Menghasilkan permintaan penandatanganan sertifikat untuk Azure Stack Hub

Anda menggunakan alat Pemeriksa Kesiapan Azure Stack Hub untuk membuat permintaan penandatanganan sertifikat (CSR) yang cocok untuk penerapan Azure Stack Hub, atau untuk perpanjangan sertifikat untuk penyebaran yang ada. Penting untuk meminta, membuat, dan memvalidasi sertifikat dengan cukup waktu untuk mengujinya sebelum disebarkan.

Alat digunakan untuk meminta sertifikat berikut, berdasarkan pemilih Pilih skenario sertifikat CSR di bagian atas artikel ini:

  • Sertifikat standar untuk penyebaran baru: Pilih Penyebaran baru menggunakan pemilih Pilih skenario sertifikat CSR di bagian atas artikel ini.
  • Sertifikat perpanjangan untuk penyebaran baru: Pilih Perpanjangan menggunakan pemilih Pilih skenario sertifikat CSR di bagian atas artikel ini.
  • Sertifikat platform-as-a-service (PaaS): Dapat dibuat secara opsional dengan sertifikat standar dan perpanjangan. Lihat persyaratan sertifikat insfrastruktur kunci publik (PKI) Azure Stack Hub - sertifikast PaaS opsional untuk detail selengkapnya.

Prasyarat

Sebelum Anda menghasilkan CSR untuk sertifikat PKI untuk penyebaran Azure Stack Hub, sistem Anda harus memenuhi prasyarat berikut:

  • Anda harus menggunakan mesin dengan Windows 10 atau yang lebih baru, atau Windows Server 2016 atau yang lebih baru.
  • Instal alat pemeriksa Kesiapan Azure Stack Hub dari perintah PowerShell (5.1 atau lebih baru) menggunakan cmdlet berikut:
         Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
    
  • Anda akan memerlukan atribut berikut untuk sertifikat Anda:
    • Nama wilayah
    • Nama domain yang sepenuhnya memenuhi syarat (FQDN) eksternal
    • Subjek

Buat CSR untuk sertifikat penyebaran baru

Catatan

Elevasi diperlukan untuk membuat permintaan penandatanganan sertifikat. Di lingkungan terbatas di mana elevasi tidak memungkinkan, Anda dapat menggunakan alat ini untuk menghasilkan file templat teks yang jelas, yang berisi semua informasi yang diperlukan untuk sertifikat eksternal Azure Stack Hub. Anda kemudian perlu menggunakan file templat ini pada sesi tinggi untuk menyelesaikan generasi pasangan kunci publik/privat. Baca di bawah ini untuk detail selengkapnya.

Untuk menyiapkan CSR untuk pembaruan sertifikat Azure Stack Hub PKI yang ada, selesaikan langkah berikut:

  1. Buka sesi PowerShell di komputer tempat Anda menginstal alat Pemeriksa Kesiapan.

  2. Nyatakan variabel berikut:

    Catatan

    <regionName>.<externalFQDN> membentuk dasar di mana semua nama DNS eksternal di Azure Stack Hub dibuat. Dalam contoh berikut, portal akan menjadi portal.east.azurestack.contoso.com.

    $outputDirectory = "$ENV:USERPROFILE\Documents\AzureStackCSR" # An existing output directory
    $IdentitySystem = "AAD"                     # Use "AAD" for Azure Active Director, "ADFS" for Active Directory Federation Services
    $regionName = 'east'                        # The region name for your Azure Stack Hub deployment
    $externalFQDN = 'azurestack.contoso.com'    # The external FQDN for your Azure Stack Hub deployment
    

Sekarang hasilkan CSR menggunakan sesi PowerShell yang sama. Instruksi khusus untuk format Subjek yang Anda pilih di bawah ini:

Catatan

Nama DNS pertama Azure Stack Hub akan dikonfigurasi sebagai bidang CN di permintaan sertifikat.

  1. Nyatakan subjek, misalnya:

    $subject = "C=US,ST=Washington,L=Redmond,O=Microsoft,OU=Azure Stack Hub"
    
  1. Hasilkan CSR dengan menyelesaikan salah satu hal berikut:

    • Untuk lingkungan penyebaran produksi, skrip pertama akan menghasilkan CSR untuk sertifikat penyebaran, yang kedua akan menghasilkan CSR untuk layanan PaaS opsional yang telah Anda instal:

      New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
      
      # App Services
      New-AzsHubAppServicesCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
      
      # DBAdapter (SQL/MySQL)
      New-AzsHubDbAdapterCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
      
      # EventHubs
      New-AzsHubEventHubsCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
      
    • Untuk lingkungan dengan keistimewaan minimal, untuk menghasilkan file templat sertifikat teks jelas dengan atribut yang diperlukan dinyatakan, tambahkan parameter -LowPrivilege:

      New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem -LowPrivilege
      
    • Untuk lingkungan pengembangan dan tes, untuk menghasilkan satu CSR dengan beberapa nama alternatif subjek, tambahkan -RequestType SingleCSR parameter dan nilai.

      Penting

      Kami tidak menyarankan menggunakan pendekatan ini untuk lingkungan produksi.

      New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -RequestType SingleCSR -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
      

Selesaikan langkah-langkah akhir:

  1. Tinjau output:

    Starting Certificate Request Process for Deployment
    CSR generating for following SAN(s): *.adminhosting.east.azurestack.contoso.com,*.adminvault.east.azurestack.contoso.com,*.blob.east.azurestack.contoso.com,*.hosting.east.azurestack.contoso.com,*.queue.east.azurestack.contoso.com,*.table.east.azurestack.contoso.com,*.vault.east.azurestack.contoso.com,adminmanagement.east.azurestack.contoso.com,adminportal.east.azurestack.contoso.com,management.east.azurestack.contoso.com,portal.east.azurestack.contoso.com
    Present this CSR to your Certificate Authority for Certificate Generation:  C:\Users\username\Documents\AzureStackCSR\Deployment_east_azurestack_contoso_com_SingleCSR_CertRequest_20200710165538.req
    Certreq.exe output: CertReq: Request Created
    
  2. Jika parameter -LowPrivilege digunakan, file .inf dihasilkan dalam subdirektori C:\Users\username\Documents\AzureStackCSR. Contohnya:

    C:\Users\username\Documents\AzureStackCSR\Deployment_east_azurestack_contoso_com_SingleCSR_CertRequest_20200710165538_ClearTextTemplate.inf

    Salin file ke sistem tempat elevasi diizinkan, kemudian tanda tangani setiap permintaan dengan certreq dengan menggunakan sintaks berikut: certreq -new <example.inf> <example.req>. Anda kemudian perlu menyelesaikan sisa proses pada sistem yang dielevasi tersebut, karena memerlukan pencocokan sertifikat baru yang ditandatangani oleh CA dengan kunci privatnya, yang dihasilkan pada sistem yang dielevasi.

  • Wilayah sistem dan nama domain eksternal (FQDN) Anda akan digunakan oleh Pemeriksa Kesiapan untuk menentukan titik akhir untuk mengekstraksi atribut dari sertifikat yang ada. Jika salah satu hal berikut berlaku untuk skenario, Anda harus menggunakan pemilih Pilih skenario sertifikat CSR di bagian atas artikel ini, dan pilih Versi penyebaran baru artikel ini sebagai gantinya:
    • Anda ingin mengubah atribut sertifikat di titik akhir, seperti subjek, panjang kunci, dan algoritma tanda tangan.
    • Anda ingin menggunakan subjek sertifikat yang hanya berisi atribut nama umum.
  • Konfirmasikan bahwa Anda memiliki konektivitas HTTPS untuk sistem Azure Stack Hub Anda sebelum memulai.

Buat CSR untuk sertifikat perpanjangan

Bagian ini mencakup persiapan CSR untuk perpanjangan sertifikat PKI Azure Stack Hub yang ada.

Hasilkan CSR

  1. Buka sesi PowerShell di komputer tempat Anda menginstal alat Pemeriksa Kesiapan.

  2. Nyatakan variabel berikut:

    Catatan

    Pemeriksa Kesiapan menggunakan stampEndpoint ditambah string yang telah ditambahkan sebelumnya untuk menemukan sertifikat yang ada. Misalnya, portal.east.azurestack.contoso.com digunakan untuk sertifikat penyebaran, sso.appservices.east.azurestack.contoso.com untuk sertifikat layanan aplikasi, dll.

    $regionName = 'east'                                            # The region name for your Azure Stack Hub deployment
    $externalFQDN = 'azurestack.contoso.com'                        # The external FQDN for your Azure Stack Hub deployment    
    $stampEndpoint = "$regionName.$externalFQDN"
    $outputDirectory = "$ENV:USERPROFILE\Documents\AzureStackCSR"   # Declare the path to an existing output directory
    
  3. Hasilkan CSR dengan menyelesaikan satu atau beberapa hal berikut:

    • Untuk lingkungan penyebaran produksi, skrip pertama akan menghasilkan CSR untuk sertifikat penyebaran, yang kedua akan menghasilkan CSR untuk layanan PaaS opsional yang telah Anda instal:

      New-AzsHubDeploymentCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
      
      # App Services
      New-AzsHubAppServicesCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
      
      # DBAdapter
      New-AzsHubDBAdapterCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
      
      # EventHubs
      New-AzsHubEventHubsCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
      
    • Untuk lingkungan pengembangan dan tes, untuk menghasilkan satu CSR dengan beberapa nama alternatif subjek, tambahkan -RequestType SingleCSR parameter dan nilai.

      Penting

      Kami tidak menyarankan menggunakan pendekatan ini untuk lingkungan produksi.

      New-AzsHubDeploymentCertificateSigningRequest -StampEndpoint $stampendpoint -OutputRequestPath $OutputDirectory -RequestType SingleCSR
      
  4. Tinjau output:

    Querying StampEndpoint portal.east.azurestack.contoso.com for existing certificate
    Starting Certificate Request Process for Deployment
    CSR generating for following SAN(s): *.adminhosting.east.azurestack.contoso.com,*.adminvault.east.azurestack.contoso.com,*.blob.east.azurestack.contoso.com,*.hosting.east.azurestack.contoso.com,*.queue.east.azurestack.contoso.com,*.table.east.azurestack.contoso.com,*.vault.east.azurestack.contoso.com,adminmanagement.east.azurestack.contoso.com,adminportal.east.azurestack.contoso.com,management.east.azurestack.contoso.com,portal.east.azurestack.contoso.com
    Present this CSR to your certificate authority for certificate generation: C:\Users\username\Documents\AzureStackCSR\Deployment_east_azurestack_contoso_com_SingleCSR_CertRequest_20200710122723.req
    Certreq.exe output: CertReq: Request Created
    

Setelah siap, kirimkan file .req yang dihasilkan ke CA Anda (baik internal maupun publik). Direktori yang ditentukan oleh $outputDirectory variabel berisi CSR yang harus dikirimkan ke CA. Direktori ini juga berisi, untuk referensi Anda, direktori turunan yang berisi file .inf yang digunakan selama pembuatan permintaan sertifikat. Pastikan CA Anda menghasilkan sertifikat dengan menggunakan permintaan yang dihasilkan yang memenuhi persyaratan Azure Stack Hub PKI.

Langkah berikutnya

Saat Anda menerima sertifikat dari otoritas sertifikat Anda, ikuti langkah-langkah dalam Menyiapkan sertifikat PKI Azure Stack Hub pada sistem yang sama.