Memvalidasi sertifikat

Selesai

Alat Pemeriksa Kesiapan Azure Stack Hub yang dijelaskan dalam unit ini tersedia dari Galeri PowerShell. Gunakan alat ini untuk memvalidasi bahwa sertifikat infrastruktur kunci publik (PKI) yang dibuat cocok untuk pra-penyebaran. Validasi sertifikat dengan memberikan cukup waktu untuk menguji dan menerbitkan kembali sertifikat jika perlu.

Alat Pemeriksa Kesiapan akan melakukan validasi sertifikat berikut:

  • Parse PFX Memeriksa file PFX yang valid, kata sandi yang benar, dan apakah informasi publik dilindungi oleh kata sandi.
  • Tanggal Kedaluwarsa Memeriksa validitas minimal selama tujuh hari.
  • Algoritma tanda tangan Memeriksa bahwa algoritma tanda tangan bukan SHA1.
  • Kunci Privat Memeriksa bahwa kunci privat ada dan diekspor dengan atribut komputer lokal.
  • Rantai cert Memeriksa rantai sertifikat masih utuh termasuk pemeriksaan sertifikat yang ditandatangani sendiri.
  • Nama DNS Memeriksa SAN berisi nama DNS yang relevan untuk setiap endpoint atau jika wildcard pendukung ada.
  • Penggunaan kunci Memeriksa apakah penggunaan kunci berisi tanda tangan digital dan penulisan kunci dalam kode dan memeriksa apakah penggunaan kunci yang disempurnakan berisi autentikasi server dan autentikasi klien.
  • Ukuran kunci Memeriksa apakah ukuran kunci adalah 2048 atau lebih besar.
  • Urutan rantai Memeriksa urutan sertifikat lain yang memvalidasi bahwa urutan tersebut benar.
  • Sertifikat lains Memastikan tidak ada sertifikat lain yang telah dikemas dalam PFX selain sertifikat daun yang relevan dan rantainya.

Sistem Anda harus memenuhi prasyarat berikut sebelum memvalidasi sertifikat PKI untuk penyebaran Azure Stack Hub:

  • Pemeriksa Kesiapan Microsoft Azure Stack Hub.
  • Sertifiakt SSL akan diekspor setelah instruksi persiapan.
  • 'DeploymentData.json'.
  • Windows 10 atau Windows Server 2016.

Melakukan validasi sertifikat layanan inti

Gunakan langkah-langkah ini untuk memvalidasi sertifikat PKI Azure Stack Hub untuk penyebaran dan rotasi rahasia:

  1. Instal AzsReadinessChecker dari perintah PowerShell (5.1 atau lebih tinggi) dengan menjalankan cmdlet berikut:

    Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
    
    
  2. Buat struktur direktori sertifikat. Pada contoh di bawah, Anda dapat mengubah <C:\Certificates\Deployment> ke jalur direktori baru pilihan Anda.

    New-Item C:\Certificates\Deployment -ItemType Directory
    
    $directories = 'ACSBlob', 'ACSQueue', 'ACSTable', 'Admin Extension Host', 'Admin Portal', 'ARM Admin', 'ARM Public', 'KeyVault', 'KeyVaultInternal', 'Public Extension Host', 'Public Portal'
    
    $destination = 'C:\Certificates\Deployment'
    
    $directories | % { New-Item -Path (Join-Path $destination $PSITEM) -ItemType Directory -Force}
    
    
    
  3. Di jendela PowerShell, ubah nilai RegionName, FQDN, dan IdentitySystem yang sesuai dengan lingkungan Azure Stack Hub dan jalankan cmdlet berikut:

    $pfxPassword = Read-Host -Prompt "Enter PFX Password" -AsSecureString
    Invoke-AzsHubDeploymentCertificateValidation -CertificatePath C:\Certificates\Deployment -pfxPassword $pfxPassword -RegionName east -FQDN azurestack.contoso.com -IdentitySystem AAD
    
    
    
  4. Periksa output dan pastikan bahwa semua sertifikat lulus semua tes. Contohnya:

    Testing: KeyVaultInternal\KeyVaultInternal.pfx
    Thumbprint: E86699****************************4617D6
        PFX Encryption: OK
        Expiry Date: OK
        Signature Algorithm: OK
        DNS Names: OK
        Key Usage: OK
        Key Length: OK
        Parse PFX: OK
        Private Key: OK
        Cert Chain: OK
        Chain Order: OK
        Other Certificates: OK
    Testing: ARM Public\ARMPublic.pfx
    Thumbprint: 8DC4D9****************************69DBAA
        PFX Encryption: OK
        Expiry Date: OK
        Signature Algorithm: OK
        DNS Names: OK
        Key Usage: OK
        Key Length: OK
        Parse PFX: OK
        Private Key: OK
        Cert Chain: OK
        Chain Order: OK
        Other Certificates: OK
    Testing: Admin Portal\AdminPortal.pfx
    Thumbprint: 6F9055****************************4AC0EA
        PFX Encryption: OK
        Expiry Date: OK
        Signature Algorithm: OK
        DNS Names: OK
        Key Usage: OK
        Key Length: OK
        Parse PFX: OK
        Private Key: OK
        Cert Chain: OK
        Chain Order: OK
        Other Certificates: OK
    Testing: Public Portal\PublicPortal.pfx
    
    Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
    Report location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
    Invoke-AzsHubDeploymentCertificateValidation Completed
    
    
    

Untuk memvalidasi sertifikat untuk layanan Azure Stack Hub lainnya, ubah nilai untuk -CertificateType. Contohnya:

# App Services
Invoke-AzsHubAppServicesCertificateValidation -CertificatePath C:\Certificates\AppServices -pfxPassword $pfxPassword -RegionName east -FQDN azurestack.contoso.com

# DBAdapter
Invoke-AzsHubDBAdapterCertificateValidation -CertificatePath C:\Certificates\DBAdapter -pfxPassword $pfxPassword -RegionName east -FQDN azurestack.contoso.com

# EventHubs
Invoke-AzsHubEventHubsCertificateValidation -CertificatePath C:\Certificates\EventHubs -pfxPassword $pfxPassword -RegionName east -FQDN azurestack.contoso.com

# IoTHub
Invoke-AzsHubIoTHubCertificateValidation -CertificatePath C:\Certificates\IoTHub -pfxPassword $pfxPassword -RegionName east -FQDN azurestack.contoso.com