Příprava Azure Stack Hub PKI pro nasazení nebo rotaci

Poznámka

Tento článek se týká pouze přípravy externích certifikátů, které slouží k zabezpečení koncových bodů v externí infrastruktuře a službách. Interní certifikáty se spravují samostatně během procesu rotace certifikátů.

Soubory certifikátů získané z certifikační autority (CA) musí být importovány a exportovány s vlastnostmi, Azure Stack Hub požadavky na certifikáty.

V tomto článku se dozvíte, jak importovat, zabalit a ověřit externí certifikáty, abyste se Azure Stack Hub nasazení nebo rotaci tajných klíčů.

Požadavky

Systém musí před zabalením certifikátů PKI pro nasazení infrastruktury veřejných klíčů splňovat Azure Stack Hub požadavky:

  • Certifikáty vrácené certifikační autoritou se ukládají v jednom adresáři ve formátu .cer (jiné konfigurovatelné formáty, například .cert, .sst nebo .pfx).
  • Windows 10, nebo Windows Server 2016 nebo novější.
  • Použijte stejný systém, který vygeneroval žádost o podepsání certifikátu (pokud nezaměřujete certifikát předem zabalený do souborů PFX).
  • Použití relací PowerShellu se zvýšenými oprávněními

Pokračujte k příslušné části Příprava certifikátů (Azure Stack kontroly připravenosti) nebo Příprava certifikátů (ruční kroky).

Příprava certifikátů (Azure Stack kontroly připravenosti)

K zabalení certifikátů pomocí rutin PowerShellu Azure Stack readiness checker použijte tento postup:

  1. Nainstalujte modul Azure Stack readiness checker z příkazového řádku PowerShellu (verze 5.1 nebo vyšší) spuštěním následující rutiny:

        Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
    
  2. Zadejte cestu k souborům certifikátu. Například:

        $Path = "$env:USERPROFILE\Documents\AzureStack"
    
  3. Deklarujte pfxPassword. Například:

        $pfxPassword = Read-Host -AsSecureString -Prompt "PFX Password"
    
  4. Deklarujte ExportPath, do které se budou exportovat výsledné formáty PFX. Například:

        $ExportPath = "$env:USERPROFILE\Documents\AzureStack"
    
  5. Převeďte certifikáty na Azure Stack Hub Certifikáty. Například:

        ConvertTo-AzsPFX -Path $Path -pfxPassword $pfxPassword -ExportPath $ExportPath
    
  6. Zkontrolujte výstup:

    ConvertTo-AzsPFX v1.2005.1286.272 started.
    
    Stage 1: Scanning Certificates
        Path: C:\Users\[*redacted*]\Documents\AzureStack Filter: CER Certificate count: 11
        adminmanagement_east_azurestack_contoso_com_CertRequest_20200710235648.cer
        adminportal_east_azurestack_contoso_com_CertRequest_20200710235645.cer
        management_east_azurestack_contoso_com_CertRequest_20200710235644.cer
        portal_east_azurestack_contoso_com_CertRequest_20200710235646.cer
        wildcard_adminhosting_east_azurestack_contoso_com_CertRequest_20200710235649.cer
        wildcard_adminvault_east_azurestack_contoso_com_CertRequest_20200710235642.cer
        wildcard_blob_east_azurestack_contoso_com_CertRequest_20200710235653.cer
        wildcard_hosting_east_azurestack_contoso_com_CertRequest_20200710235652.cer
        wildcard_queue_east_azurestack_contoso_com_CertRequest_20200710235654.cer
        wildcard_table_east_azurestack_contoso_com_CertRequest_20200710235650.cer
        wildcard_vault_east_azurestack_contoso_com_CertRequest_20200710235647.cer
    
    Detected ExternalFQDN: east.azurestack.contoso.com
    
    Stage 2: Exporting Certificates
        east.azurestack.contoso.com\Deployment\ARM Admin\ARMAdmin.pfx
        east.azurestack.contoso.com\Deployment\Admin Portal\AdminPortal.pfx
        east.azurestack.contoso.com\Deployment\ARM Public\ARMPublic.pfx
        east.azurestack.contoso.com\Deployment\Public Portal\PublicPortal.pfx
        east.azurestack.contoso.com\Deployment\Admin Extension Host\AdminExtensionHost.pfx
        east.azurestack.contoso.com\Deployment\KeyVaultInternal\KeyVaultInternal.pfx
        east.azurestack.contoso.com\Deployment\ACSBlob\ACSBlob.pfx
        east.azurestack.contoso.com\Deployment\Public Extension Host\PublicExtensionHost.pfx
        east.azurestack.contoso.com\Deployment\ACSQueue\ACSQueue.pfx
        east.azurestack.contoso.com\Deployment\ACSTable\ACSTable.pfx
        east.azurestack.contoso.com\Deployment\KeyVault\KeyVault.pfx
    
    Stage 3: Validating Certificates.
    
    Validating east.azurestack.contoso.com-Deployment-AAD certificates in C:\Users\[*redacted*]\Documents\AzureStack\east.azurestack.contoso.com\Deployment 
    
    Testing: KeyVaultInternal\KeyVaultInternal.pfx
    Thumbprint: E86699****************************4617D6
        PFX Encryption: OK
        Expiry Date: OK
        Signature Algorithm: OK
        DNS Names: OK
        Key Usage: OK
        Key Length: OK
        Parse PFX: OK
        Private Key: OK
        Cert Chain: OK
        Chain Order: OK
        Other Certificates: OK
    Testing: ARM Public\ARMPublic.pfx
        ...
    Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
    ConvertTo-AzsPFX Completed
    

    Poznámka

    Pro další použití použijte get-help ConvertTo-AzsPFX -Full pro další použití, jako je zakázání ověřování nebo filtrování pro různé formáty certifikátů.

    Po úspěšném ověření certifikátů je možné pro nasazení nebo rotaci zobrazit bez dalších kroků.

Příprava certifikátů (ruční postup)

Pomocí těchto kroků můžete zabalit certifikáty pro nové Azure Stack Hub PKI pomocí ručních kroků.

Import certifikátu

  1. Zkopírujte původní verze certifikátu získané z vaší certifikační autority podle výběru do adresáře na hostiteli nasazení.

    Upozornění

    Nekopírujte soubory, které již byly importovány, exportovány nebo upraveny žádným způsobem ze souborů poskytovaných přímo certifikační autoritou.

  2. Klikněte pravým tlačítkem na certifikát a vyberte Install Certificate (Nainstalovat certifikát) nebo Install PFX (Nainstalovat PFX)podle toho, jak byl certifikát doručen z vaší certifikační autority.

  3. V Průvodci importem certifikátuvyberte jako umístění importu místní počítač. Vyberte Další. Na následující obrazovce znovu vyberte Další.

    Umístění importu místního počítače pro certifikát

  4. Zvolte Umístit všechny certifikáty do následujícího úložiště a pak jako umístění Enterprise Důvěřovat. Výběrem OK zavřete dialogové okno pro výběr úložiště certifikátů a pak vyberte Další.

    Konfigurace úložiště certifikátů pro import certifikátů

    a. Pokud importujete PFX, zobrazí se další dialogové okno. Na stránce Ochrana privátního klíče zadejte heslo k souborům certifikátů a potom povolte možnost Označit tento klíč jako exportovatelný. To vám umožní později klíče zálohovat nebo převozovat. Vyberte Další.

    Označit klíč jako exportovatelný

  5. Výběrem možnosti Dokončit import dokončete.

Poznámka

Po importu certifikátu pro Azure Stack Hub se privátní klíč certifikátu uloží jako soubor PKCS 12 (PFX) v clusterovaném úložišti.

Export certifikátu

Otevřete konzolu MMC Správce certifikátů a připojte se k místnímu počítači úložiště certifikátů.

  1. Otevřete konzola Microsoft Management Console. Pokud chcete konzolu otevřít v Windows 10, klikněte pravým tlačítkem na nabídku Start,vyberte Spustit,zadejte mmc a stiskněte Enter.

  2. Vyberte SouborPřidat nebo odebrat modul snap-in,pak vyberte Certifikáty a vyberte Přidat.

    Modul snap-in Přidat certifikáty v konzola Microsoft Management Console

  3. Vyberte Účet počítačea pak vyberte Další. Vyberte Místní počítač a pak Dokončit. Výběrem OK zavřete stránku Přidat nebo Snap-In.

    Výběr účtu pro modul snap-in Přidat certifikáty v konzola Microsoft Management Console

  4. Přejděte na CertifikátyEnterprisedůvěryhodného umístění certifikátu. Ověřte, že se váš certifikát zobrazí na pravé straně.

  5. Na hlavním panelu konzoly Správce certifikátů vyberte AkceVšechny úlohyExportovat. Vyberte Další.

    Poznámka

    V závislosti na tom, Azure Stack Hub máte nějaké certifikáty, možná budete muset tento proces dokončit více než jednou.

  6. Vyberte Ano, Exportovat privátní klíča pak vyberte Další.

  7. V části Formát souboru pro export:

    • Pokud je to možné, vyberte zahrnout do certifikátu všechny certifikáty.

    • Vyberte Exportovat všechny rozšířené vlastnosti.

    • Vyberte Povolit ochranu osobních údajů certifikátu.

    • Vyberte Další.

      Průvodce exportem certifikátu s vybranými možnostmi

  8. Vyberte Heslo a zadejte heslo pro certifikáty. Vytvořte heslo, které splňuje následující požadavky na složitost hesla:

    • Minimální délka osmi znaků.
    • Alespoň tři z následujících znaků: velké písmeno, malé písmeno, číslice od 0 do 9, speciální znaky, abecední znak, který není velkými ani malými písmeny.

    Poznamenejte si toto heslo. Použijete ho jako parametr nasazení.

  9. Vyberte Další.

  10. Zvolte název souboru a umístění souboru PFX, který chcete exportovat. Vyberte Další.

  11. Vyberte Dokončit.

Další kroky

Ověření certifikátů PKI