Generování žádostí o podepsání certifikátů pro službu Azure Stack Hub

Pomocí nástroje Azure Stack Hub Readiness Checker můžete vytvořit žádosti o podepsání certifikátu (CSR) vhodné pro Azure Stack Hub nasazení. Certifikáty by se měly vyžádat, vygenerovat a ověřit s dostatečným časem na otestování před nasazením. Nástroj můžete získat z Galerie prostředí PowerShell.

Pomocí nástroje Azure Stack Hub Readiness Checker (AzsReadinessChecker) si můžete vyžádat následující certifikáty:

Požadavky

Před generováním jakýchkoli souborů CSR pro certifikáty PKI pro nasazení infrastruktury veřejných klíčů by měl systém splňovat Azure Stack Hub požadavky:

  • Microsoft Azure Stack Hub Readiness Checker

  • Atributy certifikátu:

    • Název oblasti
    • Plně kvalifikovaný název externí domény (FQDN)
    • Předmět
  • Windows 10 nebo Windows Server 2016 nebo novější

    Poznámka

    Když certifikáty obdržíte zpět od certifikační autority, bude nutné provést kroky v části Příprava Azure Stack Hub PKI ve stejném systému.

    Ke generování žádostí o podepsání certifikátu se vyžaduje zvýšení oprávnění. V prostředích s omezeným přístupem, kde zvýšení oprávnění není možné, lze pomocí tohoto nástroje vygenerovat soubory šablon s smazatm textem, které obsahují všechny informace potřebné Azure Stack Hub externích certifikátech. Tyto soubory šablony je pak potřeba použít v relaci se zvýšenými oprávněními k dokončení generování páru veřejného a privátního klíče.

Generování žádostí o podepsání certifikátu pro nová nasazení

Pomocí následujícího postupu připravte žádosti o podepsání certifikátu pro nové Azure Stack Hub PKI:

  1. Nainstalujte AzsReadinessChecker z příkazového řádku PowerShellu (5.1 nebo vyšší) spuštěním následující rutiny:

        Install-Module Microsoft.AzureStack.ReadinessChecker
    
  2. Deklarujte předmět. Například:

    $subject = "C=US,ST=Washington,L=Redmond,O=Microsoft,OU=Azure Stack Hub"
    

    Poznámka

    Pokud je zadaný běžný název (CN), bude nakonfigurovaný pro každou žádost o certifikát. Pokud je název cn vynechán, první název DNS služby Azure Stack Hub se na žádost o certifikát konfiguruje.

  3. Deklarujte výstupní adresář, který již existuje. Například:

    $outputDirectory = "$ENV:USERPROFILE\Documents\AzureStackCSR"
    
  4. Deklarujte systém identit.

    Azure Active Directory (Azure AD):

    $IdentitySystem = "AAD"
    

    Active Directory Federation Services (AD FS):

    $IdentitySystem = "ADFS"
    

    Poznámka

    Parametr je povinný pouze pro nasazení Typu certifikátu.

  5. Deklarujte název oblasti a externí plně kvalifikovaný název domény určený Azure Stack Hub nasazení.

    $regionName = 'east'
    $externalFQDN = 'azurestack.contoso.com'
    

    Poznámka

    <regionName>.<externalFQDN> vytváří základ, na kterém se vytvoří všechny externí názvy DNS Azure Stack Hub serveru. V tomto příkladu by portál byl portal.east.azurestack.contoso.com .

  6. Generování žádostí o podepsání certifikátu pro nasazení:

    New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
    

    Pokud chcete vygenerovat žádosti o certifikát pro Azure Stack Hub služeb, změňte název rutiny. Například:

    # App Services
    New-AzsHubAppServicesCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
    
    # DBAdapter
    New-AzsHubDbAdapterCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
    
    # EventHubs
    New-AzsHubEventHubsCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
    
    # IoTHub
    New-AzsHubIoTHubCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
    
  7. Případně můžete pro prostředí s nízkými oprávněními přidat parametr -LowPrivilege, aby se vygeneroval soubor šablony certifikátu s jasným textem s deklarovaným potřebnými atributy:

    New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem -LowPrivilege
    
  8. Pokud chcete pro prostředí pro vývoj/testování vygenerovat jednu žádost o certifikát s několika alternativními názvy subjektu, přidejte parametr a hodnotu -RequestType SingleCSR(nedoporučuje se pro produkční prostředí):

    New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -RequestType SingleCSR -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
    
  9. Zkontrolujte výstup:

    Starting Certificate Request Process for Deployment
    CSR generating for following SAN(s): *.adminhosting.east.azurestack.contoso.com,*.adminvault.east.azurestack.contoso.com,*.blob.east.azurestack.contoso.com,*.hosting.east.azurestack.contoso.com,*.queue.east.azurestack.contoso.com,*.table.east.azurestack.contoso.com,*.vault.east.azurestack.contoso.com,adminmanagement.east.azurestack.contoso.com,adminportal.east.azurestack.contoso.com,management.east.azurestack.contoso.com,portal.east.azurestack.contoso.com
    Present this CSR to your Certificate Authority for Certificate Generation:  C:\Users\username\Documents\AzureStackCSR\Deployment_east_azurestack_contoso_com_SingleCSR_CertRequest_20200710165538.req
    Certreq.exe output: CertReq: Request Created
    
  10. Odešlete . Soubor REQ vygenerovaný vaší certifikační autoritě (interní nebo veřejný). Výstupní adresář new-AzsCertificateSigningRequest obsahuje žádosti o csr nezbytné k odeslání certifikační autoritě. Adresář obsahuje pro vaši referenci také podřízený adresář obsahující soubory INF použité při generování žádosti o certifikát. Ujistěte se, že vaše certifikační autorita generuje certifikáty pomocí vygenerované žádosti, které splňují požadavky Azure Stack Hub PKI.

  11. Pokud jste použili parametr -LowPrivilege,zkopírujte výsledné soubory inf, například:

    C:\Users\username\Documents\AzureStackCSR\Deployment_east_azurestack_contoso_com_SingleCSR_CertRequest_20200710165538_ClearTextTemplate.inf

    do systému, kde je povolené zvýšení oprávnění. Potom podepište každý požadavek pomocí certreq pomocí následující syntaxe: certreq -new example.inf >< example.req >. Zbytek procesu pak bude potřeba dokončit v tomto systému se zvýšenými oprávněními, protože vyžaduje shodu nového certifikátu podepsaného certifikační autoritou s jeho privátním klíčem (vygenerovaný v systému se zvýšenými oprávněními).

Generování žádostí o podepsání certifikátu pro prodloužení platnosti certifikátu

Pomocí následujícího postupu připravte žádosti o podepsání certifikátu pro obnovení stávajících Azure Stack Hub PKI:

  1. Nainstalujte AzsReadinessChecker z příkazového řádku PowerShellu (5.1 nebo vyšší) spuštěním následující rutiny:

        Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
    
  2. Deklarujte stampEndpoint ve regionname.domain.com Azure Stack Hub System. Pokud je například adresa Azure Stack Hub tenanta https://portal.east.azurestack.contoso.com ):

    $stampEndpoint = 'east.azurestack.contoso.com'
    

    Poznámka

    Připojení HTTPS se vyžaduje pro Azure Stack Hub systému. Nástroj Readiness Checker použije bod stampendpoint (oblast a doména) k vytvoření ukazatele na existující certifikáty vyžadované typem certifikátu, např. pro předpřipravené certifikáty nasazení "portál", takže nástroj portal.east.azurestack.contoso.com se používá při klonování certifikátů, pro služby AppServices sso.appservices.east.azurestack.contoso.com atd. Certifikát vázaný na vypočítaný koncový bod se použije ke klonování atributů, jako je předmět, délka klíče nebo podpisový algoritmus. Pokud chcete některý z těchto atributů změnit, měli byste místo toho postupovat podle pokynů v části Vygenerování žádosti o podepsání certifikátu pro nová nasazení.

  3. Deklarujte výstupní adresář, který již existuje. Například:

    $outputDirectory = "$ENV:USERPROFILE\Documents\AzureStackCSR"
    
  4. Generování žádostí o podepsání certifikátu pro nasazení:

    New-AzsHubDeploymentCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
    

    Pokud chcete vygenerovat žádosti o certifikát pro Azure Stack Hub služeb, použijte:

    # App Services
    New-AzsHubAppServicesCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
    
    # DBAdapter
    New-AzsHubDBAdapterCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
    
    # EventHubs
    New-AzsHubEventHubsCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
    
    # IoTHub
    New-AzsHubIotHubCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
    
  5. Případně můžete pro prostředí pro vývoj/testování vygenerovat jednu žádost o certifikát s několika alternativními názvy subjektu přidáním parametru a hodnoty -RequestType SingleCSR(nedoporučuje se pro produkční prostředí):

    New-AzsHubDeploymentCertificateSigningRequest -StampEndpoint $stampendpoint -OutputRequestPath $OutputDirectory -RequestType SingleCSR
    
  6. Zkontrolujte výstup:

    Querying StampEndpoint portal.east.azurestack.contoso.com for existing certificate
    Starting Certificate Request Process for Deployment
    CSR generating for following SAN(s): *.adminhosting.east.azurestack.contoso.com,*.adminvault.east.azurestack.contoso.com,*.blob.east.azurestack.contoso.com,*.hosting.east.azurestack.contoso.com,*.queue.east.azurestack.contoso.com,*.table.east.azurestack.contoso.com,*.vault.east.azurestack.contoso.com,adminmanagement.east.azurestack.contoso.com,adminportal.east.azurestack.contoso.com,management.east.azurestack.contoso.com,portal.east.azurestack.contoso.com
    Present this CSR to your Certificate Authority for Certificate Generation: C:\Users\username\Documents\AzureStackCSR\Deployment_east_azurestack_contoso_com_SingleCSR_CertRequest_20200710122723.req
    Certreq.exe output: CertReq: Request Created
    
  7. Odešlete . Soubor REQ vygenerovaný vaší certifikační autoritě (interní nebo veřejný). Výstupní adresář new-AzsCertificateSigningRequest obsahuje žádosti o csr nezbytné k odeslání certifikační autoritě. Adresář obsahuje pro vaši referenci také podřízený adresář obsahující soubory INF použité při generování žádosti o certifikát. Ujistěte se, že vaše certifikační autorita generuje certifikáty pomocí vygenerované žádosti, které splňují požadavky Azure Stack Hub PKI.

Další kroky

Příprava Azure Stack Hub PKI