Tanúsítvány-aláírási kérelem létrehozása az Azure Stack Hubhoz

A tanúsítvány-Azure Stack Hub ellenőrzőeszköz használatával tanúsítvány-aláírási kérelmeket (CSR-eket) hozhat létre, amelyek megfelelőek Azure Stack Hub telepítéséhez. A tanúsítványokat az üzembe helyezés előtt le kell kérni, elő kell generálni és ellenőrizni kell. Az eszközt a következőből PowerShell-galéria.

A következő tanúsítványok igénylésére használhatja Azure Stack Hub készenlét-ellenőrző eszközt (AzsReadinessChecker):

Előfeltételek

A rendszernek meg kell felelnie a következő előfeltételeknek, mielőtt A PKI-tanúsítványok csR-eket generálnak egy Azure Stack Hub telepítéshez:

  • Microsoft Azure Stack Hub készenlét-ellenőrzője

  • Tanúsítványattribútumok:

    • Régió neve
    • Külső teljes tartománynév (FQDN)
    • Tárgy
  • Windows 10 vagy Windows Server 2016 vagy újabb

    Megjegyzés

    Amikor megkapja a tanúsítványokat a hitelesítésszolgáltatótól, a PKI Azure Stack Hub tanúsítványok előkészítésének lépéseit ugyanazon a rendszeren kell végrehajtani.

    A tanúsítvány-aláírási kérelmek létrehozásához jogosultságszint-emelés szükséges. Olyan korlátozott környezetekben, ahol a jogosultságszint-emelés nem lehetséges, ezzel az eszközzel olyan tiszta szöveges sablonfájlokat hozhat létre, amelyek a külső tanúsítványokhoz Azure Stack Hub összes információt tartalmazzák. Ezeket a sablonfájlokat ezután emelt szintű munkamenetben kell használni a nyilvános/titkos kulcspárok generációjának befejezéséhez.

Tanúsítvány-aláírási kérések létrehozása új központi telepítéshez

Az alábbi lépésekkel készítheti elő a tanúsítvány-aláírási kérelmeket az új Azure Stack Hub PKI-tanúsítványokhoz:

  1. Telepítse az AzsReadinessCheckert egy PowerShell-parancssorból (5.1-es vagy újabb) a következő parancsmag futtatásával:

        Install-Module Microsoft.AzureStack.ReadinessChecker
    
  2. Deklarálja a tárgyat. Például:

    $subject = "C=US,ST=Washington,L=Redmond,O=Microsoft,OU=Azure Stack Hub"
    

    Megjegyzés

    Ha köznév (CN) van megadva, akkor minden tanúsítványkérelemhez konfigurálva lesz. Ha a CN nincs megadva, a rendszer a Azure Stack Hub szolgáltatás első DNS-nevét konfigurálja a tanúsítványkérelemen.

  3. Deklarál egy már létező kimeneti könyvtárat. Például:

    $outputDirectory = "$ENV:USERPROFILE\Documents\AzureStackCSR"
    
  4. Identitásrendszer deklarálva.

    Azure Active Directory (Azure AD):

    $IdentitySystem = "AAD"
    

    Active Directory összevonási szolgáltatások (AD FS) (AD FS):

    $IdentitySystem = "ADFS"
    

    Megjegyzés

    A paraméter csak a CertificateType telepítéséhez szükséges.

  5. Deklarálja a régió nevét és egy külső FQDN-t a Azure Stack Hub számára.

    $regionName = 'east'
    $externalFQDN = 'azurestack.contoso.com'
    

    Megjegyzés

    <regionName>.<externalFQDN> A azt az alapot képezi, amely alapján a Azure Stack Hub összes külső DNS-neve létrejön. Ebben a példában a portál a következő lenne: portal.east.azurestack.contoso.com .

  6. Tanúsítvány-aláírási kérések létrehozása a telepítéshez:

    New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
    

    Ha más szolgáltatáshoz is tanúsítványkérelmeket Azure Stack Hub, módosítsa a parancsmag nevét. Például:

    # App Services
    New-AzsHubAppServicesCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
    
    # DBAdapter
    New-AzsHubDbAdapterCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
    
    # EventHubs
    New-AzsHubEventHubsCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
    
    # IoTHub
    New-AzsHubIoTHubCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
    
  7. Alacsony jogosultságú környezetek esetén a -LowPrivilege paramétert is hozzáadhatja egy tiszta szöveges tanúsítványsablonfájl létrehozásához, deklarálva a szükséges attribútumokkal:

    New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem -LowPrivilege
    
  8. Másik lehetőségként dev/test környezetek esetén, ha egyetlen tanúsítványkérelmet szeretne létrehozni több tulajdonos alternatív nevével, adja hozzá a -RequestType SingleCSR paramétert és értéket(éles környezetben nem ajánlott):

    New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -RequestType SingleCSR -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
    
  9. Tekintse át a kimenetet:

    Starting Certificate Request Process for Deployment
    CSR generating for following SAN(s): *.adminhosting.east.azurestack.contoso.com,*.adminvault.east.azurestack.contoso.com,*.blob.east.azurestack.contoso.com,*.hosting.east.azurestack.contoso.com,*.queue.east.azurestack.contoso.com,*.table.east.azurestack.contoso.com,*.vault.east.azurestack.contoso.com,adminmanagement.east.azurestack.contoso.com,adminportal.east.azurestack.contoso.com,management.east.azurestack.contoso.com,portal.east.azurestack.contoso.com
    Present this CSR to your Certificate Authority for Certificate Generation:  C:\Users\username\Documents\AzureStackCSR\Deployment_east_azurestack_contoso_com_SingleCSR_CertRequest_20200710165538.req
    Certreq.exe output: CertReq: Request Created
    
  10. Küldje el a következőt: . A hitelesítésszolgáltató számára létrehozott (belső vagy nyilvános) REQ-fájl. A New-AzsCertificateSigningRequest kimeneti könyvtára tartalmazza a hitelesítésszolgáltatónak való küldéshez szükséges CSR(k)t. A könyvtár tartalmaz egy gyermekkönyvtárat is, amely a tanúsítványkérelem létrehozása során használt INF-fájlokat tartalmazza. Győződjön meg arról, hogy a hitelesítésszolgáltató a létrehozott kérés használatával hoz létre tanúsítványokat, amelyek megfelelnek Azure Stack Hub PKI követelményeinek.

  11. Ha a -LowPrivilegeparamétert használta, másolja ki az eredményül kapott inf-fájl(ka)t, például:

    C:\Users\username\Documents\AzureStackCSR\Deployment_east_azurestack_contoso_com_SingleCSR_CertRequest_20200710165538_ClearTextTemplate.inf

    egy olyan rendszerre, ahol a jogosultságszint-emelés engedélyezett. Ezután írja alá az egyes kéréseket a certreq használatával a következő szintaxissal: certreq -new example.inf >< example.req >. A folyamat további részét ezután be kell fejeződni az emelt szintű rendszeren, mivel ehhez a hitelesítésszolgáltató által aláírt új tanúsítványnak és annak titkos kulcsának (az emelt szintű rendszeren generált) egyeztetésére van szükség.

Tanúsítvány-aláírási kérelmek létrehozása a tanúsítvány megújítása érdekében

Az alábbi lépésekkel készítheti elő a tanúsítvány-aláírási kérelmeket a meglévő PKI Azure Stack Hub megújítására:

  1. Telepítse az AzsReadinessCheckert egy PowerShell-parancssorból (5.1-es vagy újabb) a következő parancsmag futtatásával:

        Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
    
  2. Deklarálja a stampEndpoint regionname.domain.com a Azure Stack Hub formájában. Például (ha a Azure Stack Hub bérlői portál címe https://portal.east.azurestack.contoso.com ):

    $stampEndpoint = 'east.azurestack.contoso.com'
    

    Megjegyzés

    HTTPS-kapcsolat szükséges a fenti Azure Stack Hub rendszerhez. A készenlét-ellenőrző a stampendpoint (régió és tartomány) használatával mutatót hoz létre a tanúsítványtípus által megkövetelt meglévő tanúsítványokra ( például a "portal" üzembe helyezési tanúsítványokat az eszköz előtagként írja be, ezért az portal.east.azurestack.contoso.com a tanúsítvány klónozásához, az AppServices sso.appservices.east.azurestack.contoso.com stb. esetében használatos. A számított végponthoz kötött tanúsítvány olyan attribútumok klónozását fogja használni, mint a tárgy, a kulcshossz, az aláírási algoritmus. Ha módosítani szeretné ezen attribútumok bármelyikét, kövesse a Tanúsítvány-aláírási kérelem létrehozása új központi telepítések esetén lépéseit.

  3. Deklarál egy már létező kimeneti könyvtárat. Például:

    $outputDirectory = "$ENV:USERPROFILE\Documents\AzureStackCSR"
    
  4. Tanúsítvány-aláírási kérések létrehozása a telepítéshez:

    New-AzsHubDeploymentCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
    

    Tanúsítványkérelmek létrehozásához más Azure Stack Hub használja a következőt:

    # App Services
    New-AzsHubAppServicesCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
    
    # DBAdapter
    New-AzsHubDBAdapterCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
    
    # EventHubs
    New-AzsHubEventHubsCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
    
    # IoTHub
    New-AzsHubIotHubCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
    
  5. Másik lehetőségként dev/test környezetek esetén egyetlen tanúsítványkérelmet hozhat létre több tulajdonos alternatív nevével, és hozzáadhatja a -RequestType SingleCSR paramétert és értéket(éles környezetben nem ajánlott):

    New-AzsHubDeploymentCertificateSigningRequest -StampEndpoint $stampendpoint -OutputRequestPath $OutputDirectory -RequestType SingleCSR
    
  6. Tekintse át a kimenetet:

    Querying StampEndpoint portal.east.azurestack.contoso.com for existing certificate
    Starting Certificate Request Process for Deployment
    CSR generating for following SAN(s): *.adminhosting.east.azurestack.contoso.com,*.adminvault.east.azurestack.contoso.com,*.blob.east.azurestack.contoso.com,*.hosting.east.azurestack.contoso.com,*.queue.east.azurestack.contoso.com,*.table.east.azurestack.contoso.com,*.vault.east.azurestack.contoso.com,adminmanagement.east.azurestack.contoso.com,adminportal.east.azurestack.contoso.com,management.east.azurestack.contoso.com,portal.east.azurestack.contoso.com
    Present this CSR to your Certificate Authority for Certificate Generation: C:\Users\username\Documents\AzureStackCSR\Deployment_east_azurestack_contoso_com_SingleCSR_CertRequest_20200710122723.req
    Certreq.exe output: CertReq: Request Created
    
  7. Küldje el a következőt: . A hitelesítésszolgáltató számára létrehozott (belső vagy nyilvános) REQ-fájl. A New-AzsCertificateSigningRequest kimeneti könyvtára tartalmazza a hitelesítésszolgáltatónak való küldéshez szükséges CSR(k)t. A könyvtár tartalmaz egy gyermekkönyvtárat is, amely a tanúsítványkérelem létrehozása során használt INF-fájlokat tartalmazza. Győződjön meg arról, hogy a hitelesítésszolgáltató a létrehozott kérés használatával hoz létre tanúsítványokat, amelyek megfelelnek Azure Stack Hub PKI követelményeinek.

Következő lépések

PKI Azure Stack Hub tanúsítványok előkészítése