Udostępnij za pośrednictwem

Przygotowywanie certyfikatów infrastruktury kluczy publicznych usługi Azure Stack Hub do wdrożenia lub rotacji

  • Artykuł

Uwaga

Ten artykuł dotyczy tylko przygotowywania certyfikatów zewnętrznych, które są używane do zabezpieczania punktów końcowych w zewnętrznej infrastrukturze i usługach. Certyfikaty wewnętrzne są zarządzane oddzielnie podczas procesu rotacji certyfikatów.

Uwaga

Jeśli instalujesz Azure Container Registry (ACR), zalecamy dostosowanie dat wygaśnięcia zewnętrznych certyfikatów usługi ACR do dat wygaśnięcia innych zewnętrznych certyfikatów usługi Azure Stack Hub. Ponadto zalecamy ochronę pliku PFX dla usługi ACR przy użyciu tego samego hasła, które jest używane do ochrony innych certyfikatów zewnętrznych PFX.

Pliki certyfikatów uzyskane z urzędu certyfikacji muszą zostać zaimportowane i wyeksportowane z właściwościami odpowiadającymi wymaganiom certyfikatu usługi Azure Stack Hub.

Z tego artykułu dowiesz się, jak importować, pakować i weryfikować certyfikaty zewnętrzne, aby przygotować się do wdrożenia usługi Azure Stack Hub lub rotacji wpisów tajnych.

Wymagania wstępne

System powinien spełniać następujące wymagania wstępne przed opakowaniem certyfikatów PKI dla wdrożenia usługi Azure Stack Hub:

  • Certyfikaty zwracane z urzędu certyfikacji są przechowywane w jednym katalogu w formacie cer (inne konfigurowalne formaty, takie jak .cert, sst lub pfx).
  • Windows 10 lub Windows Server 2016 lub nowszym.
  • Użyj tego samego systemu, który wygenerował żądanie podpisania certyfikatu (chyba że jest przeznaczony dla certyfikatu wstępnie spakowany do pfX).
  • Użyj sesji programu PowerShell z podwyższonym poziomem uprawnień.

Przejdź do odpowiedniej sekcji Przygotowywanie certyfikatów (narzędzie do sprawdzania gotowości usługi Azure Stack) lub Sekcję Przygotowywanie certyfikatów (kroki ręczne).

Przygotowywanie certyfikatów (narzędzie sprawdzania gotowości usługi Azure Stack)

Wykonaj następujące kroki, aby spakować certyfikaty przy użyciu poleceń cmdlet programu PowerShell do sprawdzania gotowości usługi Azure Stack:

  1. Zainstaluj moduł sprawdzania gotowości usługi Azure Stack z poziomu wiersza polecenia programu PowerShell (5.1 lub nowszego), uruchamiając następujące polecenie cmdlet:

        Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease

  2. Określ ścieżkę do plików certyfikatów. Na przykład:

        $Path = "$env:USERPROFILE\Documents\AzureStack"

  3. Zadeklaruj pfxPassword. Na przykład:

        $pfxPassword = Read-Host -AsSecureString -Prompt "PFX Password"

  4. Zadeklaruj ścieżkę eksportu , do której zostaną wyeksportowane wynikowe pliki PFX. Na przykład:

        $ExportPath = "$env:USERPROFILE\Documents\AzureStack"

  5. Konwertowanie certyfikatów na certyfikaty usługi Azure Stack Hub. Na przykład:

        ConvertTo-AzsPFX -Path $Path -pfxPassword $pfxPassword -ExportPath $ExportPath

  6. Przejrzyj dane wyjściowe:

    ConvertTo-AzsPFX v1.2005.1286.272 started.

Stage 1: Scanning Certificates
    Path: C:\Users\[*redacted*]\Documents\AzureStack Filter: CER Certificate count: 11
    adminmanagement_east_azurestack_contoso_com_CertRequest_20200710235648.cer
    adminportal_east_azurestack_contoso_com_CertRequest_20200710235645.cer
    management_east_azurestack_contoso_com_CertRequest_20200710235644.cer
    portal_east_azurestack_contoso_com_CertRequest_20200710235646.cer
    wildcard_adminhosting_east_azurestack_contoso_com_CertRequest_20200710235649.cer
    wildcard_adminvault_east_azurestack_contoso_com_CertRequest_20200710235642.cer
    wildcard_blob_east_azurestack_contoso_com_CertRequest_20200710235653.cer
    wildcard_hosting_east_azurestack_contoso_com_CertRequest_20200710235652.cer
    wildcard_queue_east_azurestack_contoso_com_CertRequest_20200710235654.cer
    wildcard_table_east_azurestack_contoso_com_CertRequest_20200710235650.cer
    wildcard_vault_east_azurestack_contoso_com_CertRequest_20200710235647.cer

Detected ExternalFQDN: east.azurestack.contoso.com

Stage 2: Exporting Certificates
    east.azurestack.contoso.com\Deployment\ARM Admin\ARMAdmin.pfx
    east.azurestack.contoso.com\Deployment\Admin Portal\AdminPortal.pfx
    east.azurestack.contoso.com\Deployment\ARM Public\ARMPublic.pfx
    east.azurestack.contoso.com\Deployment\Public Portal\PublicPortal.pfx
    east.azurestack.contoso.com\Deployment\Admin Extension Host\AdminExtensionHost.pfx
    east.azurestack.contoso.com\Deployment\KeyVaultInternal\KeyVaultInternal.pfx
    east.azurestack.contoso.com\Deployment\ACSBlob\ACSBlob.pfx
    east.azurestack.contoso.com\Deployment\Public Extension Host\PublicExtensionHost.pfx
    east.azurestack.contoso.com\Deployment\ACSQueue\ACSQueue.pfx
    east.azurestack.contoso.com\Deployment\ACSTable\ACSTable.pfx
    east.azurestack.contoso.com\Deployment\KeyVault\KeyVault.pfx

Stage 3: Validating Certificates.

Validating east.azurestack.contoso.com-Deployment-AAD certificates in C:\Users\[*redacted*]\Documents\AzureStack\east.azurestack.contoso.com\Deployment 

Testing: KeyVaultInternal\KeyVaultInternal.pfx
Thumbprint: E86699****************************4617D6
    PFX Encryption: OK
    Expiry Date: OK
    Signature Algorithm: OK
    DNS Names: OK
    Key Usage: OK
    Key Length: OK
    Parse PFX: OK
    Private Key: OK
    Cert Chain: OK
    Chain Order: OK
    Other Certificates: OK
Testing: ARM Public\ARMPublic.pfx
    ...
Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
ConvertTo-AzsPFX Completed

    Uwaga

    Aby uzyskać dodatkowe informacje o użyciu, użyj polecenia Get-help ConvertTo-AzsPFX -Full w celu dalszego użycia, takiego jak wyłączenie walidacji lub filtrowanie dla różnych formatów certyfikatów.

    Po pomyślnym zakończeniu weryfikacji certyfikaty można przedstawić dla wdrożenia lub rotacji bez żadnych dodatkowych kroków.

Przygotowywanie certyfikatów (kroki ręczne)

Wykonaj następujące kroki, aby spakować certyfikaty dla nowych certyfikatów infrastruktury kluczy publicznych usługi Azure Stack Hub, wykonując kroki ręczne.

Importowanie certyfikatu

  1. Skopiuj oryginalne wersje certyfikatów uzyskane z wybranego urzędu certyfikacji do katalogu na hoście wdrożenia.

    Ostrzeżenie

    Nie kopiuj plików, które zostały już zaimportowane, wyeksportowane ani zmienione w żaden sposób z plików dostarczonych bezpośrednio przez urząd certyfikacji.

  2. Kliknij prawym przyciskiem myszy certyfikat i wybierz polecenie Zainstaluj certyfikat lub Zainstaluj plik PFX, w zależności od sposobu dostarczenia certyfikatu z urzędu certyfikacji.

  3. W Kreatorze importu certyfikatów wybierz pozycję Komputer lokalny jako lokalizację importu. Wybierz opcję Dalej. Na poniższym ekranie ponownie wybierz pozycję Dalej.

    Lokalizacja importu maszyny lokalnej dla certyfikatu

  4. Wybierz pozycję Umieść cały certyfikat w następującym magazynie , a następnie wybierz pozycję Zaufanie przedsiębiorstwa jako lokalizację. Wybierz przycisk OK , aby zamknąć okno dialogowe wyboru magazynu certyfikatów, a następnie wybierz przycisk Dalej.

    Konfigurowanie magazynu certyfikatów na potrzeby importowania certyfikatów

    a. Jeśli importujesz plik PFX, zostanie wyświetlone dodatkowe okno dialogowe. Na stronie Ochrona klucza prywatnego wprowadź hasło dla plików certyfikatów, a następnie włącz opcję Oznacz ten klucz jako możliwy do wyeksportowania, umożliwiając tworzenie kopii zapasowych kluczy lub ich transport później. Wybierz opcję Dalej.

    Oznaczanie klucza jako możliwego do wyeksportowania

  5. Wybierz pozycję Zakończ , aby ukończyć importowanie.

Uwaga

Po zaimportowaniu certyfikatu dla usługi Azure Stack Hub klucz prywatny certyfikatu jest przechowywany jako plik PKCS 12 (PFX) w magazynie klastra.

Eksportowanie certyfikatu

Otwórz konsolę MMC Menedżera certyfikatów i połącz się z magazynem certyfikatów komputera lokalnego.

  1. Otwórz program Microsoft Management Console. Aby otworzyć konsolę w Windows 10, kliknij prawym przyciskiem myszy menu Start, wybierz polecenie Uruchom, a następnie wpisz mmc i naciśnij klawisz Enter.

  2. Wybierz pozycję Plik>Dodaj/Usuń przystawkę, a następnie wybierz pozycję Certyfikaty i wybierz pozycję Dodaj.

    Dodawanie przystawki Certyfikaty w programie Microsoft Management Console

  3. Wybierz pozycję Konto komputera, a następnie wybierz pozycję Dalej. Wybierz pozycję Komputer lokalny , a następnie zakończ. Wybierz przycisk OK , aby zamknąć stronę Dodaj/Usuń Snap-In.

    Wybieranie konta dla przystawki Dodaj certyfikaty w programie Microsoft Management Console

  4. Przejdź dolokalizacji certyfikatów>zaufania> przedsiębiorstwa. Sprawdź, czy certyfikat jest widoczny po prawej stronie.

  5. Na pasku zadań Konsoli Menedżera certyfikatów wybierz pozycję Akcje>Wszystkie zadania>eksportu. Wybierz opcję Dalej.

    Uwaga

    W zależności od liczby posiadanych certyfikatów usługi Azure Stack Hub może być konieczne wykonanie tego procesu więcej niż raz.

  6. Wybierz pozycję Tak, wyeksportuj klucz prywatny, a następnie wybierz przycisk Dalej.

  7. W sekcji Format pliku eksportu:

    • Wybierz pozycję Uwzględnij wszystkie certyfikaty w certyfikacie, jeśli to możliwe.

    • Wybierz pozycję Eksportuj wszystkie właściwości rozszerzone.

    • Wybierz pozycję Włącz prywatność certyfikatu.

    • Wybierz opcję Dalej.

      Kreator eksportu certyfikatów z wybranymi opcjami

  8. Wybierz pozycję Hasło i podaj hasło dla certyfikatów. Utwórz hasło spełniające następujące wymagania dotyczące złożoności hasła:

    • Minimalna długość ośmiu znaków.
    • Co najmniej trzy z następujących znaków: wielkie litery, małe litery, cyfry od 0 do 9, znaki specjalne, znak alfabetyczny, który nie jest wielkimi lub małymi literami.

    Zanotuj to hasło. Użyjesz go jako parametru wdrożenia.

  9. Wybierz opcję Dalej.

  10. Wybierz nazwę i lokalizację pliku PFX do wyeksportowania. Wybierz opcję Dalej.

  11. Wybierz pozycję Zakończ.

Następne kroki

Weryfikowanie certyfikatów PKI