Поделиться через

Подготовка PKI-сертификатов Azure Stack Hub для развертывания или смены

  • Статья

Заметка

В этой статье описывается только подготовка внешних сертификатов, которые используются для защиты конечных точек во внешней инфраструктуре и службах. Внутренние сертификаты управляются отдельно в процессе смены сертификатов .

Заметка

Если вы устанавливаете реестр контейнеров Azure (ACR), рекомендуется выровнять срок действия внешних сертификатов ACR с датами окончания срока действия других внешних сертификатов Azure Stack Hub. Кроме того, мы рекомендуем защитить ваш PFX для ACR тем же паролем, что и ваши другие внешние сертификаты PFX.

Файлы сертификатов , полученные из центра сертификации (ЦС), необходимо импортировать и экспортировать с свойствами, соответствующими требованиям к сертификату Azure Stack Hub.

В этой статье вы узнаете, как импортировать, упаковать и проверить внешние сертификаты, чтобы подготовиться к развертыванию Azure Stack Hub или смене секретов.

Необходимые условия

Система должна соответствовать следующим предварительным требованиям перед упаковкой PKI-сертификатов для развертывания Azure Stack Hub:

  • Сертификаты, возвращаемые центром сертификации, хранятся в одном каталоге в формате .cer (другие настраиваемые форматы, такие как cert, SST или PFX).
  • Windows 10 или Windows Server 2016 или более поздней версии.
  • Используйте ту же систему, которая создала запрос подписи сертификата (если вы не нацеливаете сертификат, предварительно упакованный в PFXs).
  • Используйте сеансы PowerShell с повышенными привилегиями.

Перейдите к соответствующему разделу Подготовьте сертификаты (средство проверки готовности Azure Stack) или Подготовьте сертификаты (вручную).

Подготовка сертификатов (средство проверки готовности Azure Stack)

Выполните следующие шаги, чтобы подготовить сертификаты с помощью командлетов PowerShell для проверки готовности Azure Stack:

  1. Установите модуль проверки готовности Azure Stack из запроса PowerShell (5.1 или более поздней версии), выполнив следующий командлет:

    Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease

  2. Укажите путь к файлам сертификатов. Например:

    $Path = "$env:USERPROFILE\Documents\AzureStack"

  3. Объявите pfxPassword. Например:

    $pfxPassword = Read-Host -AsSecureString -Prompt "PFX Password"

  4. Укажите ExportPath, куда будут экспортироваться полученные файлы PFX. Например:

    $ExportPath = "$env:USERPROFILE\Documents\AzureStack"

  5. Преобразуйте сертификаты в сертификаты Azure Stack Hub. Например:

    ConvertTo-AzsPFX -Path $Path -pfxPassword $pfxPassword -ExportPath $ExportPath

  6. Просмотрите выходные данные:

    ConvertTo-AzsPFX v1.2005.1286.272 started.

    Stage 1: Scanning Certificates
    Path: C:\Users\[*redacted*]\Documents\AzureStack Filter: CER Certificate count: 11
    adminmanagement_east_azurestack_contoso_com_CertRequest_20200710235648.cer
    adminportal_east_azurestack_contoso_com_CertRequest_20200710235645.cer
    management_east_azurestack_contoso_com_CertRequest_20200710235644.cer
    portal_east_azurestack_contoso_com_CertRequest_20200710235646.cer
    wildcard_adminhosting_east_azurestack_contoso_com_CertRequest_20200710235649.cer
    wildcard_adminvault_east_azurestack_contoso_com_CertRequest_20200710235642.cer
    wildcard_blob_east_azurestack_contoso_com_CertRequest_20200710235653.cer
    wildcard_hosting_east_azurestack_contoso_com_CertRequest_20200710235652.cer
    wildcard_queue_east_azurestack_contoso_com_CertRequest_20200710235654.cer
    wildcard_table_east_azurestack_contoso_com_CertRequest_20200710235650.cer
    wildcard_vault_east_azurestack_contoso_com_CertRequest_20200710235647.cer

Detected ExternalFQDN: east.azurestack.contoso.com

Stage 2: Exporting Certificates
    east.azurestack.contoso.com\Deployment\ARM Admin\ARMAdmin.pfx
    east.azurestack.contoso.com\Deployment\Admin Portal\AdminPortal.pfx
    east.azurestack.contoso.com\Deployment\ARM Public\ARMPublic.pfx
    east.azurestack.contoso.com\Deployment\Public Portal\PublicPortal.pfx
    east.azurestack.contoso.com\Deployment\Admin Extension Host\AdminExtensionHost.pfx
    east.azurestack.contoso.com\Deployment\KeyVaultInternal\KeyVaultInternal.pfx
    east.azurestack.contoso.com\Deployment\ACSBlob\ACSBlob.pfx
    east.azurestack.contoso.com\Deployment\Public Extension Host\PublicExtensionHost.pfx
    east.azurestack.contoso.com\Deployment\ACSQueue\ACSQueue.pfx
    east.azurestack.contoso.com\Deployment\ACSTable\ACSTable.pfx
    east.azurestack.contoso.com\Deployment\KeyVault\KeyVault.pfx

Stage 3: Validating Certificates.

Validating east.azurestack.contoso.com-Deployment-AAD certificates in C:\Users\[*redacted*]\Documents\AzureStack\east.azurestack.contoso.com\Deployment 

Testing: KeyVaultInternal\KeyVaultInternal.pfx
Thumbprint: E86699****************************4617D6
    PFX Encryption: OK
    Expiry Date: OK
    Signature Algorithm: OK
    DNS Names: OK
    Key Usage: OK
    Key Length: OK
    Parse PFX: OK
    Private Key: OK
    Cert Chain: OK
    Chain Order: OK
    Other Certificates: OK
Testing: ARM Public\ARMPublic.pfx
    ...
Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
ConvertTo-AzsPFX Completed

    Заметка

    Используйте Get-help ConvertTo-AzsPFX -Full для просмотра дополнительных параметров, таких как отключение проверки или фильтрации для различных форматов сертификатов.

    После успешной проверки сертификаты можно представить для развертывания или смены без дополнительных действий.

Подготовьте сертификаты (вручную)

Эти действия можно использовать вручную для упаковки сертификатов для новых PKI-сертификатов Azure Stack Hub.

Импорт сертификата

  1. Скопируйте исходные версии сертификатов , полученные из выбранного ЦС в каталог на узле развертывания.

    Предупреждение

    Не копируйте файлы, которые уже были импортированы, экспортированы или изменены каким-либо образом из файлов, предоставленных непосредственно ЦС.

  2. Щелкните правой кнопкой мыши сертификат и выберите установить сертификат или установить PFXв зависимости от способа доставки сертификата из ЦС.

  3. В мастере импорта сертификатоввыберите локальный компьютер в качестве расположения импорта. Выберите Далее. На следующем экране снова нажмите «Далее».

    расположение импорта локального компьютера для сертификата

  4. Выберите Поместить все сертификаты в следующее хранилище, а затем выберите Enterprise Trust в качестве места. Нажмите кнопку ОК, чтобы закрыть диалоговое окно выбора хранилища сертификатов, а затем нажмите кнопку Далее.

    Настройка хранилища сертификатов для импорта сертификатов

    1. При импорте PFX появится дополнительное диалоговое окно. На странице защита закрытых ключей введите пароль для файлов сертификатов, а затем включите опцию Пометить этот ключ как экспортируемый., что позволит позже создавать резервные копии или переносить ключи. Выберите Далее.

    пометить ключ как экспортируемый

  5. Нажмите кнопку Готово, чтобы завершить импорт.

Заметка

После импорта сертификата для Azure Stack Hub закрытый ключ сертификата хранится в виде PKCS 12-файла (PFX) в кластеризованном хранилище.

Экспорт сертификата

Откройте консоль диспетчера сертификатов MMC и подключитесь к хранилищу сертификатов локального компьютера.

  1. Откройте консоль управления Майкрософт. Чтобы открыть консоль в Windows 10, щелкните правой кнопкой мыши меню "Пуск", выберите Выполнить, затем введите mmc и нажмите клавишу ВВОД.

  2. Выберите Файл>Добавить или удалить оснастку, а затем выберите Сертификаты и выберите Добавить.

    Добавьте модуль сертификатов в консоль управления Microsoft

  3. Выберите учетную запись компьютера, затем выберите Далее. Выберите Локальный компьютер, а затем Готово. Нажмите кнопку ОК, чтобы закрыть страницу "Добавить и удалить Snap-In".

    Выберите учетную запись для оснастки

  4. Перейдите к Сертификаты>Корпоративное доверие>Расположение сертификатов. Убедитесь, что сертификат отображается справа.

  5. На панели задач консоли диспетчера сертификатов выберите Действия>Все задачи>Экспорт. Выберите Далее.

    Заметка

    В зависимости от того, сколько сертификатов Azure Stack Hub у вас есть, может потребоваться выполнить этот процесс несколько раз.

  6. Выберите Да, экспортируйте закрытый ключ, а затем выберите Далее.

  7. В разделе "Формат файла экспорта":

    • Выберите Включить все сертификаты в сертификат, если это возможно,.
    • Выберите Экспортировать все расширенные свойства.
    • Выберите Включить конфиденциальность сертификатов.
    • Выберите Далее.

    мастер экспорта сертификатов с выбранными параметрами

  8. Выберите пароль и укажите пароль для сертификатов. Создайте пароль, соответствующий следующим требованиям к сложности паролей:

    • Минимальная длина восьми символов.
    • По крайней мере три из следующих символов: прописная буква, строчная буква, цифры от 0 до 9, специальные символы, алфавитные символы, которые не имеют верхнего или нижнего регистра.

    Запишите этот пароль. Позже он используется в качестве параметра развертывания.

  9. Выберите Далее.

  10. Выберите имя файла и расположение для экспорта PFX-файла. Выберите Далее.

  11. Выберите Готово.

Дальнейшие действия

проверка сертификатов PKI