Megosztás a következőn keresztül:


Tanúsítvány-aláírási kérelem létrehozása az Azure Stack Hubhoz

Az Azure Stack Hub készenlét-ellenőrző eszközével olyan tanúsítvány-aláírási kéréseket (CSR-eket) hozhat létre, amelyek alkalmasak az Azure Stack Hub üzembe helyezéséhez, vagy egy meglévő üzemelő példány tanúsítványainak megújításához. Fontos, hogy elegendő átfutási idővel igényeljen, hozzon létre és érvényesítsen tanúsítványokat az üzembe helyezés előtt.

Az eszköz a következő tanúsítványok igénylésére szolgál a jelen cikk tetején található CsR-tanúsítvány kiválasztása forgatókönyvválasztó alapján:

  • Standard tanúsítványok új üzemelő példányhoz: Válassza az Új üzembe helyezés lehetőséget a jelen cikk tetején található CsR-tanúsítványforgatókönyv kiválasztása választóval.
  • Meglévő üzemelő példány megújítási tanúsítványai: Válassza a Megújítás lehetőséget a jelen cikk tetején található CsR-tanúsítvány kiválasztása forgatókönyvválasztóval .
  • Szolgáltatásként nyújtott platform (PaaS) tanúsítványok: Igény szerint standard és megújítási tanúsítványokkal is létrehozható. További részletekért lásd: Az Azure Stack Hub nyilvános kulcsú infrastruktúrájának (PKI) tanúsítványkövetelményei – választható PaaS-tanúsítványok .

Előfeltételek

Mielőtt létrehoz egy CSR-t a PKI-tanúsítványokhoz az Azure Stack Hub üzemelő példányához, a rendszernek meg kell felelnie a következő előfeltételeknek:

  • Egy Windows 10 vagy újabb, illetve Windows Server 2016 vagy újabb rendszerű gépen kell lennie.
  • Telepítse az Azure Stack Hub készenlét-ellenőrző eszközét egy PowerShell-parancssorból (5.1 vagy újabb verzió) a következő parancsmag használatával:
         Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
    
  • A tanúsítványhoz a következő attribútumokra lesz szüksége:
    • Régió neve
    • Külső teljes tartománynév (FQDN)
    • Tárgy

CSR-ek létrehozása új üzembehelyezési tanúsítványokhoz

Megjegyzés

Jogosultságszint-emelés szükséges a tanúsítvány-aláírási kérések létrehozásához. Olyan korlátozott környezetekben, ahol a jogosultságszint-emelés nem lehetséges, ezzel az eszközzel világos szöveges sablonfájlokat hozhat létre, amelyek tartalmazzák az Azure Stack Hub külső tanúsítványaihoz szükséges összes információt. Ezután ezeket a sablonfájlokat egy emelt szintű munkamenetben kell használnia a nyilvános/titkos kulcspár létrehozásának befejezéséhez. További részletekért lásd alább.

A CSR-ek új Azure Stack Hub PKI-tanúsítványokhoz való előkészítéséhez hajtsa végre az alábbi lépéseket:

  1. Nyisson meg egy PowerShell-munkamenetet azon a gépen, amelyen a Készültség-ellenőrző eszközt telepítette.

  2. Deklarálja a következő változókat:

    Megjegyzés

    <regionName>.<externalFQDN> ez képezi az Azure Stack Hubban található összes külső DNS-név létrehozásának alapját. Az alábbi példában a portál a következő: portal.east.azurestack.contoso.com.

    $outputDirectory = "$ENV:USERPROFILE\Documents\AzureStackCSR" # An existing output directory
    $IdentitySystem = "AAD"                     # Use "AAD" for Azure Active Director, "ADFS" for Active Directory Federation Services
    $regionName = 'east'                        # The region name for your Azure Stack Hub deployment
    $externalFQDN = 'azurestack.contoso.com'    # The external FQDN for your Azure Stack Hub deployment
    

Most hozza létre a CSR-eket ugyanazzal a PowerShell-munkamenetel. Az utasítások az alább kiválasztott Tárgy formátumra vonatkoznak:

Megjegyzés

Az Azure Stack Hub szolgáltatás első DNS-neve a tanúsítványkérelem CN-mezőjeként lesz konfigurálva.

  1. Deklaráljon egy tárgyat, például:

    $subject = "C=US,ST=Washington,L=Redmond,O=Microsoft,OU=Azure Stack Hub"
    
  1. A CSR-ek létrehozásához hajtsa végre az alábbi műveletek egyikét:

    • Éles üzembehelyezési környezet esetén az első szkript csR-eket hoz létre az üzembehelyezési tanúsítványokhoz:

      New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
      
    • A második szkript, ha szükséges, a -IncludeContainerRegistry és a használatával hoz létre csR-t Azure Container Registry az üzembehelyezési tanúsítványok CSR-jével egy időben:

      New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem -IncludeContainerRegistry
      
    • A harmadik szkript CSR-eket hoz létre a telepített választható PaaS-szolgáltatásokhoz:

      # App Services
      New-AzsHubAppServicesCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
      
      # DBAdapter (SQL/MySQL)
      New-AzsHubDbAdapterCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
      
      # EventHubs
      New-AzsHubEventHubsCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
      
      # Azure Container Registry
      New-AzsHubAzureContainerRegistryCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory 
      
    • Alacsony jogosultsági szintű környezet esetén a szükséges deklarált attribútumokkal rendelkező, világos szöveges tanúsítványsablonfájl létrehozásához adja hozzá a paramétert-LowPrivilege:

      New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem -LowPrivilege
      
    • Egy fejlesztési és tesztelési környezet esetében, ha egyetlen, több tárgyból álló alternatív névvel rendelkező CSR-t szeretne létrehozni, adja hozzá a paramétert és az -RequestType SingleCSR értéket.

      Fontos

      Éles környezetekben nem javasoljuk ezt a megközelítést.

      New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -RequestType SingleCSR -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
      

Hajtsa végre az utolsó lépéseket:

  1. Tekintse át a kimenetet:

    Starting Certificate Request Process for Deployment
    CSR generating for following SAN(s): *.adminhosting.east.azurestack.contoso.com,*.adminvault.east.azurestack.contoso.com,*.blob.east.azurestack.contoso.com,*.hosting.east.azurestack.contoso.com,*.queue.east.azurestack.contoso.com,*.table.east.azurestack.contoso.com,*.vault.east.azurestack.contoso.com,adminmanagement.east.azurestack.contoso.com,adminportal.east.azurestack.contoso.com,management.east.azurestack.contoso.com,portal.east.azurestack.contoso.com
    Present this CSR to your Certificate Authority for Certificate Generation:  C:\Users\username\Documents\AzureStackCSR\Deployment_east_azurestack_contoso_com_SingleCSR_CertRequest_20200710165538.req
    Certreq.exe output: CertReq: Request Created
    
  2. Ha a paramétert -LowPrivilege használták, az alkönyvtárban C:\Users\username\Documents\AzureStackCSR .inf fájl jött létre. Például:

    C:\Users\username\Documents\AzureStackCSR\Deployment_east_azurestack_contoso_com_SingleCSR_CertRequest_20200710165538_ClearTextTemplate.inf

    Másolja a fájlt egy olyan rendszerbe, ahol engedélyezve van a jogosultságszint-emelés, majd írja alá az egyes kéréseket certreq a következő szintaxissal: certreq -new <example.inf> <example.req>. Ezután fejezze be a folyamat további részét az emelt szintű rendszeren, mert ehhez a hitelesítésszolgáltató által aláírt új tanúsítványt kell egyeztetni a titkos kulccsal, amely az emelt szintű rendszeren jön létre.

  • A készenlét-ellenőrző a rendszer régióját és külső tartománynevét (FQDN) fogja használni az attribútumok meglévő tanúsítványokból való kinyerésére szolgáló végpont meghatározásához. Ha az alábbiak bármelyike vonatkozik a forgatókönyvre, a cikk tetején található CsR-tanúsítvány kiválasztása forgatókönyvválasztót kell használnia, és ehelyett a cikk Új üzembehelyezési verzióját kell választania:
    • Módosítani szeretné a tanúsítványok attribútumait a végponton, például a tárgyat, a kulcshosszt és az aláírási algoritmust.
    • Olyan tanúsítványtulajdonost szeretne használni, amely csak a köznapi név attribútumot tartalmazza.
  • A kezdés előtt győződjön meg arról, hogy HTTPS-kapcsolattal rendelkezik az Azure Stack Hub-rendszerhez.

CSR-ek létrehozása megújítási tanúsítványokhoz

Ez a szakasz a csR-ek előkészítését ismerteti a meglévő Azure Stack Hub PKI-tanúsítványok megújításához.

CSR-ek létrehozása

  1. Nyisson meg egy PowerShell-munkamenetet azon a gépen, amelyen a Készültség-ellenőrző eszközt telepítette.

  2. Deklarálja a következő változókat:

    Megjegyzés

    A Készenlét-ellenőrző stampEndpoint egy előre fel van függesztett sztringgel megkeresi a meglévő tanúsítványokat. Például portal.east.azurestack.contoso.com üzembehelyezési tanúsítványokhoz, sso.appservices.east.azurestack.contoso.com App Services-tanúsítványokhoz stb.

    $regionName = 'east'                                            # The region name for your Azure Stack Hub deployment
    $externalFQDN = 'azurestack.contoso.com'                        # The external FQDN for your Azure Stack Hub deployment    
    $stampEndpoint = "$regionName.$externalFQDN"
    $outputDirectory = "$ENV:USERPROFILE\Documents\AzureStackCSR"   # Declare the path to an existing output directory
    
  3. Hozzon létre CSR-eket az alábbiak közül egy vagy több végrehajtásával:

    • Éles környezetben az első szkript csR-eket hoz létre az üzembehelyezési tanúsítványokhoz:

      New-AzsHubDeploymentCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
      
    • A második szkript, ha szükséges, a -IncludeContainerRegistry és a használatával hoz létre csR-t Azure Container Registry az üzembehelyezési tanúsítványok CSR-jével egy időben:

      New-AzsHubDeploymentCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory -IncludeContainerRegistry
      
    • A harmadik szkript CSR-eket hoz létre a telepített választható PaaS-szolgáltatásokhoz:

      # App Services
      New-AzsHubAppServicesCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
      
      # DBAdapter
      New-AzsHubDBAdapterCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
      
      # EventHubs
      New-AzsHubEventHubsCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
      
      # Azure Container Registry
      New-AzsHubAzureContainerRegistryCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory 
      
    • Egy fejlesztési és tesztelési környezet esetében, ha egyetlen, több tárgyból álló alternatív névvel rendelkező CSR-t szeretne létrehozni, adja hozzá a paramétert és az -RequestType SingleCSR értéket.

      Fontos

      Éles környezetekben nem javasoljuk ezt a megközelítést.

      New-AzsHubDeploymentCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory -RequestType SingleCSR
      
  4. Tekintse át a kimenetet:

    Querying StampEndpoint portal.east.azurestack.contoso.com for existing certificate
    Starting Certificate Request Process for Deployment
    CSR generating for following SAN(s): *.adminhosting.east.azurestack.contoso.com,*.adminvault.east.azurestack.contoso.com,*.blob.east.azurestack.contoso.com,*.hosting.east.azurestack.contoso.com,*.queue.east.azurestack.contoso.com,*.table.east.azurestack.contoso.com,*.vault.east.azurestack.contoso.com,adminmanagement.east.azurestack.contoso.com,adminportal.east.azurestack.contoso.com,management.east.azurestack.contoso.com,portal.east.azurestack.contoso.com
    Present this CSR to your certificate authority for certificate generation: C:\Users\username\Documents\AzureStackCSR\Deployment_east_azurestack_contoso_com_SingleCSR_CertRequest_20200710122723.req
    Certreq.exe output: CertReq: Request Created
    

Amikor elkészült, küldje el a létrehozott .req fájlt a hitelesítésszolgáltatónak (belső vagy nyilvános). A változó által $outputDirectory megadott könyvtár tartalmazza azokat a CSR-eket, amelyeket el kell küldeni egy hitelesítésszolgáltatónak. A könyvtár referenciaként tartalmaz egy gyermekkönyvtárat is, amely tartalmazza a tanúsítványkérelmek létrehozása során használandó .inf fájlokat. Győződjön meg arról, hogy a hitelesítésszolgáltató olyan generált kéréssel hoz létre tanúsítványokat, amely megfelel az Azure Stack Hub PKI követelményeinek.

Következő lépések

Miután megkapta a tanúsítványokat a hitelesítésszolgáltatótól, kövesse az Azure Stack Hub PKI-tanúsítványainak előkészítése ugyanazon a rendszeren című cikkben leírt lépéseket.