배포 또는 회전을 위한 Azure Stack Hub PKI 인증서 준비

아티클
03/29/2024

참고

이 문서에서는 외부 인프라 및 서비스의 엔드포인트를 보호하는 데 사용되는 외부 인증서만 준비합니다. 내부 인증서는 인증서 회전 프로세스 중에 별도로 관리됩니다.

참고

ACR(Azure Container Registry)을 설치하는 경우 외부 ACR 인증서의 만료 날짜를 다른 외부 Azure Stack Hub 인증서의 만료 날짜와 맞추는 것이 좋습니다. 또한 다른 외부 인증서 PFX를 보호하는 데 사용하는 것과 동일한 암호로 ACR용 PFX를 보호하는 것이 좋습니다.

CA(인증 기관)에서 가져온 인증서 파일을 가져와서 Azure Stack Hub의 인증서 요구 사항과 일치하는 속성으로 내보내야 합니다.

이 문서에서는 Azure Stack Hub 배포 또는 비밀 순환을 준비하기 위해 외부 인증서를 가져오고, 패키지하고, 유효성을 검사하는 방법을 알아봅니다.

필수 구성 요소

시스템은 Azure Stack Hub 배포를 위해 PKI 인증서를 패키징하기 전에 다음 필수 조건을 충족해야 합니다.

인증 기관에서 반환된 인증서는 .cer 형식(.cert, .sst 또는 .pfx와 같은 기타 구성 가능한 형식)으로 단일 디렉터리에 저장됩니다.
Windows 10 또는 Windows Server 2016 이상.
인증서 서명 요청을 생성한 것과 동일한 시스템을 사용합니다(PFX로 미리 패키지된 인증서를 대상으로 지정하지 않는 한).
관리자 권한 PowerShell 세션을 사용합니다.

적절한 인증서 준비(Azure Stack 준비 검사기) 또는 인증서 준비(수동 단계) 섹션을 계속 진행합니다 .

인증서 준비(Azure Stack 준비 검사기)

다음 단계를 사용하여 Azure Stack 준비 검사기 PowerShell cmdlet을 사용하여 인증서를 패키지합니다.

다음 cmdlet을 실행하여 PowerShell 프롬프트(5.1 이상)에서 Azure Stack 준비 검사기 모듈을 설치합니다.
```
    Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
```
인증서 파일의 경로를 지정합니다. 다음은 그 예입니다.
```
    $Path = "$env:USERPROFILE\Documents\AzureStack"
```

pfxPassword를 선언합니다. 다음은 그 예입니다.

    $pfxPassword = Read-Host -AsSecureString -Prompt "PFX Password"

결과 PFX를 내보낼 ExportPath 를 선언합니다. 다음은 그 예입니다.
```
    $ExportPath = "$env:USERPROFILE\Documents\AzureStack"
```

인증서를 Azure Stack Hub 인증서로 변환합니다. 다음은 그 예입니다.

    ConvertTo-AzsPFX -Path $Path -pfxPassword $pfxPassword -ExportPath $ExportPath

출력을 검토합니다.

ConvertTo-AzsPFX v1.2005.1286.272 started.

Stage 1: Scanning Certificates
    Path: C:\Users\[*redacted*]\Documents\AzureStack Filter: CER Certificate count: 11
    adminmanagement_east_azurestack_contoso_com_CertRequest_20200710235648.cer
    adminportal_east_azurestack_contoso_com_CertRequest_20200710235645.cer
    management_east_azurestack_contoso_com_CertRequest_20200710235644.cer
    portal_east_azurestack_contoso_com_CertRequest_20200710235646.cer
    wildcard_adminhosting_east_azurestack_contoso_com_CertRequest_20200710235649.cer
    wildcard_adminvault_east_azurestack_contoso_com_CertRequest_20200710235642.cer
    wildcard_blob_east_azurestack_contoso_com_CertRequest_20200710235653.cer
    wildcard_hosting_east_azurestack_contoso_com_CertRequest_20200710235652.cer
    wildcard_queue_east_azurestack_contoso_com_CertRequest_20200710235654.cer
    wildcard_table_east_azurestack_contoso_com_CertRequest_20200710235650.cer
    wildcard_vault_east_azurestack_contoso_com_CertRequest_20200710235647.cer

Detected ExternalFQDN: east.azurestack.contoso.com

Stage 2: Exporting Certificates
    east.azurestack.contoso.com\Deployment\ARM Admin\ARMAdmin.pfx
    east.azurestack.contoso.com\Deployment\Admin Portal\AdminPortal.pfx
    east.azurestack.contoso.com\Deployment\ARM Public\ARMPublic.pfx
    east.azurestack.contoso.com\Deployment\Public Portal\PublicPortal.pfx
    east.azurestack.contoso.com\Deployment\Admin Extension Host\AdminExtensionHost.pfx
    east.azurestack.contoso.com\Deployment\KeyVaultInternal\KeyVaultInternal.pfx
    east.azurestack.contoso.com\Deployment\ACSBlob\ACSBlob.pfx
    east.azurestack.contoso.com\Deployment\Public Extension Host\PublicExtensionHost.pfx
    east.azurestack.contoso.com\Deployment\ACSQueue\ACSQueue.pfx
    east.azurestack.contoso.com\Deployment\ACSTable\ACSTable.pfx
    east.azurestack.contoso.com\Deployment\KeyVault\KeyVault.pfx

Stage 3: Validating Certificates.

Validating east.azurestack.contoso.com-Deployment-AAD certificates in C:\Users\[*redacted*]\Documents\AzureStack\east.azurestack.contoso.com\Deployment 

Testing: KeyVaultInternal\KeyVaultInternal.pfx
Thumbprint: E86699****************************4617D6
    PFX Encryption: OK
    Expiry Date: OK
    Signature Algorithm: OK
    DNS Names: OK
    Key Usage: OK
    Key Length: OK
    Parse PFX: OK
    Private Key: OK
    Cert Chain: OK
    Chain Order: OK
    Other Certificates: OK
Testing: ARM Public\ARMPublic.pfx
    ...
Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
ConvertTo-AzsPFX Completed

참고

추가 사용의 경우 유효성 검사를 사용하지 않도록 설정하거나 다른 인증서 형식에 대한 필터링과 같은 추가 사용을 위해 Get-help ConvertTo-AzsPFX -Full을 사용합니다.

배포 또는 회전에 대해 추가 단계 없이 성공적인 유효성 검사 인증서를 표시할 수 있습니다.

인증서 준비(수동 단계)

수동 단계를 사용하여 새 Azure Stack Hub PKI 인증서에 대한 인증서를 패키지하려면 다음 단계를 사용합니다.

인증서 가져오기

선택한 CA에서 가져온 원래 인증서 버전을 배포 호스트의 디렉터리에 복사합니다.

경고

CA에서 직접 제공한 파일에서 이미 가져오거나 내보내거나 변경한 파일은 복사하지 마세요.
인증서를 마우스 오른쪽 단추로 클릭하고 CA에서 인증서를 배달한 방법에 따라 인증서 설치 또는 PFX 설치를 선택합니다.
인증서 가져오기 마법사에서 로컬 컴퓨터를 가져오기 위치로 선택합니다. 다음을 선택합니다. 다음 화면에서 다음을 다시 선택합니다.
다음 저장소에 모든 인증서 배치를 선택한 다음, 엔터프라이즈 트러스트를 위치로 선택합니다. 확인을 선택하여 인증서 저장소 선택 대화 상자를 닫은 다음, 다음을 선택합니다.

a. PFX를 가져오는 경우 추가 대화 상자가 표시됩니다. 프라이빗 키 보호 페이지에서 인증서 파일의 암호를 입력한 다음 이 키를 내보낼 수 있는 것으로 표시 옵션을 사용하도록 설정합니다. 나중에 키를 백업하거나 전송할 수 있습니다. 다음을 선택합니다.
마침을 선택하여 가져오기를 완료합니다.

참고

Azure Stack Hub에 대한 인증서를 가져온 후 인증서의 프라이빗 키는 클러스터형 스토리지에 PKCS 12 파일(PFX)로 저장됩니다.

인증서 내보내기

인증서 관리자 MMC 콘솔을 열고 로컬 머신 인증서 저장소에 연결합니다.

Microsoft 관리 콘솔을 엽니다. Windows 10 콘솔을 열려면 시작 메뉴를 마우스 오른쪽 단추로 클릭하고 실행을 선택한 다음 mmc를 입력하고 Enter 키를 누릅니다.
파일>스냅인 추가/제거를 선택한 다음 인증서를 선택하고 추가를 선택합니다.
컴퓨터 계정을 선택한 다음, 다음을 선택합니다. 로컬 컴퓨터를 선택한 다음 마침을 선택합니다. 확인을 선택하여 추가/제거 Snap-In 페이지를 닫습니다.
인증서>엔터프라이즈 신뢰>인증서 위치로 이동합니다. 오른쪽에 인증서가 표시되는지 확인합니다.
인증서 관리자 콘솔 작업 표시줄에서 작업>모든 작업내보내기를> 선택합니다. 다음을 선택합니다.

참고

Azure Stack Hub 인증서의 수에 따라 이 프로세스를 두 번 이상 완료해야 할 수 있습니다.
예, 프라이빗 키 내보내기를 선택한 다음, 다음을 선택합니다.
파일 형식 내보내기 섹션에서 다음을 수행합니다.
- 가능하면 인증서에 모든 인증서 포함을 선택합니다.
- 모든 확장 속성 내보내기 를 선택합니다.
- 인증서 개인 정보 사용을 선택합니다.
- 다음을 선택합니다.
암호를 선택하고 인증서에 대한 암호를 제공합니다. 다음 암호 복잡성 요구 사항을 충족하는 암호를 만듭니다.
- 최소 길이는 8자입니다.
- 대문자, 소문자, 0-9의 숫자, 특수 문자, 대문자 또는 소문자가 아닌 사전순 문자 중 세 개 이상입니다.
이 암호를 기록해 두세요. 배포 매개 변수로 사용합니다.
다음을 선택합니다.
내보낼 PFX 파일의 파일 이름과 위치를 선택합니다. 다음을 선택합니다.
마침을 선택합니다.

다음 단계

PKI 인증서 유효성 검사