table_east_azurestack_contoso_com_CertRequest_20200710235650.cer
    wildcard_vault_east_azurestack_contoso_com_CertRequest_20200710235647.cer

Detected ExternalFQDN: east.azurestack.contoso.com

Stage 2: Exporting Certificates
    east.azurestack.contoso.com\Deployment\ARM Admin\ARMAdmin.pfx
    east.azurestack.contoso.com\Deployment\Admin Portal\AdminPortal.pfx
    east.azurestack.contoso.com\Deployment\ARM Public\ARMPublic.pfx
    east.azurestack.contoso.com\Deployment\Public Portal\PublicPortal.pfx
    east.azurestack.contoso.com\Deployment\Admin Extension Host\AdminExtensionHost.pfx
    east.azurestack.contoso.com\Deployment\KeyVaultInternal\KeyVaultInternal.pfx
    east.azurestack.contoso.com\Deployment\ACSBlob\ACSBlob.pfx
    east.azurestack.contoso.com\Deployment\Public Extension Host\PublicExtensionHost.pfx
    east.azurestack.contoso.com\Deployment\ACSQueue\ACSQueue.pfx
    east.azurestack.contoso.com\Deployment\ACSTable\ACSTable.pfx
    east.azurestack.contoso.com\Deployment\KeyVault\KeyVault.pfx

Stage 3: Validating Certificates.

Validating east.azurestack.contoso.com-Deployment-AAD certificates in C:\Users\[*redacted*]\Documents\AzureStack\east.azurestack.contoso.com\Deployment 

Testing: KeyVaultInternal\KeyVaultInternal.pfx
Thumbprint: E86699****************************4617D6
    PFX Encryption: OK
    Expiry Date: OK
    Signature Algorithm: OK
    DNS Names: OK
    Key Usage: OK
    Key Length: OK
    Parse PFX: OK
    Private Key: OK
    Cert Chain: OK
    Chain Order: OK
    Other Certificates: OK
Testing: ARM Public\ARMPublic.pfx
    ...
Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
ConvertTo-AzsPFX Completed

    Observação

    Use Get-help ConvertTo-AzsPFX -Full para ver outras opções, como desabilitar a validação ou filtrar para diferentes formatos de certificado.

    Após uma validação bem-sucedida, os certificados podem ser apresentados para implantação ou rotação sem etapas adicionais.

Preparar certificados (etapas manuais)

Você pode usar estas etapas manuais para empacotar certificados para novos certificados PKI do Azure Stack Hub.

Importar o certificado

  1. Copie as versões originais do certificado obtidas da autoridade de certificação de sua escolha para um diretório no servidor de implementação.

    Advertência

    Não copie arquivos que já foram importados, exportados ou alterados de qualquer forma dos arquivos fornecidos diretamente pela autoridade de certificação.

  2. Clique com o botão direito do rato no certificado e selecione Instalar Certificado ou Instalar PFX, dependendo de como o certificado foi fornecido pela sua autoridade de certificação.

  3. No Assistente para Importação de Certificados, selecione Máquina Local como o local de importação. Selecione Avançar. Na tela seguinte, selecione Avançar novamente.

    Local de importação na máquina local para certificado

  4. Selecione Colocar todos os certificados na seguinte loja e, em seguida, selecione Confiança Empresarial como a localização. Selecione OK para fechar a caixa de diálogo de seleção do armazenamento de certificados e depois selecione Avançar.

    Configurar o armazenamento de certificados para importação de certificados

    1. Se importar um PFX, é-lhe apresentada uma caixa de diálogo adicional. Na página de proteção de chave privada, introduza a palavra-passe para os ficheiros de certificado e, em seguida, ative a opção Marcar como exportável esta chave., permitindo fazer backup ou transportar as suas chaves mais tarde. Selecione Avançar.

    Marcar chave como exportável

  5. Selecione Concluir para concluir a importação.

Observação

Depois de importar um certificado para o Azure Stack Hub, a chave privada do certificado é armazenada como um arquivo PKCS 12 (PFX) no armazenamento clusterizado.

Exportar o certificado

Abra o console do MMC do Gerenciador de Certificados e conecte-se ao armazenamento de certificados da máquina local.

  1. Abra o Console de Gerenciamento Microsoft. Para abrir o console no Windows 10, clique com o botão direito do mouse no Menu Iniciar, selecione Executar, digite mmc e pressione enter.

  2. Selecione Arquivo>Adicionar/Remover Snap-In, em seguida, selecione Certificados e, selecione Adicionar.

    Adicionar Snap-in de Certificados no Console de Gerenciamento Microsoft

  3. Selecione conta de computadore em seguida, selecione Avançar. Selecione computador local e depois Concluir. Selecione OK para fechar a página Adicionar/Remover Snap-In.

    Selecionar conta para Inserir snap-in de Certificados do Console de Gerenciamento Microsoft

  4. Navegue até Certificados>Trust Empresarial>localização do Certificado. Verifique se você vê seu certificado à direita.

  5. Na barra de tarefas do Console do Gestor de Certificados, selecione Ações>Todas as Tarefas>Exportar. Selecione Avançar.

    Observação

    Dependendo de quantos certificados do Azure Stack Hub você tem, talvez seja necessário concluir esse processo mais de uma vez.

  6. Selecione Sim, exporte a chave privadae, em seguida, selecione Seguinte.

  7. Na seção Formato de arquivo de exportação:

    • Selecione Incluir todos os certificados no certificado, se possível,.
    • Selecione Exportar todas as Propriedades Estendidas.
    • Selecione Ativar a privacidade do certificado.
    • Selecione Avançar.

    Assistente de exportação de certificados com opções selecionadas

  8. Selecione de senha e forneça uma senha para os certificados. Crie uma senha que atenda aos seguintes requisitos de complexidade de senha:

    • Um comprimento mínimo de oito caracteres.
    • Pelo menos três dos seguintes caracteres: letra maiúscula, letra minúscula, números de 0 a 9, caracteres especiais, caractere alfabético que não seja maiúsculo ou minúsculo.

    Anote esta palavra-passe. Você pode usá-lo posteriormente como um parâmetro de implantação.

  9. Selecione Avançar.

  10. Escolha um nome de arquivo e um local para o arquivo PFX a ser exportado. Selecione Avançar.

  11. Selecione Concluir.

Próximos passos

Validar certificados PKI