Menghasilkan permintaan penandatanganan sertifikat untuk Azure Stack Hub
Anda menggunakan alat Pemeriksa Kesiapan Azure Stack Hub untuk membuat permintaan penandatanganan sertifikat (CSR) yang cocok untuk penerapan Azure Stack Hub, atau untuk perpanjangan sertifikat untuk penyebaran yang ada. Penting untuk meminta, membuat, dan memvalidasi sertifikat dengan cukup waktu untuk mengujinya sebelum disebarkan.
Alat digunakan untuk meminta sertifikat berikut, berdasarkan pemilih Pilih skenario sertifikat CSR di bagian atas artikel ini:
- Sertifikat standar untuk penyebaran baru: Pilih Penyebaran baru menggunakan pemilih Pilih skenario sertifikat CSR di bagian atas artikel ini.
- Sertifikat perpanjangan untuk penyebaran baru: Pilih Perpanjangan menggunakan pemilih Pilih skenario sertifikat CSR di bagian atas artikel ini.
- Sertifikat platform-as-a-service (PaaS): Dapat dibuat secara opsional dengan sertifikat standar dan perpanjangan. Lihat persyaratan sertifikat insfrastruktur kunci publik (PKI) Azure Stack Hub - sertifikast PaaS opsional untuk detail selengkapnya.
Prasyarat
Sebelum Anda menghasilkan CSR untuk sertifikat PKI untuk penyebaran Azure Stack Hub, sistem Anda harus memenuhi prasyarat berikut:
- Anda harus menggunakan mesin dengan Windows 10 atau yang lebih baru, atau Windows Server 2016 atau yang lebih baru.
- Instal alat pemeriksa Kesiapan Azure Stack Hub dari perintah PowerShell (5.1 atau lebih baru) menggunakan cmdlet berikut:
Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease - Anda akan memerlukan atribut berikut untuk sertifikat Anda:
- Nama wilayah
- Nama domain yang sepenuhnya memenuhi syarat (FQDN) eksternal
- Subjek
Buat CSR untuk sertifikat penyebaran baru
Catatan
Elevasi diperlukan untuk membuat permintaan penandatanganan sertifikat. Di lingkungan terbatas di mana elevasi tidak memungkinkan, Anda dapat menggunakan alat ini untuk menghasilkan file templat teks yang jelas, yang berisi semua informasi yang diperlukan untuk sertifikat eksternal Azure Stack Hub. Anda kemudian perlu menggunakan file templat ini pada sesi tinggi untuk menyelesaikan generasi pasangan kunci publik/privat. Baca di bawah ini untuk detail selengkapnya.
Untuk menyiapkan CSR untuk pembaruan sertifikat Azure Stack Hub PKI yang ada, selesaikan langkah berikut:
Buka sesi PowerShell di komputer tempat Anda menginstal alat Pemeriksa Kesiapan.
Nyatakan variabel berikut:
Catatan
<regionName>.<externalFQDN>membentuk dasar di mana semua nama DNS eksternal di Azure Stack Hub dibuat. Dalam contoh berikut, portal akan menjadiportal.east.azurestack.contoso.com.$outputDirectory = "$ENV:USERPROFILE\Documents\AzureStackCSR" # An existing output directory $IdentitySystem = "AAD" # Use "AAD" for Azure Active Director, "ADFS" for Active Directory Federation Services $regionName = 'east' # The region name for your Azure Stack Hub deployment $externalFQDN = 'azurestack.contoso.com' # The external FQDN for your Azure Stack Hub deployment
Sekarang hasilkan CSR menggunakan sesi PowerShell yang sama. Instruksi khusus untuk format Subjek yang Anda pilih di bawah ini:
Catatan
Nama DNS pertama Azure Stack Hub akan dikonfigurasi sebagai bidang CN di permintaan sertifikat.
Nyatakan subjek, misalnya:
$subject = "C=US,ST=Washington,L=Redmond,O=Microsoft,OU=Azure Stack Hub"
Hasilkan CSR dengan menyelesaikan salah satu hal berikut:
Untuk lingkungan penyebaran produksi, skrip pertama akan menghasilkan CSR untuk sertifikat penyebaran:
New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystemSkrip kedua, jika diinginkan, menggunakan
-IncludeContainerRegistrydan akan menghasilkan CSR untuk Azure Container Registry pada saat yang sama dengan CSR untuk sertifikat penyebaran:New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem -IncludeContainerRegistrySkrip ketiga akan menghasilkan CSR untuk layanan PaaS opsional apa pun yang telah Anda instal:
# App Services New-AzsHubAppServicesCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory # DBAdapter (SQL/MySQL) New-AzsHubDbAdapterCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory # EventHubs New-AzsHubEventHubsCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory # Azure Container Registry New-AzsHubAzureContainerRegistryCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectoryUntuk lingkungan dengan keistimewaan minimal, untuk menghasilkan file templat sertifikat teks jelas dengan atribut yang diperlukan dinyatakan, tambahkan parameter
-LowPrivilege:New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem -LowPrivilegeUntuk lingkungan pengembangan dan tes, untuk menghasilkan satu CSR dengan beberapa nama alternatif subjek, tambahkan
-RequestType SingleCSRparameter dan nilai.Penting
Kami tidak menyarankan menggunakan pendekatan ini untuk lingkungan produksi.
New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -RequestType SingleCSR -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
Selesaikan langkah-langkah akhir:
Tinjau output:
Starting Certificate Request Process for Deployment CSR generating for following SAN(s): *.adminhosting.east.azurestack.contoso.com,*.adminvault.east.azurestack.contoso.com,*.blob.east.azurestack.contoso.com,*.hosting.east.azurestack.contoso.com,*.queue.east.azurestack.contoso.com,*.table.east.azurestack.contoso.com,*.vault.east.azurestack.contoso.com,adminmanagement.east.azurestack.contoso.com,adminportal.east.azurestack.contoso.com,management.east.azurestack.contoso.com,portal.east.azurestack.contoso.com Present this CSR to your Certificate Authority for Certificate Generation: C:\Users\username\Documents\AzureStackCSR\Deployment_east_azurestack_contoso_com_SingleCSR_CertRequest_20200710165538.req Certreq.exe output: CertReq: Request CreatedJika parameter
-LowPrivilegedigunakan, file .inf dihasilkan dalam subdirektoriC:\Users\username\Documents\AzureStackCSR. Contohnya:C:\Users\username\Documents\AzureStackCSR\Deployment_east_azurestack_contoso_com_SingleCSR_CertRequest_20200710165538_ClearTextTemplate.infSalin file ke sistem tempat elevasi diizinkan, kemudian tanda tangani setiap permintaan dengan
certreqdengan menggunakan sintaks berikut:certreq -new <example.inf> <example.req>. Anda kemudian perlu menyelesaikan sisa proses pada sistem yang dielevasi tersebut, karena memerlukan pencocokan sertifikat baru yang ditandatangani oleh CA dengan kunci privatnya, yang dihasilkan pada sistem yang dielevasi.
- Wilayah sistem dan nama domain eksternal (FQDN) Anda akan digunakan oleh Pemeriksa Kesiapan untuk menentukan titik akhir untuk mengekstraksi atribut dari sertifikat yang ada. Jika salah satu hal berikut berlaku untuk skenario, Anda harus menggunakan pemilih Pilih skenario sertifikat CSR di bagian atas artikel ini, dan pilih Versi penyebaran baru artikel ini sebagai gantinya:
- Anda ingin mengubah atribut sertifikat di titik akhir, seperti subjek, panjang kunci, dan algoritma tanda tangan.
- Anda ingin menggunakan subjek sertifikat yang hanya berisi atribut nama umum.
- Konfirmasikan bahwa Anda memiliki konektivitas HTTPS untuk sistem Azure Stack Hub Anda sebelum memulai.
Buat CSR untuk sertifikat perpanjangan
Bagian ini mencakup persiapan CSR untuk perpanjangan sertifikat PKI Azure Stack Hub yang ada.
Hasilkan CSR
Buka sesi PowerShell di komputer tempat Anda menginstal alat Pemeriksa Kesiapan.
Nyatakan variabel berikut:
Catatan
Pemeriksa Kesiapan menggunakan
stampEndpointditambah string yang telah ditambahkan sebelumnya untuk menemukan sertifikat yang ada. Misalnya,portal.east.azurestack.contoso.comdigunakan untuk sertifikat penyebaran,sso.appservices.east.azurestack.contoso.comuntuk sertifikat layanan aplikasi, dll.$regionName = 'east' # The region name for your Azure Stack Hub deployment $externalFQDN = 'azurestack.contoso.com' # The external FQDN for your Azure Stack Hub deployment $stampEndpoint = "$regionName.$externalFQDN" $outputDirectory = "$ENV:USERPROFILE\Documents\AzureStackCSR" # Declare the path to an existing output directoryHasilkan CSR dengan menyelesaikan satu atau beberapa hal berikut:
Untuk lingkungan produksi, skrip pertama akan menghasilkan CSR untuk sertifikat penyebaran:
New-AzsHubDeploymentCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectorySkrip kedua, jika diinginkan, menggunakan
-IncludeContainerRegistrydan akan menghasilkan CSR untuk Azure Container Registry pada saat yang sama dengan CSR untuk sertifikat penyebaran:New-AzsHubDeploymentCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory -IncludeContainerRegistrySkrip ketiga akan menghasilkan CSR untuk layanan PaaS opsional apa pun yang telah Anda instal:
# App Services New-AzsHubAppServicesCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory # DBAdapter New-AzsHubDBAdapterCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory # EventHubs New-AzsHubEventHubsCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory # Azure Container Registry New-AzsHubAzureContainerRegistryCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectoryUntuk lingkungan pengembangan dan tes, untuk menghasilkan satu CSR dengan beberapa nama alternatif subjek, tambahkan
-RequestType SingleCSRparameter dan nilai.Penting
Kami tidak menyarankan menggunakan pendekatan ini untuk lingkungan produksi.
New-AzsHubDeploymentCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory -RequestType SingleCSR
Tinjau output:
Querying StampEndpoint portal.east.azurestack.contoso.com for existing certificate Starting Certificate Request Process for Deployment CSR generating for following SAN(s): *.adminhosting.east.azurestack.contoso.com,*.adminvault.east.azurestack.contoso.com,*.blob.east.azurestack.contoso.com,*.hosting.east.azurestack.contoso.com,*.queue.east.azurestack.contoso.com,*.table.east.azurestack.contoso.com,*.vault.east.azurestack.contoso.com,adminmanagement.east.azurestack.contoso.com,adminportal.east.azurestack.contoso.com,management.east.azurestack.contoso.com,portal.east.azurestack.contoso.com Present this CSR to your certificate authority for certificate generation: C:\Users\username\Documents\AzureStackCSR\Deployment_east_azurestack_contoso_com_SingleCSR_CertRequest_20200710122723.req Certreq.exe output: CertReq: Request Created
Setelah siap, kirimkan file .req yang dihasilkan ke CA Anda (baik internal maupun publik). Direktori yang ditentukan oleh $outputDirectory variabel berisi CSR yang harus dikirimkan ke CA. Direktori ini juga berisi, untuk referensi Anda, direktori turunan yang berisi file .inf yang digunakan selama pembuatan permintaan sertifikat. Pastikan CA Anda menghasilkan sertifikat dengan menggunakan permintaan yang dihasilkan yang memenuhi persyaratan Azure Stack Hub PKI.
Langkah berikutnya
Saat Anda menerima sertifikat dari otoritas sertifikat Anda, ikuti langkah-langkah dalam Menyiapkan sertifikat PKI Azure Stack Hub pada sistem yang sama.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk