Azure Stack Hub için sertifika imzalama istekleri oluşturma

Azure Stack Hub dağıtımı için uygun sertifika imzalama istekleri (CSR) oluşturmak veya var olan bir dağıtım için sertifikaları yenilemek için Azure Stack Hub Hazırlık Denetleyicisi aracını kullanırsınız. Sertifikalar dağıtılmadan önce test etmek için yeterli sağlama süresiyle sertifika istemek, oluşturmak ve doğrulamak önemlidir.

Araç, bu makalenin üst kısmındaki CSR sertifika senaryosu seç seçicisine bağlı olarak aşağıdaki sertifikaları istemek için kullanılır:

• Yeni dağıtım için standart sertifikalar: Bu makalenin üst kısmındaki CSR sertifika senaryosu seç seçicisini kullanarak Yeni dağıtım'ı seçin.
• Var olan bir dağıtım için sertifikaları yenileme: Bu makalenin üst kısmındaki CSR sertifika senaryosu seç seçicisini kullanarak Yenileme'yi seçin.
• Hizmet olarak platform (PaaS) sertifikaları: İsteğe bağlı olarak hem standart hem de yenileme sertifikalarıyla oluşturulabilir. Daha fazla ayrıntı için bkz. Azure Stack Hub ortak anahtar altyapısı (PKI) sertifika gereksinimleri - isteğe bağlı PaaS sertifikaları .

Önkoşullar

Azure Stack Hub dağıtımı için PKI sertifikaları için CSR'ler oluşturmadan önce sisteminizin aşağıdaki önkoşulları karşılaması gerekir:

• Windows 10 veya üzeri ya da Windows Server 2016 ya da sonraki bir sürümü olan bir makinede olmanız gerekir.
• Aşağıdaki cmdlet'i kullanarak bir PowerShell isteminden (5.1 veya üzeri) Azure Stack Hub Hazır olma denetleyicisi aracını yükleyin:

       Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
  

• Sertifikanız için aşağıdaki özniteliklere ihtiyacınız olacaktır:
  • Bölge adı
  • Dış tam etki alanı adı (FQDN)
  • Konu

Yeni dağıtım sertifikaları için CSR'ler oluşturma

Not

Sertifika imzalama istekleri oluşturmak için yükseltme gereklidir. Yükseltmenin mümkün olmadığı kısıtlı ortamlarda, Azure Stack Hub dış sertifikaları için gereken tüm bilgileri içeren düz metin şablon dosyaları oluşturmak için bu aracı kullanabilirsiniz. Daha sonra ortak/özel anahtar çifti oluşturma işlemini tamamlamak için bu şablon dosyalarını yükseltilmiş bir oturumda kullanmanız gerekir. Diğer ayrıntılar için aşağıya bakın.

CSR'leri yeni Azure Stack Hub PKI sertifikalarına hazırlamak için aşağıdaki adımları tamamlayın:

1. Hazır Olma Denetleyicisi aracını yüklediğiniz makinede bir PowerShell oturumu açın.

2. Aşağıdaki değişkenleri bildirin:

   Not

   <regionName>.<externalFQDN> , Azure Stack Hub'daki tüm dış DNS adlarının oluşturulduğu temeli oluşturur. Aşağıdaki örnekte portal olacaktır portal.east.azurestack.contoso.com.

   $outputDirectory = "$ENV:USERPROFILE\Documents\AzureStackCSR" # An existing output directory
   $IdentitySystem = "AAD"                     # Use "AAD" for Azure Active Director, "ADFS" for Active Directory Federation Services
   $regionName = 'east'                        # The region name for your Azure Stack Hub deployment
   $externalFQDN = 'azurestack.contoso.com'    # The external FQDN for your Azure Stack Hub deployment
   

Şimdi aynı PowerShell oturumunu kullanarak CSR'leri oluşturun. Yönergeler aşağıda seçtiğiniz Konu biçimine özeldir:

CN olmayan konu

Not

Azure Stack Hub hizmetinin ilk DNS adı, sertifika isteğinde CN alanı olarak yapılandırılır.

1. Bir konu bildirin, örneğin:

   $subject = "C=US,ST=Washington,L=Redmond,O=Microsoft,OU=Azure Stack Hub"
   

2. Aşağıdakilerden birini tamamlayarak CSR'ler oluşturun:

   • Bir üretim dağıtım ortamı için, ilk betik dağıtım sertifikaları için CSR'ler oluşturur:

     New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
     

   • İstenirse ikinci betik, dağıtım sertifikaları için CSR'lerle aynı anda Azure Container Registry için bir CSR oluşturur-IncludeContainerRegistry:

     New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem -IncludeContainerRegistry
     

   • Üçüncü betik, yüklediğiniz tüm isteğe bağlı PaaS hizmetleri için CSR'ler oluşturur:

     # App Services
     New-AzsHubAppServicesCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
     
     # DBAdapter (SQL/MySQL)
     New-AzsHubDbAdapterCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
     
     # EventHubs
     New-AzsHubEventHubsCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
     
     # Azure Container Registry
     New-AzsHubAzureContainerRegistryCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory 
     

   • Düşük ayrıcalıklı bir ortam için, gerekli özniteliklerin bildirilmesiyle bir düz metin sertifikası şablon dosyası oluşturmak için parametresini -LowPrivilege ekleyin:

     New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem -LowPrivilege
     

   • Geliştirme ve test ortamı için, birden çok konulu alternatif adlara sahip tek bir CSR oluşturmak için parametresini -RequestType SingleCSR ve değerini ekleyin.

     Önemli

     Üretim ortamları için bu yaklaşımın kullanılmasını önermeyiz .

     New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -RequestType SingleCSR -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
     

CN ile konu

Not

Belirttiğiniz CN her sertifika isteğinde yapılandırılır.

1. Bir konu bildirin, örneğin:

   $subject = "C=US,ST=Washington,L=Redmond,O=Microsoft,OU=Azure Stack Hub,CN=NWTraders"
   

2. Aşağıdakilerden birini tamamlayarak CSR'ler oluşturun:

   • Bir üretim dağıtım ortamı için, ilk betik dağıtım sertifikaları için CSR'ler oluşturur:

     New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
     

   • İstenirse ikinci betik, dağıtım sertifikaları için CSR'lerle aynı anda Azure Container Registry için bir CSR oluşturur-IncludeContainerRegistry:

     New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem -IncludeContainerRegistry
     

   • Üçüncü betik, yüklediğiniz tüm isteğe bağlı PaaS hizmetleri için CSR'ler oluşturur:

     # App Services
     New-AzsHubAppServicesCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
     
     # DBAdapter (SQL/MySQL)
     New-AzsHubDbAdapterCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
     
     # EventHubs
     New-AzsHubEventHubsCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
     
     # Azure Container Registry
     New-AzsHubAzureContainerRegistryCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory 
     

   • Düşük ayrıcalıklı bir ortam için, gerekli özniteliklerin bildirilmesiyle bir düz metin sertifikası şablon dosyası oluşturmak için parametresini -LowPrivilege ekleyin:

     New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem -LowPrivilege
     

   • Geliştirme ve test ortamı için, birden çok konulu alternatif adlara sahip tek bir CSR oluşturmak için parametresini -RequestType SingleCSR ve değerini ekleyin.

     Önemli

     Üretim ortamları için bu yaklaşımın kullanılmasını önermeyiz .

     New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -RequestType SingleCSR -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
     

Yalnızca CN içeren konu

Not

Hazırlık Denetleyicisi aracı her sertifika için bir CN oluşturur ve konuya başka bir göreli ayırt edici ad eklenmez.

1. Aşağıdakilerden birini tamamlayarak CSR'ler oluşturun:

   • Bir üretim dağıtım ortamı için, ilk betik dağıtım sertifikaları için CSR'ler oluşturur:

     New-AzsCertificateSigningRequest -CertificateType Deployment -RegionName $regionName -FQDN $externalFQDN -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
     

   • İstenirse ikinci betik, dağıtım sertifikaları için CSR'lerle aynı anda Azure Container Registry için bir CSR oluşturur-IncludeContainerRegistry:

     New-AzsCertificateSigningRequest -CertificateType Deployment -RegionName $regionName -FQDN $externalFQDN -OutputRequestPath $OutputDirectory -IncludeContainerRegistry
     

   • Üçüncü betik, yüklediğiniz tüm isteğe bağlı PaaS hizmetleri için CSR'ler oluşturur:

     # App Services
     New-AzsCertificateSigningRequest -CertificateType AppServices -RegionName $regionName -FQDN $externalFQDN -OutputRequestPath $OutputDirectory
     
     # DBAdapter (SQL/MySQL)
     New-AzsCertificateSigningRequest -CertificateType DbAdapter -RegionName $regionName -FQDN $externalFQDN -OutputRequestPath $OutputDirectory
     
     # EventHubs
     New-AzsCertificateSigningRequest -CertificateType EventHubs -RegionName $regionName -FQDN $externalFQDN -OutputRequestPath $OutputDirectory
     
     # Azure Container Registry
     New-AzsHubAzureContainerRegistryCertificateSigningRequest -CertificateType AzureContainerRegistry -RegionName $regionName -FQDN $externalFQDN -OutputRequestPath $OutputDirectory 
     

   • Geliştirme ve test ortamı için, birden çok konulu alternatif adlara sahip tek bir CSR oluşturmak için parametresini -RequestType SingleCSR ve değerini ekleyin.

     Önemli

     Üretim ortamları için bu yaklaşımın kullanılmasını önermeyiz .

     New-AzsCertificateSigningRequest -CertificateType Deployment -RegionName $regionName -FQDN $externalFQDN -RequestType SingleCSR -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
     

Son adımları tamamlayın:

1. Çıktıyı gözden geçirin:

   Starting Certificate Request Process for Deployment
   CSR generating for following SAN(s): *.adminhosting.east.azurestack.contoso.com,*.adminvault.east.azurestack.contoso.com,*.blob.east.azurestack.contoso.com,*.hosting.east.azurestack.contoso.com,*.queue.east.azurestack.contoso.com,*.table.east.azurestack.contoso.com,*.vault.east.azurestack.contoso.com,adminmanagement.east.azurestack.contoso.com,adminportal.east.azurestack.contoso.com,management.east.azurestack.contoso.com,portal.east.azurestack.contoso.com
   Present this CSR to your Certificate Authority for Certificate Generation:  C:\Users\username\Documents\AzureStackCSR\Deployment_east_azurestack_contoso_com_SingleCSR_CertRequest_20200710165538.req
   Certreq.exe output: CertReq: Request Created
   

2. -LowPrivilege parametresi kullanıldıysa, alt dizinde C:\Users\username\Documents\AzureStackCSR bir .inf dosyası oluşturulmuştur. Örnek:

   C:\Users\username\Documents\AzureStackCSR\Deployment_east_azurestack_contoso_com_SingleCSR_CertRequest_20200710165538_ClearTextTemplate.inf

   Dosyayı yükseltmeye izin verilen bir sisteme kopyalayın, ardından aşağıdaki söz dizimini kullanarak her isteği ile certreq imzalayın: certreq -new <example.inf> <example.req>. Ardından, CA tarafından imzalanan yeni sertifikanın yükseltilmiş sistemde oluşturulan özel anahtarıyla eşleşmesini gerektirdiğinden, bu yükseltilmiş sistemde işlemin geri kalanını tamamlayın.

• Sisteminizin bölgesi ve dış etki alanı adı (FQDN), Hazır Olma Denetleyicisi tarafından mevcut sertifikalarınızdaki öznitelikleri ayıklama uç noktasını belirlemek için kullanılır. Senaryonuz için aşağıdakilerden biri geçerliyse, bu makalenin en üstündeki CSR sertifika senaryosu seç seçicisini kullanmanız ve bunun yerine bu makalenin Yeni dağıtım sürümünü seçmeniz gerekir:
  • Uç noktadaki konu, anahtar uzunluğu ve imza algoritması gibi sertifikaların özniteliklerini değiştirmek istiyorsunuz.
  • Yalnızca ortak ad özniteliğini içeren bir sertifika konusu kullanmak istiyorsunuz.
• Başlamadan önce Azure Stack Hub sisteminiz için HTTPS bağlantınız olduğunu onaylayın.

Yenileme sertifikaları için CSR'ler oluşturma

Bu bölüm, mevcut Azure Stack Hub PKI sertifikalarının yenilenmesi için CSR'lerin hazırlanmasını kapsar.

CSR'ler oluşturma

1. Hazır Olma Denetleyicisi aracını yüklediğiniz makinede bir PowerShell oturumu açın.

2. Aşağıdaki değişkenleri bildirin:

   Not

   Hazırlık Denetleyicisi, mevcut sertifikaları bulmak için artı olarak ekli bir dize kullanır stampEndpoint . Örneğin, portal.east.azurestack.contoso.com dağıtım sertifikaları, sso.appservices.east.azurestack.contoso.com uygulama hizmetleri sertifikaları vb. için kullanılır.

   $regionName = 'east'                                            # The region name for your Azure Stack Hub deployment
   $externalFQDN = 'azurestack.contoso.com'                        # The external FQDN for your Azure Stack Hub deployment    
   $stampEndpoint = "$regionName.$externalFQDN"
   $outputDirectory = "$ENV:USERPROFILE\Documents\AzureStackCSR"   # Declare the path to an existing output directory
   

3. Aşağıdakilerden birini veya daha fazlasını tamamlayarak CSR'ler oluşturun:

   • Bir üretim ortamı için, ilk betik dağıtım sertifikaları için CSR'ler oluşturur:

     New-AzsHubDeploymentCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
     

   • İstenirse ikinci betik, dağıtım sertifikaları için CSR'lerle aynı anda Azure Container Registry için bir CSR oluşturur-IncludeContainerRegistry:

     New-AzsHubDeploymentCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory -IncludeContainerRegistry
     

   • Üçüncü betik, yüklediğiniz tüm isteğe bağlı PaaS hizmetleri için CSR'ler oluşturur:

     # App Services
     New-AzsHubAppServicesCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
     
     # DBAdapter
     New-AzsHubDBAdapterCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
     
     # EventHubs
     New-AzsHubEventHubsCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
     
     # Azure Container Registry
     New-AzsHubAzureContainerRegistryCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory 
     

   • Geliştirme ve test ortamı için, birden çok konulu alternatif adlara sahip tek bir CSR oluşturmak için parametresini -RequestType SingleCSR ve değerini ekleyin.

     Önemli

     Üretim ortamları için bu yaklaşımın kullanılmasını önermeyiz .

     New-AzsHubDeploymentCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory -RequestType SingleCSR
     

4. Çıktıyı gözden geçirin:

   Querying StampEndpoint portal.east.azurestack.contoso.com for existing certificate
   Starting Certificate Request Process for Deployment
   CSR generating for following SAN(s): *.adminhosting.east.azurestack.contoso.com,*.adminvault.east.azurestack.contoso.com,*.blob.east.azurestack.contoso.com,*.hosting.east.azurestack.contoso.com,*.queue.east.azurestack.contoso.com,*.table.east.azurestack.contoso.com,*.vault.east.azurestack.contoso.com,adminmanagement.east.azurestack.contoso.com,adminportal.east.azurestack.contoso.com,management.east.azurestack.contoso.com,portal.east.azurestack.contoso.com
   Present this CSR to your certificate authority for certificate generation: C:\Users\username\Documents\AzureStackCSR\Deployment_east_azurestack_contoso_com_SingleCSR_CertRequest_20200710122723.req
   Certreq.exe output: CertReq: Request Created
   

Hazır olduğunuzda, oluşturulan .req dosyasını CA'nıza (iç veya genel) gönderin. değişkeni tarafından $outputDirectory belirtilen dizin, CA'ya gönderilmesi gereken CSR'leri içerir. Dizin ayrıca, başvurunuz için sertifika isteği oluşturma sırasında kullanılacak .inf dosyalarını içeren bir alt dizin içerir. CA'nızın Azure Stack Hub PKI gereksinimlerini karşılayan oluşturulmuş bir istek kullanarak sertifikalar oluşturduğundan emin olun.

Sonraki adımlar

Sertifikalarınızı sertifika yetkilinizden geri aldıktan sonra Azure Stack Hub PKI sertifikalarını aynı sistemde hazırlama bölümündeki adımları izleyin.