Tanúsítvány-aláírási kérelem létrehozása az Azure Stack HubhozGenerate certificate signing requests for Azure Stack Hub

Az Azure Stack hub Readiness-ellenőrző eszköz használatával tanúsítvány-aláírási kérelmeket (munkatársakat) hozhat létre Azure Stack központi telepítéshez.You can use the Azure Stack Hub Readiness Checker tool to create Certificate Signing Requests (CSRs) suitable for an Azure Stack Hub deployment. A tanúsítványokat az üzembe helyezés előtt elég időt kell kérni, generálni és érvényesíteni.Certificates should be requested, generated, and validated with enough time to test before deployment. Az eszközt a PowerShell-galériabólkérheti le.You can get the tool from the PowerShell Gallery.

Az Azure Stack hub Readiness-ellenőrző eszköz (AzsReadinessChecker) használatával a következő tanúsítványokat kérheti le:You can use the Azure Stack Hub Readiness Checker tool (AzsReadinessChecker) to request the following certificates:

ElőfeltételekPrerequisites

A rendszernek meg kell felelnie a következő előfeltételeknek, mielőtt a PKI-tanúsítványokhoz tartozó ügyfélszolgálati munkatársakat hozna létre egy Azure Stack hub üzembe helyezéséhez:Your system should meet the following prerequisites before generating any CSRs for PKI certificates for an Azure Stack Hub deployment:

  • Microsoft Azure Stack hub Readiness-ellenőrzőMicrosoft Azure Stack Hub Readiness Checker

  • Tanúsítvány attribútumai:Certificate attributes:

    • Régió neveRegion name
    • Külső teljesen minősített tartománynév (FQDN)External fully qualified domain name (FQDN)
    • TárgySubject
  • Windows 10 vagy Windows Server 2016 vagy újabbWindows 10 or Windows Server 2016 or later

    Megjegyzés

    Amikor visszakapja a tanúsítványokat a hitelesítésszolgáltatótól, a Azure stack hub PKI-tanúsítványok előkészítésének lépéseit ugyanazon a rendszeren kell végrehajtania.When you receive your certificates back from your certificate authority, the steps in Prepare Azure Stack Hub PKI certificates will need to be completed on the same system!

Tanúsítvány-aláírási kérelmek előállítása új központi telepítésekhezGenerate certificate signing requests for new deployments

A következő lépésekkel készítheti elő a tanúsítvány-aláírási kérelmeket az új Azure Stack hub PKI-tanúsítványokhoz:Use these steps to prepare certificate signing requests for new Azure Stack Hub PKI certificates:

  1. Telepítse a AzsReadinessChecker-t egy PowerShell-parancssorból (5,1 vagy újabb) a következő parancsmag futtatásával:Install AzsReadinessChecker from a PowerShell prompt (5.1 or above), by running the following cmdlet:

        Install-Module Microsoft.AzureStack.ReadinessChecker
    
  2. Deklarálja a tárgyat.Declare the subject. Például:For example:

    $subject = "C=US,ST=Washington,L=Redmond,O=Microsoft,OU=Azure Stack Hub"
    

    Megjegyzés

    Ha köznapi nevet (CN) ad meg, a rendszer minden tanúsítványkérelem esetében konfigurálva lesz.If a common name (CN) is supplied, it will be configured on every certificate request. Ha a rendszer kihagyja a CN-t, az Azure Stack hub szolgáltatás első DNS-neve lesz konfigurálva a tanúsítványkérelem során.If a CN is omitted, the first DNS name of the Azure Stack Hub service will be configured on the certificate request.

  3. Deklaráljon egy már létező kimeneti könyvtárat.Declare an output directory that already exists. Például:For example:

    $outputDirectory = "$ENV:USERPROFILE\Documents\AzureStackCSR"
    
  4. Állapítsa meg a személyazonossági rendszereket.Declare identity system.

    Azure Active Directory (Azure AD):Azure Active Directory (Azure AD):

    $IdentitySystem = "AAD"
    

    Active Directory összevonási szolgáltatások (AD FS) (AD FS):Active Directory Federation Services (AD FS):

    $IdentitySystem = "ADFS"
    

    Megjegyzés

    A paraméter csak a CertificateType telepítéséhez szükséges.The parameter is required only for CertificateType Deployment.

  5. Deklarálja a régió nevét és a Azure stack hub-telepítéshez szánt külső teljes tartománynevet .Declare region name and an external FQDN intended for the Azure Stack Hub deployment.

    $regionName = 'east'
    $externalFQDN = 'azurestack.contoso.com'
    

    Megjegyzés

    <regionName>.<externalFQDN> az alapot képezi, hogy az Azure Stack hub összes külső DNS-neve létrejön.<regionName>.<externalFQDN> forms the basis on which all external DNS names in Azure Stack Hub are created. Ebben a példában a portál a következő lesz: portal.east.azurestack.contoso.com .In this example, the portal would be portal.east.azurestack.contoso.com.

  6. Tanúsítvány-aláírási kérelmek előállítása az üzembe helyezéshez:To generate certificate signing requests for deployment:

    New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
    

    Más Azure Stack hub-szolgáltatásokhoz tartozó tanúsítványkérelmek létrehozásához módosítsa a értékét -CertificateType .To generate certificate requests for other Azure Stack Hub services, change the value for -CertificateType. Például:For example:

    # App Services
    New-AzsHubAppServicesCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
    
    # DBAdapter
    New-AzsHubDbAdapterCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
    
    # EventHubs
    New-AzsHubEventHubsCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
    
    # IoTHub
    New-AzsHubIoTHubCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
    
  7. A fejlesztési és tesztelési környezetekben egyetlen, több tulajdonos alternatív névvel rendelkező RequestType SingleCSR paramétert és értéket (éles környezetekben nem ajánlott) hozhat létre.Alternatively, for Dev/Test environments, to generate a single certificate request with multiple Subject Alternative Names add -RequestType SingleCSR parameter and value (not recommended for production environments):

    New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -RequestType SingleCSR -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
    
  8. Tekintse át a kimenetet:Review the output:

    Starting Certificate Request Process for Deployment
    CSR generating for following SAN(s): *.adminhosting.east.azurestack.contoso.com,*.adminvault.east.azurestack.contoso.com,*.blob.east.azurestack.contoso.com,*.hosting.east.azurestack.contoso.com,*.queue.east.azurestack.contoso.com,*.table.east.azurestack.contoso.com,*.vault.east.azurestack.contoso.com,adminmanagement.east.azurestack.contoso.com,adminportal.east.azurestack.contoso.com,management.east.azurestack.contoso.com,portal.east.azurestack.contoso.com
    Present this CSR to your Certificate Authority for Certificate Generation: C:\Users\[*redacted*]\Documents\AzureStackCSR\Deployment_east_azurestack_contoso_com_SingleCSR_CertRequest_20200710165538.req
    Certreq.exe output: CertReq: Request Created
    
  9. Küldje el a t . A CA-hoz GENERÁLT REQ-fájl (belső vagy nyilvános).Submit the .REQ file generated to your CA (either internal or public). A New-AzsCertificateSigningRequest kimeneti könyvtára tartalmazza a hitelesítésszolgáltatóhoz való beküldéshez szükséges CSR (ka) t.The output directory of New-AzsCertificateSigningRequest contains the CSR(s) necessary to submit to a Certificate Authority. A könyvtár tartalmazza a hivatkozáshoz tartozó alárendelt könyvtárat is, amely a tanúsítványkérelem létrehozásakor használt INF-fájl (oka) t tartalmazza.The directory also contains, for your reference, a child directory containing the INF file(s) used during certificate request generation. Győződjön meg arról, hogy a HITELESÍTÉSSZOLGÁLTATÓ olyan tanúsítványokat hoz létre a létrehozott kérelem alapján, amelyek megfelelnek az Azure stack hub PKI követelményeinek.Be sure that your CA generates certificates using your generated request that meet the Azure Stack Hub PKI Requirements.

Tanúsítvány-aláírási kérelmek előállítása a tanúsítvány megújításáhozGenerate certificate signing requests for certificate renewal

Ezekkel a lépésekkel előkészítheti a tanúsítvány-aláírási kérelmeket a meglévő Azure Stack hub PKI-tanúsítványok megújításához:Use these steps to prepare certificate signing requests for renewal of existing Azure Stack Hub PKI certificates:

  1. Telepítse a AzsReadinessChecker-t egy PowerShell-parancssorból (5,1 vagy újabb) a következő parancsmag futtatásával:Install AzsReadinessChecker from a PowerShell prompt (5.1 or above), by running the following cmdlet:

        Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
    
  2. Deklarálja a stampEndpoint az Azure stack hubrendszer regionname.domain.com formájában.Declare the stampEndpoint in the form of regionname.domain.com of the Azure Stack Hub System. Például (ha a Azure Stack hub bérlői portál címe https:// portal.east.azurestack.contoso.com ):For example (if the Azure Stack Hub Tenant portal address is https://portal.east.azurestack.contoso.com):

    $stampEndpoint = 'east.azurestack.contoso.com'
    

    Megjegyzés

    A fenti Azure Stack hub rendszerhez HTTPS-kapcsolat szükséges.HTTPS Connectivity is required for the Azure Stack Hub system above. A Readiness-ellenőrző a stampendpoint (régió és tartomány) használatával hoz létre egy mutatót a tanúsítvány típusa által igényelt meglévő tanúsítványokhoz, például a "portál" központi telepítési tanúsítványok előtagértéke, az eszköz által, így a portal.east.azurestack.contoso.com a tanúsítványok klónozásához, AppServices sso.appservices.east.azurestack.contoso.com stb. A számított végponthoz kötött tanúsítvány az attribútumok, például a tulajdonos, a kulcs hossza és az aláírási algoritmus klónozására szolgál.The Readiness Checker will use the stampendpoint (region and domain) to build a pointer to an existing certificates required by the certificate type e.g. for deployment certificates 'portal' is prepended, by the tool, so portal.east.azurestack.contoso.com is used in certificate cloning, for AppServices sso.appservices.east.azurestack.contoso.com etc. The certificate bound to the computed endpoint will be used to clone attributes such as subject, key length, signature algorithm. Ha módosítani szeretné ezen attribútumok bármelyikét, kövesse az új központi telepítések tanúsítvány-aláírási kérelmének létrehozása című témakör lépéseit.If you wish to change any of these attributes you should follow the steps for Generate certificate signing request for new deployments instead.

  3. Deklaráljon egy már létező kimeneti könyvtárat.Declare an output directory that already exists. Például:For example:

    $outputDirectory = "$ENV:USERPROFILE\Documents\AzureStackCSR"
    
  4. Tanúsítvány-aláírási kérelmek előállítása az üzembe helyezéshez:To generate certificate signing requests for deployment:

    New-AzsHubDeploymentCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
    

    Más Azure Stack hub-szolgáltatásokhoz tartozó tanúsítványkérelmek létrehozásához használja a következőt:To generate certificate requests for other Azure Stack Hub services use:

    # App Services
    New-AzsHubAppServicesCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
    
    # DBAdapter
    New-AzsHubDBAdapterCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
    
    # EventHubs
    New-AzsHubEventHubsCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
    
    # IoTHub
    New-AzsHubIotHubCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
    
  5. A fejlesztési és tesztelési környezetekben egyetlen, több tulajdonos alternatív névvel rendelkező RequestType SingleCSR paramétert és értéket (éles környezetekben nem ajánlott) hozhat létre.Alternatively, for Dev/Test environments, to generate a single certificate request with multiple Subject Alternative Names add -RequestType SingleCSR parameter and value (not recommended for production environments):

    New-AzsHubDeploymentCertificateSigningRequest -StampEndpoint $stampendpoint -OutputRequestPath $OutputDirectory -RequestType SingleCSR
    
  6. Tekintse át a kimenetet:Review the output:

    Querying StampEndpoint portal.east.azurestack.contoso.com for existing certificate
    Starting Certificate Request Process for Deployment
    CSR generating for following SAN(s): *.adminhosting.east.azurestack.contoso.com,*.adminvault.east.azurestack.contoso.com,*.blob.east.azurestack.contoso.com,*.hosting.east.azurestack.contoso.com,*.queue.east.azurestack.contoso.com,*.table.east.azurestack.contoso.com,*.vault.east.azurestack.contoso.com,adminmanagement.east.azurestack.contoso.com,adminportal.east.azurestack.contoso.com,management.east.azurestack.contoso.com,portal.east.azurestack.contoso.com
    Present this CSR to your Certificate Authority for Certificate Generation: C:\Users\[*redacted*]\Documents\AzureStackCSR\Deployment_east_azurestack_contoso_com_SingleCSR_CertRequest_20200710122723.req
    Certreq.exe output: CertReq: Request Created
    
  7. Küldje el a t . A CA-hoz GENERÁLT REQ-fájl (belső vagy nyilvános).Submit the .REQ file generated to your CA (either internal or public). A New-AzsCertificateSigningRequest kimeneti könyvtára tartalmazza a hitelesítésszolgáltatóhoz való beküldéshez szükséges CSR (ka) t.The output directory of New-AzsCertificateSigningRequest contains the CSR(s) necessary to submit to a Certificate Authority. A könyvtár tartalmazza a hivatkozáshoz tartozó alárendelt könyvtárat is, amely a tanúsítványkérelem létrehozásakor használt INF-fájl (oka) t tartalmazza.The directory also contains, for your reference, a child directory containing the INF file(s) used during certificate request generation. Győződjön meg arról, hogy a HITELESÍTÉSSZOLGÁLTATÓ olyan tanúsítványokat hoz létre a létrehozott kérelem alapján, amelyek megfelelnek az Azure stack hub PKI követelményeinek.Be sure that your CA generates certificates using your generated request that meet the Azure Stack Hub PKI Requirements.

További lépésekNext steps

Azure Stack hub PKI-tanúsítványok előkészítésePrepare Azure Stack Hub PKI certificates