Příprava certifikátů PKI Azure Stack hub pro nasazení nebo otočeníPrepare Azure Stack Hub PKI certificates for deployment or rotation

Poznámka

Tento článek se týká pouze přípravy externích certifikátů, které se používají k zabezpečení koncových bodů v externí infrastruktuře a službách.This article pertains to the preparation of external certificates only, which are used to secure endpoints on external infrastructure and services. Interní certifikáty se spravují samostatně během procesu rotace certifikátů.Internal certificates are managed separately, during the certificate rotation process.

Soubory certifikátů získané od certifikační autority (CA) musí být importovány a exportovány s vlastnostmi, které odpovídají požadavkům na certifikát centra Azure Stack.The certificate files obtained from the certificate authority (CA) must be imported and exported with properties matching Azure Stack Hub's certificate requirements.

V tomto článku se dozvíte, jak importovat, zabalit a ověřovat externí certifikáty, abyste se připravili na Azure Stack nasazení centra nebo rotaci tajných kódů.In this article you learn how to import, package, and validate external certificates, to prepare for Azure Stack Hub deployment or secrets rotation.

PožadavkyPrerequisites

Před sbalením certifikátů PKI pro nasazení centra Azure Stack musí systém splňovat následující požadavky:Your system should meet the following prerequisites before packaging PKI certificates for an Azure Stack Hub deployment:

  • Certifikáty vrácené certifikační autoritou se ukládají do jednoho adresáře ve formátu. cer (další konfigurovatelné formáty jako. CERT,. sst nebo. pfx).Certificates returned from Certificate Authority are stored in a single directory, in .cer format (other configurable formats such as .cert, .sst or .pfx).
  • Windows 10 nebo Windows Server 2016 nebo novějšíWindows 10, or Windows Server 2016 or later
  • Použijte stejný systém, který vygeneroval žádost o podepsání certifikátu (Pokud necílíte na certifikát, který je předbalený do PFXs).Use the same system that generated the Certificate Signing Request (unless you're targeting a certificate prepackaged into PFXs).

Přejděte k příslušnému oddílu Příprava certifikátů (Azure Stack Checker) nebo Příprava certifikátů (ruční kroky) .Continue to the appropriate Prepare certificates (Azure Stack readiness checker) or Prepare certificates (manual steps) section.

Příprava certifikátů (Kontrola připravenosti na Azure Stack)Prepare certificates (Azure Stack readiness checker)

Pomocí těchto kroků můžete balíčky certifikátů pomocí rutin PowerShellu pro kontrolu připravenosti Azure Stack:Use these steps to package certificates using the Azure Stack readiness checker PowerShell cmdlets:

  1. Spuštěním následující rutiny nainstalujte modul pro kontrolu připravenosti na Azure Stack z příkazového řádku PowerShellu (5,1 nebo vyšší):Install the Azure Stack readiness checker module from a PowerShell prompt (5.1 or above), by running the following cmdlet:

        Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
    
  2. Zadejte cestu k souborům certifikátu.Specify the Path to the certificate files. Například:For example:

        $Path = "$env:USERPROFILE\Documents\AzureStack"
    
  3. Deklarujte třídu pfxPassword.Declare the pfxPassword. Například:For example:

        $pfxPassword = Read-Host -AsSecureString -Prompt "PFX Password"
    
  4. Deklarujete ExportPath , do kterého bude výsledný PFXs exportován.Declare the ExportPath where the resulting PFXs will be exported to. Například:For example:

        $ExportPath = "$env:USERPROFILE\Documents\AzureStack"
    
  5. Převod certifikátů na certifikáty centra Azure Stack.Convert certificates to Azure Stack Hub Certificates. Například:For example:

        ConvertTo-AzsPFX -Path $Path -pfxPassword $pfxPassword -ExportPath $ExportPath
    
  6. Zkontrolujte výstup:Review the output:

    ConvertTo-AzsPFX v1.2005.1286.272 started.
    
    Stage 1: Scanning Certificates
        Path: C:\Users\[*redacted*]\Documents\AzureStack Filter: CER Certificate count: 11
        adminmanagement_east_azurestack_contoso_com_CertRequest_20200710235648.cer
        adminportal_east_azurestack_contoso_com_CertRequest_20200710235645.cer
        management_east_azurestack_contoso_com_CertRequest_20200710235644.cer
        portal_east_azurestack_contoso_com_CertRequest_20200710235646.cer
        wildcard_adminhosting_east_azurestack_contoso_com_CertRequest_20200710235649.cer
        wildcard_adminvault_east_azurestack_contoso_com_CertRequest_20200710235642.cer
        wildcard_blob_east_azurestack_contoso_com_CertRequest_20200710235653.cer
        wildcard_hosting_east_azurestack_contoso_com_CertRequest_20200710235652.cer
        wildcard_queue_east_azurestack_contoso_com_CertRequest_20200710235654.cer
        wildcard_table_east_azurestack_contoso_com_CertRequest_20200710235650.cer
        wildcard_vault_east_azurestack_contoso_com_CertRequest_20200710235647.cer
    
    Detected ExternalFQDN: east.azurestack.contoso.com
    
    Stage 2: Exporting Certificates
        east.azurestack.contoso.com\Deployment\ARM Admin\ARMAdmin.pfx
        east.azurestack.contoso.com\Deployment\Admin Portal\AdminPortal.pfx
        east.azurestack.contoso.com\Deployment\ARM Public\ARMPublic.pfx
        east.azurestack.contoso.com\Deployment\Public Portal\PublicPortal.pfx
        east.azurestack.contoso.com\Deployment\Admin Extension Host\AdminExtensionHost.pfx
        east.azurestack.contoso.com\Deployment\KeyVaultInternal\KeyVaultInternal.pfx
        east.azurestack.contoso.com\Deployment\ACSBlob\ACSBlob.pfx
        east.azurestack.contoso.com\Deployment\Public Extension Host\PublicExtensionHost.pfx
        east.azurestack.contoso.com\Deployment\ACSQueue\ACSQueue.pfx
        east.azurestack.contoso.com\Deployment\ACSTable\ACSTable.pfx
        east.azurestack.contoso.com\Deployment\KeyVault\KeyVault.pfx
    
    Stage 3: Validating Certificates.
    
    Validating east.azurestack.contoso.com-Deployment-AAD certificates in C:\Users\[*redacted*]\Documents\AzureStack\east.azurestack.contoso.com\Deployment 
    
    Testing: KeyVaultInternal\KeyVaultInternal.pfx
    Thumbprint: E86699****************************4617D6
        PFX Encryption: OK
        Expiry Date: OK
        Signature Algorithm: OK
        DNS Names: OK
        Key Usage: OK
        Key Length: OK
        Parse PFX: OK
        Private Key: OK
        Cert Chain: OK
        Chain Order: OK
        Other Certificates: OK
    Testing: ARM Public\ARMPublic.pfx
        ...
    Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
    ConvertTo-AzsPFX Completed
    

    Poznámka

    Pro další využití použijte příkaz Get-Help ConvertTo-AzsPFX-Full pro další použití, například zakázání ověřování nebo filtrování pro různé formáty certifikátů.For additional usage use Get-help ConvertTo-AzsPFX -Full for further usage such as disabling validation or filtering for different certificate formats.

    Po úspěšném ověření je možné provést nasazení nebo otočení bez jakýchkoli dalších kroků.Following a successful validation certificates can be presented for Deployment or Rotation without any additional steps.

Příprava certifikátů (ruční postup)Prepare certificates (manual steps)

Pomocí těchto kroků můžete balíčky certifikátů pro nové Azure Stack centra PKI použít k zabalení pomocí ručních kroků.Use these steps to package certificates for new Azure Stack Hub PKI certificates using manual steps.

Importovat certifikátImport the certificate

  1. Zkopírujte původní verze certifikátů získané z vaší certifikační autority podle vlastního výběru do adresáře na hostiteli nasazení.Copy the original certificate versions obtained from your CA of choice into a directory on the deployment host.

    Upozornění

    Nekopírujte soubory, které již byly naimportovány, exportovány nebo změněny jakýmkoli způsobem ze souborů poskytnutých přímo certifikační autoritou.Don't copy files that have already been imported, exported, or altered in any way from the files provided directly by the CA.

  2. Pravým tlačítkem myši klikněte na certifikát a vyberte instalovat certifikát nebo nainstalovat PFX v závislosti na tom, jak byl certifikát dodán z vaší certifikační autority.Right-click on the certificate and select Install Certificate or Install PFX, depending on how the certificate was delivered from your CA.

  3. V Průvodci importem certifikátu vyberte jako umístění importu možnost místní počítač .In the Certificate Import Wizard, select Local Machine as the import location. Vyberte Další.Select Next. Na následující obrazovce znovu vyberte Další.On the following screen, select next again.

    Umístění importu místního počítače pro certifikát

  4. Zvolte možnost umístit všechny certifikáty do následujícího úložiště a pak jako umístění vyberte důvěřovat podnikové síti .Choose Place all certificate in the following store and then select Enterprise Trust as the location. Kliknutím na OK zavřete dialogové okno Výběr úložiště certifikátů a pak vyberte Další.Select OK to close the certificate store selection dialog box and then select Next.

    Konfigurace úložiště certifikátů pro import certifikátu

    a.a. Při importu PFX se zobrazí další dialog.If you're importing a PFX, you'll be presented with an additional dialog. Na stránce ochrana privátního klíče zadejte heslo pro soubory certifikátů a potom povolte možnost Označit tento klíč jako exportovatelný.On the Private key protection page, enter the password for your certificate files and then enable the Mark this key as exportable. možnost, která vám umožní zálohovat nebo přenášet klíče později.option, allowing you to back up or transport your keys later. Vyberte Další.Select Next.

    Označit klíč jako exportovatelný

  5. Kliknutím na Dokončit dokončete import.Select Finish to complete the import.

Poznámka

Po importu certifikátu pro centrum Azure Stack se privátní klíč certifikátu uloží jako soubor PKCS 12 (PFX) do clusterovaného úložiště.After you import a certificate for Azure Stack Hub, the private key of the certificate is stored as a PKCS 12 file (PFX) on clustered storage.

Export certifikátuExport the certificate

Otevřete konzolu MMC Správce certifikátů a připojte se k úložišti certifikátů místního počítače.Open Certificate Manager MMC console and connect to the Local Machine certificate store.

  1. Otevřete konzolu Microsoft Management Console.Open the Microsoft Management Console. Chcete-li otevřít konzolu nástroje ve Windows 10, klikněte pravým tlačítkem myši na nabídku Start, vyberte příkaz Spustit a zadejte příkaz MMC a stiskněte klávesu ENTER.To open the console in Windows 10, right-click on the Start Menu, select Run, then type mmc and press enter.

  2. Vyberte soubor > Přidat/odebrat modul snap-in, pak vyberte certifikáty a vyberte Přidat.Select File > Add/Remove Snap-In, then select Certificates and select Add.

    Přidat modul snap-in Certifikáty v konzole Microsoft Management Console

  3. Vyberte položku účet počítače a pak vyberte Další.Select Computer account, then select Next. Vyberte místní počítač a pak Dokončit.Select Local computer and then Finish. Výběrem OK zavřete stránku přidat nebo odebrat Snap-In.Select OK to close the Add/Remove Snap-In page.

    Vybrat účet pro modul snap-in Certifikáty v konzole Microsoft Management Console

  4. Přejděte na certifikáty > důvěřovat > umístění certifikátu organizace.Browse to Certificates > Enterprise Trust > Certificate location. Ověřte, že na pravé straně vidíte svůj certifikát.Verify that you see your certificate on the right.

  5. Z hlavního panelu konzoly Správce certifikátů vyberte Akce > všechny úkoly > exportovat.From the Certificate Manager Console taskbar, select Actions > All Tasks > Export. Vyberte Další.Select Next.

    Poznámka

    V závislosti na tom, kolik certifikátů centra Azure Stack máte, možná budete muset tento proces dokončit více než jednou.Depending on how many Azure Stack Hub certificates you have, you may need to complete this process more than once.

  6. Vyberte Ano, exportovat privátní klíč a pak vyberte Další.Select Yes, Export the Private Key, and then select Next.

  7. V části formát souboru pro export:In the Export File Format section:

    • Pokud je to možné, vyberte zahrnout všechny certifikáty do certifikátu.Select Include all certificates in the certificate if possible.

    • Vyberte exportovat všechny rozšířené vlastnosti.Select Export all Extended Properties.

    • Vyberte možnost Povolit ochranu osobních údajů certifikátu.Select Enable certificate privacy.

    • Vyberte Další.Select Next.

      Průvodce exportem certifikátu s vybranými možnostmi

  8. Vyberte heslo a zadejte heslo pro certifikáty.Select Password and provide a password for the certificates. Vytvořte heslo, které splňuje následující požadavky na složitost hesla:Create a password that meets the following password complexity requirements:

    • Minimální délka je osm znaků.A minimum length of eight characters.
    • Alespoň tři z následujících znaků: velké písmeno, malé písmeno, číslice od 0-9, speciální znaky, abecední znak, který není velká a malá písmena.At least three of the following characters: uppercase letter, lowercase letter, numbers from 0-9, special characters, alphabetical character that's not uppercase or lowercase.

    Poznamenejte si toto heslo.Make note of this password. Použijete ho jako parametr nasazení.You'll use it as a deployment parameter.

  9. Vyberte Další.Select Next.

  10. Vyberte název souboru a umístění souboru PFX, který chcete exportovat.Choose a file name and location for the PFX file to export. Vyberte Další.Select Next.

  11. Vyberte Dokončit.Select Finish.

Další krokyNext steps

Ověření certifikátů PKIValidate PKI certificates