Příprava certifikátů PKI služby Azure Stack Hub k nasazení nebo obměně

  • Článek

Poznámka

Tento článek se týká pouze přípravy externích certifikátů, které slouží k zabezpečení koncových bodů v externí infrastruktuře a službách. Interní certifikáty se během procesu obměně certifikátů spravují samostatně.

Poznámka

Pokud instalujete Azure Container Registry (ACR), doporučujeme sladit data vypršení platnosti externích certifikátů ACR s daty vypršení platnosti ostatních externích certifikátů Služby Azure Stack Hub. Kromě toho doporučujeme chránit PFX pro ACR pomocí stejného hesla, které používáte k ochraně ostatních externích certifikátů PFX.

Soubory certifikátů získané z certifikační autority (CA) se musí importovat a exportovat s vlastnostmi, které odpovídají požadavkům na certifikáty služby Azure Stack Hub.

V tomto článku se dozvíte, jak importovat, zabalit a ověřovat externí certifikáty, abyste se připravili na nasazení nebo obměně tajných kódů služby Azure Stack Hub.

Požadavky

Váš systém by měl před zabalení certifikátů PKI pro nasazení služby Azure Stack Hub splňovat následující požadavky:

  • Certifikáty vrácené z certifikační autority jsou uložené v jednom adresáři ve formátu .cer (jiné konfigurovatelné formáty, například .cert, .sst nebo .pfx).
  • Windows 10 nebo Windows Server 2016 nebo novější.
  • Použijte stejný systém, který vygeneroval žádost o podepsání certifikátu (pokud necílíte na certifikát předem zabalený do souborů PFX).
  • Použijte relace PowerShellu se zvýšenými oprávněními.

Pokračujte k příslušné části Příprava certifikátů (kontrola připravenosti služby Azure Stack) nebo Příprava certifikátů (ruční kroky).

Příprava certifikátů (kontrola připravenosti služby Azure Stack)

Pomocí těchto kroků zabalíte certifikáty pomocí rutin PowerShellu pro kontrolu připravenosti na službu Azure Stack:

  1. Spuštěním následující rutiny nainstalujte modul Azure Stack Readiness Checker z příkazového řádku PowerShellu (verze 5.1 nebo vyšší):

        Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease

  2. Zadejte cestu k souborům certifikátu. Příklad:

        $Path = "$env:USERPROFILE\Documents\AzureStack"

  3. Deklarujte pfxPassword. Příklad:

        $pfxPassword = Read-Host -AsSecureString -Prompt "PFX Password"

  4. Deklarujte cestu exportu , do které se budou exportovat výsledné soubory PFX. Příklad:

        $ExportPath = "$env:USERPROFILE\Documents\AzureStack"

  5. Převeďte certifikáty na certifikáty služby Azure Stack Hub. Příklad:

        ConvertTo-AzsPFX -Path $Path -pfxPassword $pfxPassword -ExportPath $ExportPath

  6. Zkontrolujte výstup:

    ConvertTo-AzsPFX v1.2005.1286.272 started.

Stage 1: Scanning Certificates
    Path: C:\Users\[*redacted*]\Documents\AzureStack Filter: CER Certificate count: 11
    adminmanagement_east_azurestack_contoso_com_CertRequest_20200710235648.cer
    adminportal_east_azurestack_contoso_com_CertRequest_20200710235645.cer
    management_east_azurestack_contoso_com_CertRequest_20200710235644.cer
    portal_east_azurestack_contoso_com_CertRequest_20200710235646.cer
    wildcard_adminhosting_east_azurestack_contoso_com_CertRequest_20200710235649.cer
    wildcard_adminvault_east_azurestack_contoso_com_CertRequest_20200710235642.cer
    wildcard_blob_east_azurestack_contoso_com_CertRequest_20200710235653.cer
    wildcard_hosting_east_azurestack_contoso_com_CertRequest_20200710235652.cer
    wildcard_queue_east_azurestack_contoso_com_CertRequest_20200710235654.cer
    wildcard_table_east_azurestack_contoso_com_CertRequest_20200710235650.cer
    wildcard_vault_east_azurestack_contoso_com_CertRequest_20200710235647.cer

Detected ExternalFQDN: east.azurestack.contoso.com

Stage 2: Exporting Certificates
    east.azurestack.contoso.com\Deployment\ARM Admin\ARMAdmin.pfx
    east.azurestack.contoso.com\Deployment\Admin Portal\AdminPortal.pfx
    east.azurestack.contoso.com\Deployment\ARM Public\ARMPublic.pfx
    east.azurestack.contoso.com\Deployment\Public Portal\PublicPortal.pfx
    east.azurestack.contoso.com\Deployment\Admin Extension Host\AdminExtensionHost.pfx
    east.azurestack.contoso.com\Deployment\KeyVaultInternal\KeyVaultInternal.pfx
    east.azurestack.contoso.com\Deployment\ACSBlob\ACSBlob.pfx
    east.azurestack.contoso.com\Deployment\Public Extension Host\PublicExtensionHost.pfx
    east.azurestack.contoso.com\Deployment\ACSQueue\ACSQueue.pfx
    east.azurestack.contoso.com\Deployment\ACSTable\ACSTable.pfx
    east.azurestack.contoso.com\Deployment\KeyVault\KeyVault.pfx

Stage 3: Validating Certificates.

Validating east.azurestack.contoso.com-Deployment-AAD certificates in C:\Users\[*redacted*]\Documents\AzureStack\east.azurestack.contoso.com\Deployment 

Testing: KeyVaultInternal\KeyVaultInternal.pfx
Thumbprint: E86699****************************4617D6
    PFX Encryption: OK
    Expiry Date: OK
    Signature Algorithm: OK
    DNS Names: OK
    Key Usage: OK
    Key Length: OK
    Parse PFX: OK
    Private Key: OK
    Cert Chain: OK
    Chain Order: OK
    Other Certificates: OK
Testing: ARM Public\ARMPublic.pfx
    ...
Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
ConvertTo-AzsPFX Completed

    Poznámka

    Pokud chcete další použití použít, použijte příkaz Get-help ConvertTo-AzsPFX -Full pro další použití, jako je zakázání ověřování nebo filtrování různých formátů certifikátů.

    Po úspěšném ověření lze certifikáty předložit k nasazení nebo obměně bez jakýchkoli dalších kroků.

Příprava certifikátů (ruční kroky)

Pomocí těchto kroků můžete ručně zabalit certifikáty PKI pro nové certifikáty PKI služby Azure Stack Hub.

Import certifikátu

  1. Zkopírujte původní verze certifikátů získané od certifikační autority podle vaší volby do adresáře na hostiteli nasazení.

    Upozornění

    Nekopírujte soubory, které už byly nějakým způsobem importovány, exportovány nebo změněny, ze souborů poskytovaných přímo certifikační autoritou.

  2. Klikněte pravým tlačítkem na certifikát a vyberte Nainstalovat certifikát nebo Nainstalovat PFX podle toho, jak byl certifikát od certifikační autority doručen.

  3. V Průvodci importem certifikátu vyberte jako umístění importu Místní počítač . Vyberte Další. Na následující obrazovce znovu vyberte Další.

    Umístění importu certifikátu na místním počítači

  4. Zvolte Umístit všechny certifikáty v následujícím úložišti a pak jako umístění vyberte Důvěryhodnost podniku . Kliknutím na OK zavřete dialogové okno pro výběr úložiště certifikátů a pak vyberte Další.

    Konfigurace úložiště certifikátů pro import certifikátů

    a. Pokud importujete PFX, zobrazí se další dialogové okno. Na stránce Ochrana privátního klíče zadejte heslo k souborům certifikátu a pak povolte možnost Označit tento klíč jako exportovatelný, abyste mohli klíče později zálohovat nebo přenést. Vyberte Další.

    Označit klíč jako exportovatelný

  5. Kliknutím na Dokončit import dokončete.

Poznámka

Po importu certifikátu pro službu Azure Stack Hub se privátní klíč certifikátu uloží jako soubor PKCS 12 (PFX) v clusterovém úložišti.

Export certifikátu

Otevřete konzolu KONZOLY MMC Správce certifikátů a připojte se k úložišti certifikátů místního počítače.

  1. Otevřete konzolu Microsoft Management Console. Konzolu otevřete v Windows 10 tak, že kliknete pravým tlačítkem na nabídku Start, vyberete Spustit, zadáte mmc a stisknete Klávesu Enter.

  2. Vyberte Soubor>Přidat nebo odebrat modul snap-In, pak vyberte Certifikáty a vyberte Přidat.

    Přidání modulu snap-in Certifikáty v konzole Microsoft Management Console

  3. Vyberte Účet počítače a pak vyberte Další. Vyberte Místní počítač a pak Dokončit. Výběrem OK zavřete stránku Přidat nebo odebrat Snap-In.

    Výběr účtu pro modul snap-in Přidat certifikáty v konzole Microsoft Management Console

  4. Přejděte doumístění certifikátudůvěryhodnosti>organizace pro certifikáty>. Ověřte, že se váš certifikát zobrazuje vpravo.

  5. Na hlavním panelu konzoly Správce certifikátů vyberte Akce>– Export všech úloh>. Vyberte Další.

    Poznámka

    V závislosti na tom, kolik certifikátů služby Azure Stack Hub máte, možná budete muset tento proces dokončit více než jednou.

  6. Vyberte Ano, Exportovat privátní klíč a pak vyberte Další.

  7. V části Formát souboru pro export:

    • Pokud je to možné, vyberte Zahrnout do certifikátu všechny certifikáty.

    • Vyberte Exportovat všechny rozšířené vlastnosti.

    • Vyberte Povolit ochranu osobních údajů certifikátu.

    • Vyberte Další.

      Průvodce exportem certifikátu s vybranými možnostmi

  8. Vyberte Heslo a zadejte heslo pro certifikáty. Vytvořte heslo, které splňuje následující požadavky na složitost hesla:

    • Minimální délka je osm znaků.
    • Aspoň tři z následujících znaků: velká písmena, malá písmena, čísla od 0 do 9, speciální znaky, abecední znak, který není velkými ani malými písmeny.

    Poznamenejte si toto heslo. Použijete ho jako parametr nasazení.

  9. Vyberte Další.

  10. Zvolte název a umístění souboru PFX, který chcete exportovat. Vyberte Další.

  11. Vyberte Dokončit.

Další kroky

Ověření certifikátů PKI