Tanúsítvány-aláírási kérelem létrehozása az Azure Stack Hubhoz
Az Azure Stack Hub készenlét-ellenőrző eszközével olyan tanúsítvány-aláírási kéréseket (CSR-eket) hozhat létre, amelyek alkalmasak az Azure Stack Hub üzembe helyezéséhez, vagy egy meglévő üzemelő példány tanúsítványainak megújításához. Fontos, hogy elegendő átfutási idővel igényeljen, hozzon létre és érvényesítsen tanúsítványokat az üzembe helyezés előtt.
Az eszköz a következő tanúsítványok igénylésére szolgál a jelen cikk tetején található CsR-tanúsítvány kiválasztása forgatókönyvválasztó alapján:
- Standard tanúsítványok új üzemelő példányhoz: Válassza az Új üzembe helyezés lehetőséget a jelen cikk tetején található CsR-tanúsítványforgatókönyv kiválasztása választóval.
- Meglévő üzemelő példány megújítási tanúsítványai: Válassza a Megújítás lehetőséget a jelen cikk tetején található CsR-tanúsítvány kiválasztása forgatókönyvválasztóval .
- Szolgáltatásként nyújtott platform (PaaS) tanúsítványok: Igény szerint standard és megújítási tanúsítványokkal is létrehozható. További részletekért lásd: Az Azure Stack Hub nyilvános kulcsú infrastruktúrájának (PKI) tanúsítványkövetelményei – választható PaaS-tanúsítványok .
Előfeltételek
Mielőtt létrehoz egy CSR-t a PKI-tanúsítványokhoz az Azure Stack Hub üzemelő példányához, a rendszernek meg kell felelnie a következő előfeltételeknek:
- Egy Windows 10 vagy újabb, illetve Windows Server 2016 vagy újabb rendszerű gépen kell lennie.
- Telepítse az Azure Stack Hub készenlét-ellenőrző eszközét egy PowerShell-parancssorból (5.1 vagy újabb verzió) a következő parancsmag használatával:
Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease - A tanúsítványhoz a következő attribútumokra lesz szüksége:
- Régió neve
- Külső teljes tartománynév (FQDN)
- Tárgy
CSR-ek létrehozása új üzembehelyezési tanúsítványokhoz
Megjegyzés
Jogosultságszint-emelés szükséges a tanúsítvány-aláírási kérések létrehozásához. Olyan korlátozott környezetekben, ahol a jogosultságszint-emelés nem lehetséges, ezzel az eszközzel világos szöveges sablonfájlokat hozhat létre, amelyek tartalmazzák az Azure Stack Hub külső tanúsítványaihoz szükséges összes információt. Ezután ezeket a sablonfájlokat egy emelt szintű munkamenetben kell használnia a nyilvános/titkos kulcspár létrehozásának befejezéséhez. További részletekért lásd alább.
A CSR-ek új Azure Stack Hub PKI-tanúsítványokhoz való előkészítéséhez hajtsa végre az alábbi lépéseket:
Nyisson meg egy PowerShell-munkamenetet azon a gépen, amelyen a Készültség-ellenőrző eszközt telepítette.
Deklarálja a következő változókat:
Megjegyzés
<regionName>.<externalFQDN>ez képezi az Azure Stack Hubban található összes külső DNS-név létrehozásának alapját. Az alábbi példában a portál a következő:portal.east.azurestack.contoso.com.$outputDirectory = "$ENV:USERPROFILE\Documents\AzureStackCSR" # An existing output directory $IdentitySystem = "AAD" # Use "AAD" for Azure Active Director, "ADFS" for Active Directory Federation Services $regionName = 'east' # The region name for your Azure Stack Hub deployment $externalFQDN = 'azurestack.contoso.com' # The external FQDN for your Azure Stack Hub deployment
Most hozza létre a CSR-eket ugyanazzal a PowerShell-munkamenetel. Az utasítások az alább kiválasztott Tárgy formátumra vonatkoznak:
Megjegyzés
Az Azure Stack Hub szolgáltatás első DNS-neve a tanúsítványkérelem CN-mezőjeként lesz konfigurálva.
Deklaráljon egy tárgyat, például:
$subject = "C=US,ST=Washington,L=Redmond,O=Microsoft,OU=Azure Stack Hub"
A CSR-ek létrehozásához hajtsa végre az alábbi műveletek egyikét:
Éles üzembehelyezési környezet esetén az első szkript csR-eket hoz létre az üzembehelyezési tanúsítványokhoz:
New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystemA második szkript, ha szükséges, a
-IncludeContainerRegistryés a használatával hoz létre csR-t Azure Container Registry az üzembehelyezési tanúsítványok CSR-jével egy időben:New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem -IncludeContainerRegistryA harmadik szkript CSR-eket hoz létre a telepített választható PaaS-szolgáltatásokhoz:
# App Services New-AzsHubAppServicesCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory # DBAdapter (SQL/MySQL) New-AzsHubDbAdapterCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory # EventHubs New-AzsHubEventHubsCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory # Azure Container Registry New-AzsHubAzureContainerRegistryCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectoryAlacsony jogosultsági szintű környezet esetén a szükséges deklarált attribútumokkal rendelkező, világos szöveges tanúsítványsablonfájl létrehozásához adja hozzá a paramétert
-LowPrivilege:New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem -LowPrivilegeEgy fejlesztési és tesztelési környezet esetében, ha egyetlen, több tárgyból álló alternatív névvel rendelkező CSR-t szeretne létrehozni, adja hozzá a paramétert és az
-RequestType SingleCSRértéket.Fontos
Éles környezetekben nem javasoljuk ezt a megközelítést.
New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -RequestType SingleCSR -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
Hajtsa végre az utolsó lépéseket:
Tekintse át a kimenetet:
Starting Certificate Request Process for Deployment CSR generating for following SAN(s): *.adminhosting.east.azurestack.contoso.com,*.adminvault.east.azurestack.contoso.com,*.blob.east.azurestack.contoso.com,*.hosting.east.azurestack.contoso.com,*.queue.east.azurestack.contoso.com,*.table.east.azurestack.contoso.com,*.vault.east.azurestack.contoso.com,adminmanagement.east.azurestack.contoso.com,adminportal.east.azurestack.contoso.com,management.east.azurestack.contoso.com,portal.east.azurestack.contoso.com Present this CSR to your Certificate Authority for Certificate Generation: C:\Users\username\Documents\AzureStackCSR\Deployment_east_azurestack_contoso_com_SingleCSR_CertRequest_20200710165538.req Certreq.exe output: CertReq: Request CreatedHa a paramétert
-LowPrivilegehasználták, az alkönyvtárbanC:\Users\username\Documents\AzureStackCSR.inf fájl jött létre. Például:C:\Users\username\Documents\AzureStackCSR\Deployment_east_azurestack_contoso_com_SingleCSR_CertRequest_20200710165538_ClearTextTemplate.infMásolja a fájlt egy olyan rendszerbe, ahol engedélyezve van a jogosultságszint-emelés, majd írja alá az egyes kéréseket
certreqa következő szintaxissal:certreq -new <example.inf> <example.req>. Ezután fejezze be a folyamat további részét az emelt szintű rendszeren, mert ehhez a hitelesítésszolgáltató által aláírt új tanúsítványt kell egyeztetni a titkos kulccsal, amely az emelt szintű rendszeren jön létre.
- A készenlét-ellenőrző a rendszer régióját és külső tartománynevét (FQDN) fogja használni az attribútumok meglévő tanúsítványokból való kinyerésére szolgáló végpont meghatározásához. Ha az alábbiak bármelyike vonatkozik a forgatókönyvre, a cikk tetején található CsR-tanúsítvány kiválasztása forgatókönyvválasztót kell használnia, és ehelyett a cikk Új üzembehelyezési verzióját kell választania:
- Módosítani szeretné a tanúsítványok attribútumait a végponton, például a tárgyat, a kulcshosszt és az aláírási algoritmust.
- Olyan tanúsítványtulajdonost szeretne használni, amely csak a köznapi név attribútumot tartalmazza.
- A kezdés előtt győződjön meg arról, hogy HTTPS-kapcsolattal rendelkezik az Azure Stack Hub-rendszerhez.
CSR-ek létrehozása megújítási tanúsítványokhoz
Ez a szakasz a csR-ek előkészítését ismerteti a meglévő Azure Stack Hub PKI-tanúsítványok megújításához.
CSR-ek létrehozása
Nyisson meg egy PowerShell-munkamenetet azon a gépen, amelyen a Készültség-ellenőrző eszközt telepítette.
Deklarálja a következő változókat:
Megjegyzés
A Készenlét-ellenőrző
stampEndpointegy előre fel van függesztett sztringgel megkeresi a meglévő tanúsítványokat. Példáulportal.east.azurestack.contoso.comüzembehelyezési tanúsítványokhoz,sso.appservices.east.azurestack.contoso.comApp Services-tanúsítványokhoz stb.$regionName = 'east' # The region name for your Azure Stack Hub deployment $externalFQDN = 'azurestack.contoso.com' # The external FQDN for your Azure Stack Hub deployment $stampEndpoint = "$regionName.$externalFQDN" $outputDirectory = "$ENV:USERPROFILE\Documents\AzureStackCSR" # Declare the path to an existing output directoryHozzon létre CSR-eket az alábbiak közül egy vagy több végrehajtásával:
Éles környezetben az első szkript csR-eket hoz létre az üzembehelyezési tanúsítványokhoz:
New-AzsHubDeploymentCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectoryA második szkript, ha szükséges, a
-IncludeContainerRegistryés a használatával hoz létre csR-t Azure Container Registry az üzembehelyezési tanúsítványok CSR-jével egy időben:New-AzsHubDeploymentCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory -IncludeContainerRegistryA harmadik szkript CSR-eket hoz létre a telepített választható PaaS-szolgáltatásokhoz:
# App Services New-AzsHubAppServicesCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory # DBAdapter New-AzsHubDBAdapterCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory # EventHubs New-AzsHubEventHubsCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory # Azure Container Registry New-AzsHubAzureContainerRegistryCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectoryEgy fejlesztési és tesztelési környezet esetében, ha egyetlen, több tárgyból álló alternatív névvel rendelkező CSR-t szeretne létrehozni, adja hozzá a paramétert és az
-RequestType SingleCSRértéket.Fontos
Éles környezetekben nem javasoljuk ezt a megközelítést.
New-AzsHubDeploymentCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory -RequestType SingleCSR
Tekintse át a kimenetet:
Querying StampEndpoint portal.east.azurestack.contoso.com for existing certificate Starting Certificate Request Process for Deployment CSR generating for following SAN(s): *.adminhosting.east.azurestack.contoso.com,*.adminvault.east.azurestack.contoso.com,*.blob.east.azurestack.contoso.com,*.hosting.east.azurestack.contoso.com,*.queue.east.azurestack.contoso.com,*.table.east.azurestack.contoso.com,*.vault.east.azurestack.contoso.com,adminmanagement.east.azurestack.contoso.com,adminportal.east.azurestack.contoso.com,management.east.azurestack.contoso.com,portal.east.azurestack.contoso.com Present this CSR to your certificate authority for certificate generation: C:\Users\username\Documents\AzureStackCSR\Deployment_east_azurestack_contoso_com_SingleCSR_CertRequest_20200710122723.req Certreq.exe output: CertReq: Request Created
Amikor elkészült, küldje el a létrehozott .req fájlt a hitelesítésszolgáltatónak (belső vagy nyilvános). A változó által $outputDirectory megadott könyvtár tartalmazza azokat a CSR-eket, amelyeket el kell küldeni egy hitelesítésszolgáltatónak. A könyvtár referenciaként tartalmaz egy gyermekkönyvtárat is, amely tartalmazza a tanúsítványkérelmek létrehozása során használandó .inf fájlokat. Győződjön meg arról, hogy a hitelesítésszolgáltató olyan generált kéréssel hoz létre tanúsítványokat, amely megfelel az Azure Stack Hub PKI követelményeinek.
Következő lépések
Miután megkapta a tanúsítványokat a hitelesítésszolgáltatótól, kövesse az Azure Stack Hub PKI-tanúsítványainak előkészítése ugyanazon a rendszeren című cikkben leírt lépéseket.