Generování žádostí o podepsání certifikátů pro službu Azure Stack HubGenerate certificate signing requests for Azure Stack Hub

Nástroj pro kontrolu připravenosti centra Azure Stack můžete použít k vytvoření žádostí o podepsání certifikátů, které jsou vhodné pro nasazení centra Azure Stack.You can use the Azure Stack Hub Readiness Checker tool to create Certificate Signing Requests (CSRs) suitable for an Azure Stack Hub deployment. Certifikáty by se měly požadovat, vygenerovat a ověřit dostatečně včas k testování před nasazením.Certificates should be requested, generated, and validated with enough time to test before deployment. Nástroj můžete získat z Galerie prostředí PowerShell.You can get the tool from the PowerShell Gallery.

K vyžádání následujících certifikátů můžete použít nástroj pro kontrolu připravenosti centra Azure Stack (AzsReadinessChecker):You can use the Azure Stack Hub Readiness Checker tool (AzsReadinessChecker) to request the following certificates:

PožadavkyPrerequisites

Před generováním jakýchkoli zástupců pro certifikáty PKI pro nasazení Azure Stackho centra by měl systém splňovat následující požadavky:Your system should meet the following prerequisites before generating any CSRs for PKI certificates for an Azure Stack Hub deployment:

  • Kontrola připravenosti centra Microsoft Azure StackMicrosoft Azure Stack Hub Readiness Checker

  • Atributy certifikátu:Certificate attributes:

    • Název oblastiRegion name
    • Externí plně kvalifikovaný název domény (FQDN)External fully qualified domain name (FQDN)
    • PředmětSubject
  • Windows 10 nebo Windows Server 2016 nebo novějšíWindows 10 or Windows Server 2016 or later

    Poznámka

    Když obdržíte své certifikáty zpátky od certifikační autority, musíte provést kroky v části Příprava certifikátů PKI ve službě Azure Stack hub .When you receive your certificates back from your certificate authority, the steps in Prepare Azure Stack Hub PKI certificates will need to be completed on the same system!

Generování žádostí o podepsání certifikátu pro nová nasazeníGenerate certificate signing requests for new deployments

Pomocí těchto kroků Připravte žádosti o podepsání certifikátu pro nové certifikáty PKI centra Azure Stack:Use these steps to prepare certificate signing requests for new Azure Stack Hub PKI certificates:

  1. Nainstalujte AzsReadinessChecker z příkazového řádku PowerShellu (5,1 nebo vyšší) spuštěním následující rutiny:Install AzsReadinessChecker from a PowerShell prompt (5.1 or above), by running the following cmdlet:

        Install-Module Microsoft.AzureStack.ReadinessChecker
    
  2. Deklarovat PředmětDeclare the subject. Například:For example:

    $subject = "C=US,ST=Washington,L=Redmond,O=Microsoft,OU=Azure Stack Hub"
    

    Poznámka

    Pokud je zadán běžný název (CN), bude nakonfigurován na každou žádost o certifikát.If a common name (CN) is supplied, it will be configured on every certificate request. Pokud je parametr CN vynechán, bude na žádost o certifikát nakonfigurován první název DNS služby Azure Stack hub.If a CN is omitted, the first DNS name of the Azure Stack Hub service will be configured on the certificate request.

  3. Deklarujete výstupní adresář, který již existuje.Declare an output directory that already exists. Například:For example:

    $outputDirectory = "$ENV:USERPROFILE\Documents\AzureStackCSR"
    
  4. Deklarovat systém identitDeclare identity system.

    Azure Active Directory (Azure AD):Azure Active Directory (Azure AD):

    $IdentitySystem = "AAD"
    

    Active Directory Federation Services (AD FS) (AD FS):Active Directory Federation Services (AD FS):

    $IdentitySystem = "ADFS"
    

    Poznámka

    Parametr je vyžadován pouze pro nasazení CertificateType.The parameter is required only for CertificateType Deployment.

  5. Deklarujete název oblasti a externí plně kvalifikovaný název domény , který je určený pro nasazení centra Azure Stack.Declare region name and an external FQDN intended for the Azure Stack Hub deployment.

    $regionName = 'east'
    $externalFQDN = 'azurestack.contoso.com'
    

    Poznámka

    <regionName>.<externalFQDN> vychází z nich, na základě kterých jsou vytvořeny všechny názvy externích DNS v centru Azure Stack.<regionName>.<externalFQDN> forms the basis on which all external DNS names in Azure Stack Hub are created. V tomto příkladu by byl portál portal.east.azurestack.contoso.com .In this example, the portal would be portal.east.azurestack.contoso.com.

  6. Generování žádostí o podepsání certifikátu pro nasazení:To generate certificate signing requests for deployment:

    New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
    

    Chcete-li generovat žádosti o certifikát pro jiné služby Azure Stack centra, změňte hodnotu pro -CertificateType .To generate certificate requests for other Azure Stack Hub services, change the value for -CertificateType. Například:For example:

    # App Services
    New-AzsHubAppServicesCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
    
    # DBAdapter
    New-AzsHubDbAdapterCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
    
    # EventHubs
    New-AzsHubEventHubsCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
    
    # IoTHub
    New-AzsHubIoTHubCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
    
  7. Případně pro vývojová/testovací prostředí vygenerujte jednu žádost o certifikát s více alternativními názvy subjektu Add -RequestType SingleCSR parametr a Value (nedoporučuje se pro produkční prostředí):Alternatively, for Dev/Test environments, to generate a single certificate request with multiple Subject Alternative Names add -RequestType SingleCSR parameter and value (not recommended for production environments):

    New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -RequestType SingleCSR -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
    
  8. Zkontrolujte výstup:Review the output:

    Starting Certificate Request Process for Deployment
    CSR generating for following SAN(s): *.adminhosting.east.azurestack.contoso.com,*.adminvault.east.azurestack.contoso.com,*.blob.east.azurestack.contoso.com,*.hosting.east.azurestack.contoso.com,*.queue.east.azurestack.contoso.com,*.table.east.azurestack.contoso.com,*.vault.east.azurestack.contoso.com,adminmanagement.east.azurestack.contoso.com,adminportal.east.azurestack.contoso.com,management.east.azurestack.contoso.com,portal.east.azurestack.contoso.com
    Present this CSR to your Certificate Authority for Certificate Generation: C:\Users\[*redacted*]\Documents\AzureStackCSR\Deployment_east_azurestack_contoso_com_SingleCSR_CertRequest_20200710165538.req
    Certreq.exe output: CertReq: Request Created
    
  9. Odeslat . Soubor požadavku vygenerovaný vaší certifikační autoritou (buď interní, nebo veřejný).Submit the .REQ file generated to your CA (either internal or public). Výstupní adresář New-AzsCertificateSigningRequest obsahuje oddělení služeb zákazníkům, které je nutné odeslat certifikační autoritě.The output directory of New-AzsCertificateSigningRequest contains the CSR(s) necessary to submit to a Certificate Authority. Tento adresář obsahuje také podřízený adresář, který obsahuje soubory INF použité během generování žádosti o certifikát.The directory also contains, for your reference, a child directory containing the INF file(s) used during certificate request generation. Ujistěte se, že certifikační autorita generuje certifikáty pomocí vygenerované žádosti, která splňuje požadavky infrastruktury PKI centra Azure Stack.Be sure that your CA generates certificates using your generated request that meet the Azure Stack Hub PKI Requirements.

Generovat žádosti o podepsání certifikátu pro obnovení certifikátuGenerate certificate signing requests for certificate renewal

Pomocí těchto kroků Připravte žádosti o podepsání certifikátů na obnovení stávajících certifikátů PKI Azure Stack hub:Use these steps to prepare certificate signing requests for renewal of existing Azure Stack Hub PKI certificates:

  1. Nainstalujte AzsReadinessChecker z příkazového řádku PowerShellu (5,1 nebo vyšší) spuštěním následující rutiny:Install AzsReadinessChecker from a PowerShell prompt (5.1 or above), by running the following cmdlet:

        Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
    
  2. Deklarujte stampEndpoint ve formě regionname.domain.com systému Azure Stack hub.Declare the stampEndpoint in the form of regionname.domain.com of the Azure Stack Hub System. Například (Pokud je adresa portálu klienta centra Azure Stack https:// portal.east.azurestack.contoso.com ):For example (if the Azure Stack Hub Tenant portal address is https://portal.east.azurestack.contoso.com):

    $stampEndpoint = 'east.azurestack.contoso.com'
    

    Poznámka

    Pro výše uvedený systém centra Azure Stack se vyžaduje připojení HTTPS.HTTPS Connectivity is required for the Azure Stack Hub system above. Nástroj pro kontrolu připravenosti bude používat stampendpoint (oblast a doména) k vytvoření ukazatele na existující certifikáty, které jsou vyžadovány typem certifikátu, např. k předvedení portálu pro certifikáty nasazení, takže portal.east.azurestack.contoso.com se používá při klonování certifikátů, a to pro aplikační služby sso.appservices.east.azurestack.contoso.com atd. Certifikát vázaný k vypočítanému koncovému bodu se použije ke klonování atributů, jako je například předmět, délka klíče, algoritmus podpisu.The Readiness Checker will use the stampendpoint (region and domain) to build a pointer to an existing certificates required by the certificate type e.g. for deployment certificates 'portal' is prepended, by the tool, so portal.east.azurestack.contoso.com is used in certificate cloning, for AppServices sso.appservices.east.azurestack.contoso.com etc. The certificate bound to the computed endpoint will be used to clone attributes such as subject, key length, signature algorithm. Pokud chcete změnit některý z těchto atributů, použijte místo toho postup pro vygenerování žádosti o podepsání certifikátu pro nová nasazení .If you wish to change any of these attributes you should follow the steps for Generate certificate signing request for new deployments instead.

  3. Deklarujete výstupní adresář, který již existuje.Declare an output directory that already exists. Například:For example:

    $outputDirectory = "$ENV:USERPROFILE\Documents\AzureStackCSR"
    
  4. Generování žádostí o podepsání certifikátu pro nasazení:To generate certificate signing requests for deployment:

    New-AzsHubDeploymentCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
    

    Pokud chcete generovat žádosti o certifikát pro jiné služby Azure Stack centra, použijte:To generate certificate requests for other Azure Stack Hub services use:

    # App Services
    New-AzsHubAppServicesCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
    
    # DBAdapter
    New-AzsHubDBAdapterCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
    
    # EventHubs
    New-AzsHubEventHubsCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
    
    # IoTHub
    New-AzsHubIotHubCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
    
  5. Případně pro vývojová/testovací prostředí vygenerujte jednu žádost o certifikát s více alternativními názvy subjektu Add -RequestType SingleCSR parametr a Value (nedoporučuje se pro produkční prostředí):Alternatively, for Dev/Test environments, to generate a single certificate request with multiple Subject Alternative Names add -RequestType SingleCSR parameter and value (not recommended for production environments):

    New-AzsHubDeploymentCertificateSigningRequest -StampEndpoint $stampendpoint -OutputRequestPath $OutputDirectory -RequestType SingleCSR
    
  6. Zkontrolujte výstup:Review the output:

    Querying StampEndpoint portal.east.azurestack.contoso.com for existing certificate
    Starting Certificate Request Process for Deployment
    CSR generating for following SAN(s): *.adminhosting.east.azurestack.contoso.com,*.adminvault.east.azurestack.contoso.com,*.blob.east.azurestack.contoso.com,*.hosting.east.azurestack.contoso.com,*.queue.east.azurestack.contoso.com,*.table.east.azurestack.contoso.com,*.vault.east.azurestack.contoso.com,adminmanagement.east.azurestack.contoso.com,adminportal.east.azurestack.contoso.com,management.east.azurestack.contoso.com,portal.east.azurestack.contoso.com
    Present this CSR to your Certificate Authority for Certificate Generation: C:\Users\[*redacted*]\Documents\AzureStackCSR\Deployment_east_azurestack_contoso_com_SingleCSR_CertRequest_20200710122723.req
    Certreq.exe output: CertReq: Request Created
    
  7. Odeslat . Soubor požadavku vygenerovaný vaší certifikační autoritou (buď interní, nebo veřejný).Submit the .REQ file generated to your CA (either internal or public). Výstupní adresář New-AzsCertificateSigningRequest obsahuje oddělení služeb zákazníkům, které je nutné odeslat certifikační autoritě.The output directory of New-AzsCertificateSigningRequest contains the CSR(s) necessary to submit to a Certificate Authority. Tento adresář obsahuje také podřízený adresář, který obsahuje soubory INF použité během generování žádosti o certifikát.The directory also contains, for your reference, a child directory containing the INF file(s) used during certificate request generation. Ujistěte se, že certifikační autorita generuje certifikáty pomocí vygenerované žádosti, která splňuje požadavky infrastruktury PKI centra Azure Stack.Be sure that your CA generates certificates using your generated request that meet the Azure Stack Hub PKI Requirements.

Další krokyNext steps

Příprava certifikátů PKI Azure Stack hubPrepare Azure Stack Hub PKI certificates