準備 Azure Stack Hub PKI 憑證以進行部署或輪替

注意

本文僅說明外部憑證的準備，這些憑證是用來保護外部基礎結構和服務上的端點。 在 憑證輪替過程中，內部憑證會被個別管理，。

注意

如果您要安裝 Azure Container Registry （ACR），建議您將外部 ACR 憑證的到期日與其他外部 Azure Stack Hub 憑證的到期日對齊。 此外，建議您使用您用來保護其他外部憑證 PFX 的相同密碼來保護 ACR 的 PFX。

憑證檔案 從證書頒發機構單位 （CA） 取得，必須匯入和匯出符合 Azure Stack Hub 憑證需求的屬性。

在本文中，您將瞭解如何匯入、封裝及驗證外部憑證，以準備 Azure Stack Hub 部署或秘密輪替。

先決條件

在封裝 Azure Stack Hub 部署的 PKI 憑證之前，您的系統應符合下列必要條件：

• 從證書頒發機構單位傳回的憑證會以.cer格式儲存在單一目錄中（其他可設定的格式，例如 .cert、.sst 或 .pfx）。
• Windows 10 或 Windows Server 2016 或更新版本。
• 使用相同的系統來產生憑證簽署要求（除非您以預先封裝成 PFX 的憑證為目標）。
• 使用提升許可權的 PowerShell 工作階段。

請繼續至適當的 準備憑證（Azure Stack 整備檢查程式） 或 準備憑證（手動步驟） 章節。

準備憑證 （Azure Stack 準備狀態檢查程式）

使用下列步驟，使用 Azure Stack 整備檢查程式 PowerShell Cmdlet 來封裝憑證：

1. 執行下列 Cmdlet，從 PowerShell 提示字元安裝 Azure Stack 整備檢查程式模組 （5.1 或更新版本）：

   Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
   

2. 指定 路徑 至憑證檔案。 例如：

   $Path = "$env:USERPROFILE\Documents\AzureStack"
   

3. 宣告 pfxPassword。 例如：

   $pfxPassword = Read-Host -AsSecureString -Prompt "PFX Password"
   

4. 宣告用於導出 PFX 結果的 ExportPath。 例如：

   $ExportPath = "$env:USERPROFILE\Documents\AzureStack"
   

5. 將憑證轉換為 Azure Stack Hub 憑證。 例如：

   ConvertTo-AzsPFX -Path $Path -pfxPassword $pfxPassword -ExportPath $ExportPath
   

6. 查看輸出：

   ConvertTo-AzsPFX v1.2005.1286.272 started.
   

   Stage 1: Scanning Certificates
       Path: C:\Users\[*redacted*]\Documents\AzureStack Filter: CER Certificate count: 11
       adminmanagement_east_azurestack_contoso_com_CertRequest_20200710235648.cer
       adminportal_east_azurestack_contoso_com_CertRequest_20200710235645.cer
       management_east_azurestack_contoso_com_CertRequest_20200710235644.cer
       portal_east_azurestack_contoso_com_CertRequest_20200710235646.cer
       wildcard_adminhosting_east_azurestack_contoso_com_CertRequest_20200710235649.cer
       wildcard_adminvault_east_azurestack_contoso_com_CertRequest_20200710235642.cer
       wildcard_blob_east_azurestack_contoso_com_CertRequest_20200710235653.cer
       wildcard_hosting_east_azurestack_contoso_com_CertRequest_20200710235652.cer
       wildcard_queue_east_azurestack_contoso_com_CertRequest_20200710235654.cer
       wildcard_table_east_azurestack_contoso_com_CertRequest_20200710235650.cer
       wildcard_vault_east_azurestack_contoso_com_CertRequest_20200710235647.cer
   
   Detected ExternalFQDN: east.azurestack.contoso.com
   
   Stage 2: Exporting Certificates
       east.azurestack.contoso.com\Deployment\ARM Admin\ARMAdmin.pfx
       east.azurestack.contoso.com\Deployment\Admin Portal\AdminPortal.pfx
       east.azurestack.contoso.com\Deployment\ARM Public\ARMPublic.pfx
       east.azurestack.contoso.com\Deployment\Public Portal\PublicPortal.pfx
       east.azurestack.contoso.com\Deployment\Admin Extension Host\AdminExtensionHost.pfx
       east.azurestack.contoso.com\Deployment\KeyVaultInternal\KeyVaultInternal.pfx
       east.azurestack.contoso.com\Deployment\ACSBlob\ACSBlob.pfx
       east.azurestack.contoso.com\Deployment\Public Extension Host\PublicExtensionHost.pfx
       east.azurestack.contoso.com\Deployment\ACSQueue\ACSQueue.pfx
       east.azurestack.contoso.com\Deployment\ACSTable\ACSTable.pfx
       east.azurestack.contoso.com\Deployment\KeyVault\KeyVault.pfx
   
   Stage 3: Validating Certificates.
   
   Validating east.azurestack.contoso.com-Deployment-AAD certificates in C:\Users\[*redacted*]\Documents\AzureStack\east.azurestack.contoso.com\Deployment 
   
   Testing: KeyVaultInternal\KeyVaultInternal.pfx
   Thumbprint: E86699****************************4617D6
       PFX Encryption: OK
       Expiry Date: OK
       Signature Algorithm: OK
       DNS Names: OK
       Key Usage: OK
       Key Length: OK
       Parse PFX: OK
       Private Key: OK
       Cert Chain: OK
       Chain Order: OK
       Other Certificates: OK
   Testing: ARM Public\ARMPublic.pfx
       ...
   Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
   ConvertTo-AzsPFX Completed
   

   注意

   使用 Get-help ConvertTo-AzsPFX -Full 來查看進一步的選項，例如停用驗證或篩選不同的憑證格式。

   在成功驗證之後，您可以針對部署或輪替提供憑證，而不需要任何額外的步驟。

準備憑證 （手動步驟）

您可以使用這些手動步驟來封裝新 Azure Stack Hub PKI 憑證的憑證。

匯入憑證

1. 將原始憑證版本 從您選擇的 CA 取得 複製到部署主機上的目錄。

   警告

   請勿從 CA 直接提供的檔案複製已匯入、匯出或改變的檔案。

2. 以滑鼠右鍵單擊憑證，然後選取 [安裝憑證 或 安裝 PFX，視憑證從 CA 傳遞的方式而定。

3. 在 [憑證匯入精靈]中，選取 [本機計算機] 做為匯入位置。 選取 下一步。 在下列畫面上，再次選取 [下一步]。

   的本機計算機匯入位置

4. 選取 將所有憑證放在下列存放區，然後選取 企業信任 作為位置。 選取 [確定] [確定] 關閉證書儲存選取對話框，然後選取 [[下一步]。

   

   1. 如果您匯入 PFX，您會看到其他對話框。 在 [私鑰保護 頁面上，輸入憑證檔案的密碼，然後啟用 將此密鑰標示為可匯出。 選項，可讓您稍後備份或傳輸金鑰。 選取 下一步。

   

5. 選取 完成 以完成匯入。

注意

匯入 Azure Stack Hub 的憑證之後，憑證的私鑰會儲存為叢集記憶體上的 PKCS 12 檔案 （PFX）。

匯出憑證

開啟 [憑證管理員 MMC] 控制台，並連線到本機計算機證書存儲。

1. 開啟 Microsoft 管理控制台。 若要在 Windows 10 中開啟控制台，請在 [開始] 選單上單擊滑鼠右鍵，選取 [執行]，然後輸入 mmc，然後按 enter 鍵。

2. 選取 [檔案]>[新增/移除嵌入式管理單元]，然後選取 [憑證]，然後選取 [[新增]。

   

3. 選擇 [電腦帳戶]，然後選擇 [下一步]。 選取 本機電腦，然後 完成。 選取 [確定] 關閉 [新增/移除 Snap-In] 頁面。

   

4. 瀏覽至 憑證>企業信任>憑證位置。 確認您在右邊看到您的憑證。

5. 從 [憑證管理員控制台] 任務列，選取 [動作]>[所有工作]>[匯出]。 選取 [下一步]。

   備註

   視您擁有的 Azure Stack Hub 憑證數量而定，您可能需要多次完成此程式。

6. 選取 [[是]、[匯出私鑰]，然後選取 [下一步]。

7. 在 [匯出檔案格式] 區段中：

   • 如果可能的話，請選擇 [] 以在憑證中包含所有的憑證 []。
   • 選取 匯出所有擴充屬性。
   • 選取 [啟用憑證隱私權]。
   • 選取 [下一步]。

   

8. 選取 [密碼 並提供憑證的密碼。 建立符合下列密碼複雜度需求的密碼：

   • 長度下限為8個字元。
   • 下列至少三個字元：大寫字母、小寫字母、0-9 的數位、特殊字元、不是大寫或小寫的字母字元。

   記下此密碼。 您稍後會使用它作為部署參數。

9. 選取 下一步。

10. 選擇要匯出之 PFX 檔案的檔名和位置。 選取 下一步。

11. 選取完成 。

後續步驟

驗證 PKI 憑證