Tanúsítvány-aláírási kérelem létrehozása az Azure Stack Hubhoz

Az Azure Stack Hub készenlét-ellenőrző eszközével olyan tanúsítvány-aláírási kéréseket (CSR-eket) hozhat létre, amelyek alkalmasak az Azure Stack Hub üzembe helyezéséhez, vagy egy meglévő üzemelő példány tanúsítványainak megújításához. Fontos, hogy elegendő átfutási idővel igényeljen, hozzon létre és érvényesítsen tanúsítványokat az üzembe helyezés előtt.

Az eszköz a következő tanúsítványok igénylésére szolgál a jelen cikk tetején található CsR-tanúsítvány kiválasztása forgatókönyvválasztó alapján:

• Standard tanúsítványok új üzemelő példányhoz: Válassza az Új üzembe helyezés lehetőséget a jelen cikk tetején található CsR-tanúsítványforgatókönyv kiválasztása választóval.
• Meglévő üzemelő példány megújítási tanúsítványai: Válassza a Megújítás lehetőséget a jelen cikk tetején található CsR-tanúsítvány kiválasztása forgatókönyvválasztóval .
• Szolgáltatásként nyújtott platform (PaaS) tanúsítványok: Igény szerint standard és megújítási tanúsítványokkal is létrehozható. További részletekért lásd: Az Azure Stack Hub nyilvános kulcsú infrastruktúrájának (PKI) tanúsítványkövetelményei – választható PaaS-tanúsítványok .

Előfeltételek

Mielőtt létrehoz egy CSR-t a PKI-tanúsítványokhoz az Azure Stack Hub üzemelő példányához, a rendszernek meg kell felelnie a következő előfeltételeknek:

• Egy Windows 10 vagy újabb, illetve Windows Server 2016 vagy újabb rendszerű gépen kell lennie.
• Telepítse az Azure Stack Hub készenlét-ellenőrző eszközét egy PowerShell-parancssorból (5.1 vagy újabb verzió) a következő parancsmag használatával:

       Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
  

• A tanúsítványhoz a következő attribútumokra lesz szüksége:
  • Régió neve
  • Külső teljes tartománynév (FQDN)
  • Tárgy

CSR-ek létrehozása új üzembehelyezési tanúsítványokhoz

Megjegyzés

Jogosultságszint-emelés szükséges a tanúsítvány-aláírási kérések létrehozásához. Olyan korlátozott környezetekben, ahol a jogosultságszint-emelés nem lehetséges, ezzel az eszközzel világos szöveges sablonfájlokat hozhat létre, amelyek tartalmazzák az Azure Stack Hub külső tanúsítványaihoz szükséges összes információt. Ezután ezeket a sablonfájlokat egy emelt szintű munkamenetben kell használnia a nyilvános/titkos kulcspár létrehozásának befejezéséhez. További részletekért lásd alább.

A CSR-ek új Azure Stack Hub PKI-tanúsítványokhoz való előkészítéséhez hajtsa végre az alábbi lépéseket:

1. Nyisson meg egy PowerShell-munkamenetet azon a gépen, amelyen a Készültség-ellenőrző eszközt telepítette.

2. Deklarálja a következő változókat:

   Megjegyzés

   <regionName>.<externalFQDN> ez képezi az Azure Stack Hubban található összes külső DNS-név létrehozásának alapját. Az alábbi példában a portál a következő: portal.east.azurestack.contoso.com.

   $outputDirectory = "$ENV:USERPROFILE\Documents\AzureStackCSR" # An existing output directory
   $IdentitySystem = "AAD"                     # Use "AAD" for Azure Active Director, "ADFS" for Active Directory Federation Services
   $regionName = 'east'                        # The region name for your Azure Stack Hub deployment
   $externalFQDN = 'azurestack.contoso.com'    # The external FQDN for your Azure Stack Hub deployment
   

Most hozza létre a CSR-eket ugyanazzal a PowerShell-munkamenetel. Az utasítások az alább kiválasztott Tárgy formátumra vonatkoznak:

Tárgy CN nélkül

Megjegyzés

Az Azure Stack Hub szolgáltatás első DNS-neve a tanúsítványkérelem CN-mezőjeként lesz konfigurálva.

1. Deklaráljon egy tárgyat, például:

   $subject = "C=US,ST=Washington,L=Redmond,O=Microsoft,OU=Azure Stack Hub"
   

2. A CSR-ek létrehozásához hajtsa végre az alábbi műveletek egyikét:

   • Éles üzembehelyezési környezet esetén az első szkript csR-eket hoz létre az üzembehelyezési tanúsítványokhoz:

     New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
     

   • A második szkript, ha szükséges, a -IncludeContainerRegistry és a használatával hoz létre csR-t Azure Container Registry az üzembehelyezési tanúsítványok CSR-jével egy időben:

     New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem -IncludeContainerRegistry
     

   • A harmadik szkript CSR-eket hoz létre a telepített választható PaaS-szolgáltatásokhoz:

     # App Services
     New-AzsHubAppServicesCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
     
     # DBAdapter (SQL/MySQL)
     New-AzsHubDbAdapterCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
     
     # EventHubs
     New-AzsHubEventHubsCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
     
     # Azure Container Registry
     New-AzsHubAzureContainerRegistryCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory 
     

   • Alacsony jogosultsági szintű környezet esetén a szükséges deklarált attribútumokkal rendelkező, világos szöveges tanúsítványsablonfájl létrehozásához adja hozzá a paramétert-LowPrivilege:

     New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem -LowPrivilege
     

   • Egy fejlesztési és tesztelési környezet esetében, ha egyetlen, több tárgyból álló alternatív névvel rendelkező CSR-t szeretne létrehozni, adja hozzá a paramétert és az -RequestType SingleCSR értéket.

     Fontos

     Éles környezetekben nem javasoljuk ezt a megközelítést.

     New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -RequestType SingleCSR -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
     

Tárgy CN-vel

Megjegyzés

A megadott CN minden tanúsítványkéréshez konfigurálva lesz.

1. Deklaráljon egy tárgyat, például:

   $subject = "C=US,ST=Washington,L=Redmond,O=Microsoft,OU=Azure Stack Hub,CN=NWTraders"
   

2. A CSR-ek létrehozásához hajtsa végre az alábbi műveletek egyikét:

   • Éles üzembehelyezési környezet esetén az első szkript csR-eket hoz létre az üzembehelyezési tanúsítványokhoz:

     New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
     

   • A második szkript, ha szükséges, a -IncludeContainerRegistry és a használatával hoz létre csR-t Azure Container Registry az üzembehelyezési tanúsítványok CSR-jével egy időben:

     New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem -IncludeContainerRegistry
     

   • A harmadik szkript CSR-eket hoz létre a telepített választható PaaS-szolgáltatásokhoz:

     # App Services
     New-AzsHubAppServicesCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
     
     # DBAdapter (SQL/MySQL)
     New-AzsHubDbAdapterCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
     
     # EventHubs
     New-AzsHubEventHubsCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
     
     # Azure Container Registry
     New-AzsHubAzureContainerRegistryCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory 
     

   • Alacsony jogosultsági szintű környezet esetén a szükséges deklarált attribútumokkal rendelkező, világos szöveges tanúsítványsablonfájl létrehozásához adja hozzá a paramétert-LowPrivilege:

     New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem -LowPrivilege
     

   • Egy fejlesztési és tesztelési környezet esetében, ha egyetlen, több tárgyból álló alternatív névvel rendelkező CSR-t szeretne létrehozni, adja hozzá a paramétert és az -RequestType SingleCSR értéket.

     Fontos

     Éles környezetekben nem javasoljuk ezt a megközelítést.

     New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -RequestType SingleCSR -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
     

Tárgy csak CN-vel

Megjegyzés

A Készenlét-ellenőrző eszköz minden tanúsítványhoz létrehoz egy CN-t, és a tárgyban nem szerepel más relatív megkülönböztető név.

1. A CSR-ek létrehozásához hajtsa végre az alábbi műveletek egyikét:

   • Éles üzembehelyezési környezet esetén az első szkript csR-eket hoz létre az üzembehelyezési tanúsítványokhoz:

     New-AzsCertificateSigningRequest -CertificateType Deployment -RegionName $regionName -FQDN $externalFQDN -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
     

   • A második szkript, ha szükséges, a -IncludeContainerRegistry és a használatával hoz létre csR-t Azure Container Registry az üzembehelyezési tanúsítványok CSR-jével egy időben:

     New-AzsCertificateSigningRequest -CertificateType Deployment -RegionName $regionName -FQDN $externalFQDN -OutputRequestPath $OutputDirectory -IncludeContainerRegistry
     

   • A harmadik szkript CSR-eket hoz létre a telepített választható PaaS-szolgáltatásokhoz:

     # App Services
     New-AzsCertificateSigningRequest -CertificateType AppServices -RegionName $regionName -FQDN $externalFQDN -OutputRequestPath $OutputDirectory
     
     # DBAdapter (SQL/MySQL)
     New-AzsCertificateSigningRequest -CertificateType DbAdapter -RegionName $regionName -FQDN $externalFQDN -OutputRequestPath $OutputDirectory
     
     # EventHubs
     New-AzsCertificateSigningRequest -CertificateType EventHubs -RegionName $regionName -FQDN $externalFQDN -OutputRequestPath $OutputDirectory
     
     # Azure Container Registry
     New-AzsHubAzureContainerRegistryCertificateSigningRequest -CertificateType AzureContainerRegistry -RegionName $regionName -FQDN $externalFQDN -OutputRequestPath $OutputDirectory 
     

   • Egy fejlesztési és tesztelési környezet esetében, ha egyetlen, több tárgyból álló alternatív névvel rendelkező CSR-t szeretne létrehozni, adja hozzá a paramétert és az -RequestType SingleCSR értéket.

     Fontos

     Éles környezetekben nem javasoljuk ezt a megközelítést.

     New-AzsCertificateSigningRequest -CertificateType Deployment -RegionName $regionName -FQDN $externalFQDN -RequestType SingleCSR -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
     

Hajtsa végre az utolsó lépéseket:

1. Tekintse át a kimenetet:

   Starting Certificate Request Process for Deployment
   CSR generating for following SAN(s): *.adminhosting.east.azurestack.contoso.com,*.adminvault.east.azurestack.contoso.com,*.blob.east.azurestack.contoso.com,*.hosting.east.azurestack.contoso.com,*.queue.east.azurestack.contoso.com,*.table.east.azurestack.contoso.com,*.vault.east.azurestack.contoso.com,adminmanagement.east.azurestack.contoso.com,adminportal.east.azurestack.contoso.com,management.east.azurestack.contoso.com,portal.east.azurestack.contoso.com
   Present this CSR to your Certificate Authority for Certificate Generation:  C:\Users\username\Documents\AzureStackCSR\Deployment_east_azurestack_contoso_com_SingleCSR_CertRequest_20200710165538.req
   Certreq.exe output: CertReq: Request Created
   

2. Ha a paramétert -LowPrivilege használták, az alkönyvtárban C:\Users\username\Documents\AzureStackCSR .inf fájl jött létre. Például:

   C:\Users\username\Documents\AzureStackCSR\Deployment_east_azurestack_contoso_com_SingleCSR_CertRequest_20200710165538_ClearTextTemplate.inf

   Másolja a fájlt egy olyan rendszerbe, ahol engedélyezve van a jogosultságszint-emelés, majd írja alá az egyes kéréseket certreq a következő szintaxissal: certreq -new <example.inf> <example.req>. Ezután fejezze be a folyamat további részét az emelt szintű rendszeren, mert ehhez a hitelesítésszolgáltató által aláírt új tanúsítványt kell egyeztetni a titkos kulccsal, amely az emelt szintű rendszeren jön létre.

• A készenlét-ellenőrző a rendszer régióját és külső tartománynevét (FQDN) fogja használni az attribútumok meglévő tanúsítványokból való kinyerésére szolgáló végpont meghatározásához. Ha az alábbiak bármelyike vonatkozik a forgatókönyvre, a cikk tetején található CsR-tanúsítvány kiválasztása forgatókönyvválasztót kell használnia, és ehelyett a cikk Új üzembehelyezési verzióját kell választania:
  • Módosítani szeretné a tanúsítványok attribútumait a végponton, például a tárgyat, a kulcshosszt és az aláírási algoritmust.
  • Olyan tanúsítványtulajdonost szeretne használni, amely csak a köznapi név attribútumot tartalmazza.
• A kezdés előtt győződjön meg arról, hogy HTTPS-kapcsolattal rendelkezik az Azure Stack Hub-rendszerhez.

CSR-ek létrehozása megújítási tanúsítványokhoz

Ez a szakasz a csR-ek előkészítését ismerteti a meglévő Azure Stack Hub PKI-tanúsítványok megújításához.

CSR-ek létrehozása

1. Nyisson meg egy PowerShell-munkamenetet azon a gépen, amelyen a Készültség-ellenőrző eszközt telepítette.

2. Deklarálja a következő változókat:

   Megjegyzés

   A Készenlét-ellenőrző stampEndpoint egy előre fel van függesztett sztringgel megkeresi a meglévő tanúsítványokat. Például portal.east.azurestack.contoso.com üzembehelyezési tanúsítványokhoz, sso.appservices.east.azurestack.contoso.com App Services-tanúsítványokhoz stb.

   $regionName = 'east'                                            # The region name for your Azure Stack Hub deployment
   $externalFQDN = 'azurestack.contoso.com'                        # The external FQDN for your Azure Stack Hub deployment    
   $stampEndpoint = "$regionName.$externalFQDN"
   $outputDirectory = "$ENV:USERPROFILE\Documents\AzureStackCSR"   # Declare the path to an existing output directory
   

3. Hozzon létre CSR-eket az alábbiak közül egy vagy több végrehajtásával:

   • Éles környezetben az első szkript csR-eket hoz létre az üzembehelyezési tanúsítványokhoz:

     New-AzsHubDeploymentCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
     

   • A második szkript, ha szükséges, a -IncludeContainerRegistry és a használatával hoz létre csR-t Azure Container Registry az üzembehelyezési tanúsítványok CSR-jével egy időben:

     New-AzsHubDeploymentCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory -IncludeContainerRegistry
     

   • A harmadik szkript CSR-eket hoz létre a telepített választható PaaS-szolgáltatásokhoz:

     # App Services
     New-AzsHubAppServicesCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
     
     # DBAdapter
     New-AzsHubDBAdapterCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
     
     # EventHubs
     New-AzsHubEventHubsCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
     
     # Azure Container Registry
     New-AzsHubAzureContainerRegistryCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory 
     

   • Egy fejlesztési és tesztelési környezet esetében, ha egyetlen, több tárgyból álló alternatív névvel rendelkező CSR-t szeretne létrehozni, adja hozzá a paramétert és az -RequestType SingleCSR értéket.

     Fontos

     Éles környezetekben nem javasoljuk ezt a megközelítést.

     New-AzsHubDeploymentCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory -RequestType SingleCSR
     

4. Tekintse át a kimenetet:

   Querying StampEndpoint portal.east.azurestack.contoso.com for existing certificate
   Starting Certificate Request Process for Deployment
   CSR generating for following SAN(s): *.adminhosting.east.azurestack.contoso.com,*.adminvault.east.azurestack.contoso.com,*.blob.east.azurestack.contoso.com,*.hosting.east.azurestack.contoso.com,*.queue.east.azurestack.contoso.com,*.table.east.azurestack.contoso.com,*.vault.east.azurestack.contoso.com,adminmanagement.east.azurestack.contoso.com,adminportal.east.azurestack.contoso.com,management.east.azurestack.contoso.com,portal.east.azurestack.contoso.com
   Present this CSR to your certificate authority for certificate generation: C:\Users\username\Documents\AzureStackCSR\Deployment_east_azurestack_contoso_com_SingleCSR_CertRequest_20200710122723.req
   Certreq.exe output: CertReq: Request Created
   

Amikor elkészült, küldje el a létrehozott .req fájlt a hitelesítésszolgáltatónak (belső vagy nyilvános). A változó által $outputDirectory megadott könyvtár tartalmazza azokat a CSR-eket, amelyeket el kell küldeni egy hitelesítésszolgáltatónak. A könyvtár referenciaként tartalmaz egy gyermekkönyvtárat is, amely tartalmazza a tanúsítványkérelmek létrehozása során használandó .inf fájlokat. Győződjön meg arról, hogy a hitelesítésszolgáltató olyan generált kéréssel hoz létre tanúsítványokat, amely megfelel az Azure Stack Hub PKI követelményeinek.

Következő lépések

Miután megkapta a tanúsítványokat a hitelesítésszolgáltatótól, kövesse az Azure Stack Hub PKI-tanúsítványainak előkészítése ugyanazon a rendszeren című cikkben leírt lépéseket.