Azure Stack Hub için sertifika imzalama istekleri oluşturma

Azure Stack Hub dağıtımına uygun sertifika imzalama istekleri (CSR) oluşturmak veya var olan bir dağıtım için sertifikaları yenilemek için Azure Stack Hub Hazır Olma Denetleyicisi aracını kullanabilirsiniz. Dağıtılmadan önce test etmek için yeterli sağlama süresine sahip sertifikaları istemek, oluşturmak ve doğrulamak önemlidir.

Araç, bu makalenin en üstündeki CSR sertifika senaryosu seçicisi temelinde aşağıdaki sertifikaları istemek için kullanılır:

• Yeni dağıtım için standart sertifikalar: Bu makalenin en üstündeki CSR sertifika senaryosu seçicisini kullanarak Yeni dağıtım'ı seçin.
• Var olan bir dağıtım için yenileme sertifikaları: Bu makalenin en üstündeki CSR sertifika senaryosu seçicisini kullanarak Yenileme'yi seçin.
• Hizmet olarak platform (PaaS) sertifikaları: İsteğe bağlı olarak hem standart hem de yenileme sertifikalarıyla oluşturulabilir. Daha fazla ayrıntı için bkz. Azure Stack Hub ortak anahtar altyapısı (PKI) sertifika gereksinimleri - isteğe bağlı PaaS sertifikaları .

Önkoşullar

Azure Stack Hub dağıtımı için PKI sertifikaları için CSR'ler oluşturmadan önce sisteminizin aşağıdaki önkoşulları karşılaması gerekir:

• Windows 10 veya üzeri ya da Windows Server 2016 veya sonraki bir sürümü olan bir makinede olmanız gerekir.

• Aşağıdaki komutu kullanarak bir PowerShell isteminden (5.1 veya üzeri) Azure Stack Hub Hazırlık denetleyicisi aracını yükleyin:

  Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
  

• Sertifikanız için aşağıdaki özniteliklere ihtiyacınız vardır:

  • Bölge adı
  • Dış tam etki alanı adı (FQDN)
  • Konu

Yeni dağıtım sertifikaları için CSR oluşturma

Uyarı

Sertifika imzalama istekleri oluşturmak için yükseltme gereklidir. Yükseltmenin mümkün olmadığı kısıtlı ortamlarda, Azure Stack Hub dış sertifikaları için gereken tüm bilgileri içeren düz metin şablon dosyaları oluşturmak için bu aracı kullanabilirsiniz. Ardından bu şablon dosyalarını yükseltilmiş bir oturumda kullanarak ortak/özel anahtar çifti oluşturma işlemini tamamlarsınız.

CSR'leri yeni Azure Stack Hub PKI sertifikalarına hazırlamak için aşağıdaki adımları tamamlayın:

1. Hazır Olma Denetleyicisi aracını yüklediğiniz makinede bir PowerShell oturumu açın.

2. Aşağıdaki değişkenleri bildirin:

   Uyarı

   <regionName>.<externalFQDN> , Azure Stack Hub'daki tüm dış DNS adlarının oluşturulduğu temeli oluşturur. Aşağıdaki örnekte portal olacaktır portal.east.azurestack.contoso.com.

   $outputDirectory = "$ENV:USERPROFILE\Documents\AzureStackCSR" # An existing output directory
   $IdentitySystem = "AAD"                     # Use "AAD" for Azure Active Director, "ADFS" for Active Directory Federation Services
   $regionName = 'east'                        # The region name for your Azure Stack Hub deployment
   $externalFQDN = 'azurestack.contoso.com'    # The external FQDN for your Azure Stack Hub deployment
   

Şimdi aynı PowerShell oturumunu kullanarak CSR'leri oluşturun. Yönergeler, aşağıda gösterildiği gibi seçtiğiniz Konu biçimine özeldir:

CN içermeyen konu

Uyarı

Azure Stack Hub hizmetinin ilk DNS adı, sertifika isteğinde CN alanı olarak yapılandırılır.

1. Konu bildirme; mesela:

   $subject = "C=US,ST=Washington,L=Redmond,O=Microsoft,OU=Azure Stack Hub"
   

2. Aşağıdakilerden birini tamamlayarak CSR'ler oluşturun:

   • Bir üretim ortamına dağıtım için, ilk komut dosyası dağıtım sertifikaları için CSR'ler oluşturur.

     New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
     

   • İkinci betik, istenirse, -IncludeContainerRegistry kullanarak ve dağıtım sertifikaları için CSR'lere ek olarak aynı zamanda Azure Container Registry için de bir CSR oluşturur:

     New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem -IncludeContainerRegistry
     

   • Üçüncü betik, yüklediğiniz tüm isteğe bağlı PaaS hizmetleri için CSR'ler oluşturur:

     # App Services
     New-AzsHubAppServicesCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
     
     # DBAdapter (SQL/MySQL)
     New-AzsHubDbAdapterCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
     
     # EventHubs
     New-AzsHubEventHubsCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
     
     # Azure Container Registry
     New-AzsHubAzureContainerRegistryCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory 
     

   • Düşük ayrıcalıklı bir ortam için, gerekli özniteliklerin bildirilmesiyle bir düz metin sertifikası şablon dosyası oluşturmak için parametresini -LowPrivilege ekleyin:

     New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem -LowPrivilege
     

   • Geliştirme ve test ortamı için, birden çok konu alternatif adına sahip tek bir CSR oluşturmak amacıyla, -RequestType SingleCSR parametresini ve değerini ekleyin.

     Önemli

     Bu yaklaşım üretim ortamları için önerilmez.

     New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -RequestType SingleCSR -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
     

CN ile konu

Uyarı

Belirttiğiniz CN her sertifika isteğinde yapılandırılır.

1. Konu bildirme; mesela:

   $subject = "C=US,ST=Washington,L=Redmond,O=Microsoft,OU=Azure Stack Hub,CN=NWTraders"
   

2. Aşağıdakilerden birini tamamlayarak CSR'ler oluşturun:

   • Bir üretim dağıtım ortamı için, ilk betik dağıtım sertifikaları için CSR'ler oluşturur:

     New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
     

   • İstenirse, ikinci betik -IncludeContainerRegistry kullanır ve dağıtım sertifikaları için CSR'lerle aynı anda Azure Container Registry için bir CSR oluşturur:

     New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem -IncludeContainerRegistry
     

   • Üçüncü betik, yüklediğiniz tüm isteğe bağlı PaaS hizmetleri için CSR'ler oluşturur:

     # App Services
     New-AzsHubAppServicesCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
     
     # DBAdapter (SQL/MySQL)
     New-AzsHubDbAdapterCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
     
     # EventHubs
     New-AzsHubEventHubsCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
     
     # Azure Container Registry
     New-AzsHubAzureContainerRegistryCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory 
     

   • Düşük ayrıcalıklı bir ortam için, gerekli özniteliklerin bildirilmesiyle bir düz metin sertifikası şablon dosyası oluşturmak için parametresini -LowPrivilege ekleyin:

     New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem -LowPrivilege
     

   • Geliştirme ve test ortamı için, birden fazla konu alternatif adlarına sahip tek bir CSR oluşturmak amacıyla -RequestType SingleCSR parametresini ve değerini ekleyin.

     Önemli

     Bu yaklaşım üretim ortamları için önerilmez.

     New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -RequestType SingleCSR -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
     

Yalnızca CN içeren konu

Uyarı

Hazırlık Denetleyicisi aracı her sertifika için bir CN oluşturur ve konuya başka bir göreli ayırt edici ad eklenmez.

1. Aşağıdakilerden birini tamamlayarak CSR'ler oluşturun:

   • Bir canlı dağıtım ortamında, ilk komut dosyası, dağıtım sertifikaları için CSR'ler (Sertifika İmzalama İstekleri) oluşturur:

     New-AzsCertificateSigningRequest -CertificateType Deployment -RegionName $regionName -FQDN $externalFQDN -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
     

   • İstenirse ikinci betik, -IncludeContainerRegistry kullanarak Azure Container Registry için bir CSR ve dağıtım sertifikaları için CSR'leri aynı anda oluşturur:

     New-AzsCertificateSigningRequest -CertificateType Deployment -RegionName $regionName -FQDN $externalFQDN -OutputRequestPath $OutputDirectory -IncludeContainerRegistry
     

   • Üçüncü betik, yüklediğiniz tüm isteğe bağlı PaaS hizmetleri için CSR'ler oluşturur:

     # App Services
     New-AzsCertificateSigningRequest -CertificateType AppServices -RegionName $regionName -FQDN $externalFQDN -OutputRequestPath $OutputDirectory
     
     # DBAdapter (SQL/MySQL)
     New-AzsCertificateSigningRequest -CertificateType DbAdapter -RegionName $regionName -FQDN $externalFQDN -OutputRequestPath $OutputDirectory
     
     # EventHubs
     New-AzsCertificateSigningRequest -CertificateType EventHubs -RegionName $regionName -FQDN $externalFQDN -OutputRequestPath $OutputDirectory
     
     # Azure Container Registry
     New-AzsHubAzureContainerRegistryCertificateSigningRequest -CertificateType AzureContainerRegistry -RegionName $regionName -FQDN $externalFQDN -OutputRequestPath $OutputDirectory 
     

   • Geliştirme ve test ortamı için, birden fazla konuya sahip alternatif adlarla tek bir CSR oluşturmak amacıyla -RequestType SingleCSR parametresi ve değerini ekleyin.

     Önemli

     Bu yaklaşım üretim ortamları için önerilmez.

     New-AzsCertificateSigningRequest -CertificateType Deployment -RegionName $regionName -FQDN $externalFQDN -RequestType SingleCSR -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
     

Son adımları tamamlayın:

1. Çıktıyı gözden geçirin:

   Starting Certificate Request Process for Deployment
   CSR generating for following SAN(s): *.adminhosting.east.azurestack.contoso.com,*.adminvault.east.azurestack.contoso.com,*.blob.east.azurestack.contoso.com,*.hosting.east.azurestack.contoso.com,*.queue.east.azurestack.contoso.com,*.table.east.azurestack.contoso.com,*.vault.east.azurestack.contoso.com,adminmanagement.east.azurestack.contoso.com,adminportal.east.azurestack.contoso.com,management.east.azurestack.contoso.com,portal.east.azurestack.contoso.com
   Present this CSR to your Certificate Authority for Certificate Generation:  C:\Users\username\Documents\AzureStackCSR\Deployment_east_azurestack_contoso_com_SingleCSR_CertRequest_20200710165538.req
   Certreq.exe output: CertReq: Request Created
   

2. -LowPrivilege parametresi kullanıldıysa, alt dizininde C:\Users\username\Documents\AzureStackCSR bir .inf dosyası oluşturulur. Örneğin:

   C:\Users\username\Documents\AzureStackCSR\Deployment_east_azurestack_contoso_com_SingleCSR_CertRequest_20200710165538_ClearTextTemplate.inf

   Dosyayı yükseltmeye izin verilen bir sisteme kopyalayın, ardından aşağıdaki söz dizimini kullanarak her isteği ile certreq imzalayın: certreq -new <example.inf> <example.req>. Ardından, yükseltilmiş sistemde oluşturulan özel anahtarıyla CA tarafından imzalanan yeni sertifikanın eşleşmesini gerektirdiğinden, yükseltilmiş sistemdeki işlemin geri kalanını tamamlayın.

• Sisteminizin bölgesi ve dış etki alanı adı (FQDN), Hazır Olma Denetleyicisi tarafından mevcut sertifikalarınızdan öznitelik ayıklama uç noktasını belirlemek için kullanılır. Aşağıdakilerden biri senaryonuz için geçerliyse, bu makalenin en üstündeki CSR sertifika senaryosu seç seçicisini kullanmanız ve bu makalenin Yeni dağıtım sürümünü seçmeniz gerekir:
  • Konu, anahtar uzunluğu ve imza algoritması gibi uç noktadaki sertifikaların özniteliklerini değiştirin.
  • Yalnızca ortak ad özniteliğini içeren bir sertifika konusu kullanın.
• Başlamadan önce Azure Stack Hub sisteminiz için HTTPS bağlantınızın olduğunu onaylayın.

Yenileme sertifikaları için CSR oluşturma

Bu bölümde, mevcut Azure Stack Hub PKI sertifikalarının yenilenmesi için CSR'lerin hazırlanması açıklanmaktadır.

CSR oluşturma

1. Hazır Olma Denetleyicisi aracını yüklediğiniz makinede bir PowerShell oturumu açın.

2. Aşağıdaki değişkenleri bildirin:

   Uyarı

   Hazırlık Denetleyicisi, mevcut sertifikaları bulmak için artı olarak ekli bir dize kullanır stampEndpoint . Örneğin, portal.east.azurestack.contoso.com dağıtım sertifikaları, sso.appservices.east.azurestack.contoso.com uygulama hizmetleri sertifikaları vb. için kullanılır.

   $regionName = 'east'                                            # The region name for your Azure Stack Hub deployment
   $externalFQDN = 'azurestack.contoso.com'                        # The external FQDN for your Azure Stack Hub deployment    
   $stampEndpoint = "$regionName.$externalFQDN"
   $outputDirectory = "$ENV:USERPROFILE\Documents\AzureStackCSR"   # Declare the path to an existing output directory
   

3. Aşağıdakilerden birini veya daha fazlasını tamamlayarak CSR'ler oluşturun:

   • Bir üretim ortamı için, ilk komut dosyası dağıtım sertifikaları için Sertifika İmza İstekleri (CSR'ler) oluşturur.

     New-AzsHubDeploymentCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
     

   • İstenirse, ikinci betik, -IncludeContainerRegistry kullanarak hem Azure Container Registry için bir CSR oluşturur hem de aynı anda dağıtım sertifikaları için CSR'ler oluşturur.

     New-AzsHubDeploymentCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory -IncludeContainerRegistry
     

   • Üçüncü betik, yüklediğiniz tüm isteğe bağlı PaaS hizmetleri için CSR'ler oluşturur:

     # App Services
     New-AzsHubAppServicesCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
     
     # DBAdapter
     New-AzsHubDBAdapterCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
     
     # EventHubs
     New-AzsHubEventHubsCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
     
     # Azure Container Registry
     New-AzsHubAzureContainerRegistryCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory 
     

   • Geliştirme ve test ortamı için, birden fazla konu alternatif isimli tek bir CSR oluşturmak amacıyla -RequestType SingleCSR parametresini ve değerini ekleyin:

     Önemli

     Bu yaklaşım üretim ortamları için önerilmez.

   New-AzsHubDeploymentCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory -RequestType SingleCSR
   

4. Çıktıyı gözden geçirin:

   Querying StampEndpoint portal.east.azurestack.contoso.com for existing certificate
   Starting Certificate Request Process for Deployment
   CSR generating for following SAN(s): *.adminhosting.east.azurestack.contoso.com,*.adminvault.east.azurestack.contoso.com,*.blob.east.azurestack.contoso.com,*.hosting.east.azurestack.contoso.com,*.queue.east.azurestack.contoso.com,*.table.east.azurestack.contoso.com,*.vault.east.azurestack.contoso.com,adminmanagement.east.azurestack.contoso.com,adminportal.east.azurestack.contoso.com,management.east.azurestack.contoso.com,portal.east.azurestack.contoso.com
   Present this CSR to your certificate authority for certificate generation: C:\Users\username\Documents\AzureStackCSR\Deployment_east_azurestack_contoso_com_SingleCSR_CertRequest_20200710122723.req
   Certreq.exe output: CertReq: Request Created
   

Hazır olduğunuzda, oluşturulan .req dosyasını CA'nıza (iç veya genel) gönderin. değişkeni tarafından $outputDirectory belirtilen dizin, CA'ya gönderilmesi gereken CSR'leri içerir. Dizin ayrıca, başvurunuz için sertifika isteği oluşturma sırasında kullanılacak .inf dosyalarını içeren bir alt dizin içerir. CA'nızın Azure Stack Hub PKI gereksinimlerini karşılayan oluşturulmuş bir istek kullanarak sertifikalar oluşturduğundan emin olun.

Sonraki Adımlar

Sertifikalarınızı sertifika yetkilinizden geri aldıktan sonra Azure Stack Hub PKI sertifikalarını aynı sistemde hazırlama makalesindeki adımları izleyin.