배포 또는 회전을 위한 Azure Stack Hub PKI 인증서 준비

참고

이 문서에서는 외부 인프라 및 서비스의 엔드포인트를 보호하는 데 사용되는 외부 인증서 준비에만 관련됩니다. 내부 인증서는 인증서 회전 프로세스 중에 별도로 관리됩니다.

CA(인증 기관)에서 가져온 인증서 파일을 가져와서 Azure Stack Hub의 인증서 요구 사항과 일치하는 속성으로 내보내야 합니다.

이 문서에서는 외부 인증서를 가져오고, 패키지하고, 유효성을 검사하여 Azure Stack Hub 배포 또는 비밀 회전을 준비하는 방법을 알아봅니다.

사전 요구 사항

시스템은 Azure Stack Hub 배포를 위해 PKI 인증서를 패키징하기 전에 다음 필수 조건을 충족해야 합니다.

  • 인증 기관에서 반환된 인증서는 .cer 형식(.cert, .sst 또는 .pfx와 같은 기타 구성 가능한 형식)으로 단일 디렉터리에 저장됩니다.
  • Windows 10 또는 Windows Server 2016 이상.
  • 인증서 서명 요청을 생성한 것과 동일한 시스템을 사용합니다(PFX로 미리 패키지된 인증서를 대상으로 하지 않는 한).
  • 관리자 권한 PowerShell 세션을 사용합니다.

적절한 인증서 준비(Azure Stack 준비 검사기) 또는 인증서 준비(수동 단계) 섹션으로 계속 진행합니다.

인증서 준비(Azure Stack 준비 검사기)

다음 단계를 사용하여 Azure Stack 준비 검사기 PowerShell cmdlet을 사용하여 인증서를 패키지합니다.

  1. 다음 cmdlet을 실행하여 PowerShell 프롬프트(5.1 이상)에서 Azure Stack 준비 검사기 모듈을 설치합니다.

        Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
    
  2. 인증서 파일의 경로를 지정합니다. 예를 들면 다음과 같습니다.

        $Path = "$env:USERPROFILE\Documents\AzureStack"
    
  3. pfxPassword를 선언합니다. 예를 들면 다음과 같습니다.

        $pfxPassword = Read-Host -AsSecureString -Prompt "PFX Password"
    
  4. 결과 PFX를 내보낼 ExportPath 를 선언합니다. 예를 들면 다음과 같습니다.

        $ExportPath = "$env:USERPROFILE\Documents\AzureStack"
    
  5. 인증서를 Azure Stack Hub 인증서로 변환합니다. 예를 들면 다음과 같습니다.

        ConvertTo-AzsPFX -Path $Path -pfxPassword $pfxPassword -ExportPath $ExportPath
    
  6. 출력을 검토합니다.

    ConvertTo-AzsPFX v1.2005.1286.272 started.
    
    Stage 1: Scanning Certificates
        Path: C:\Users\[*redacted*]\Documents\AzureStack Filter: CER Certificate count: 11
        adminmanagement_east_azurestack_contoso_com_CertRequest_20200710235648.cer
        adminportal_east_azurestack_contoso_com_CertRequest_20200710235645.cer
        management_east_azurestack_contoso_com_CertRequest_20200710235644.cer
        portal_east_azurestack_contoso_com_CertRequest_20200710235646.cer
        wildcard_adminhosting_east_azurestack_contoso_com_CertRequest_20200710235649.cer
        wildcard_adminvault_east_azurestack_contoso_com_CertRequest_20200710235642.cer
        wildcard_blob_east_azurestack_contoso_com_CertRequest_20200710235653.cer
        wildcard_hosting_east_azurestack_contoso_com_CertRequest_20200710235652.cer
        wildcard_queue_east_azurestack_contoso_com_CertRequest_20200710235654.cer
        wildcard_table_east_azurestack_contoso_com_CertRequest_20200710235650.cer
        wildcard_vault_east_azurestack_contoso_com_CertRequest_20200710235647.cer
    
    Detected ExternalFQDN: east.azurestack.contoso.com
    
    Stage 2: Exporting Certificates
        east.azurestack.contoso.com\Deployment\ARM Admin\ARMAdmin.pfx
        east.azurestack.contoso.com\Deployment\Admin Portal\AdminPortal.pfx
        east.azurestack.contoso.com\Deployment\ARM Public\ARMPublic.pfx
        east.azurestack.contoso.com\Deployment\Public Portal\PublicPortal.pfx
        east.azurestack.contoso.com\Deployment\Admin Extension Host\AdminExtensionHost.pfx
        east.azurestack.contoso.com\Deployment\KeyVaultInternal\KeyVaultInternal.pfx
        east.azurestack.contoso.com\Deployment\ACSBlob\ACSBlob.pfx
        east.azurestack.contoso.com\Deployment\Public Extension Host\PublicExtensionHost.pfx
        east.azurestack.contoso.com\Deployment\ACSQueue\ACSQueue.pfx
        east.azurestack.contoso.com\Deployment\ACSTable\ACSTable.pfx
        east.azurestack.contoso.com\Deployment\KeyVault\KeyVault.pfx
    
    Stage 3: Validating Certificates.
    
    Validating east.azurestack.contoso.com-Deployment-AAD certificates in C:\Users\[*redacted*]\Documents\AzureStack\east.azurestack.contoso.com\Deployment 
    
    Testing: KeyVaultInternal\KeyVaultInternal.pfx
    Thumbprint: E86699****************************4617D6
        PFX Encryption: OK
        Expiry Date: OK
        Signature Algorithm: OK
        DNS Names: OK
        Key Usage: OK
        Key Length: OK
        Parse PFX: OK
        Private Key: OK
        Cert Chain: OK
        Chain Order: OK
        Other Certificates: OK
    Testing: ARM Public\ARMPublic.pfx
        ...
    Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
    ConvertTo-AzsPFX Completed
    

    참고

    추가 사용의 경우 유효성 검사를 사용하지 않도록 설정하거나 다른 인증서 형식에 대한 필터링과 같은 추가 사용을 위해 Get-help ConvertTo-AzsPFX -Full을 사용합니다.

    추가 단계 없이 배포 또는 회전에 대해 성공적인 유효성 검사 인증서를 표시할 수 있습니다.

인증서 준비(수동 단계)

수동 단계를 사용하여 새 Azure Stack Hub PKI 인증서에 대한 인증서를 패키지하려면 다음 단계를 사용합니다.

인증서 가져오기

  1. 선택한 CA에서 가져온 원래 인증서 버전을 배포 호스트의 디렉터리에 복사합니다.

    경고

    CA에서 직접 제공한 파일에서 이미 가져오거나 내보내거나 변경한 파일을 복사하지 마세요.

  2. 인증서를 마우스 오른쪽 단추로 클릭하고 CA에서 인증서를 배달한 방법에 따라 인증서 설치 또는 PFX 설치를 선택합니다.

  3. 인증서 가져오기 마법사에서 로컬 컴퓨터를 가져오기 위치로 선택합니다. 다음을 선택합니다. 다음 화면에서 다음을 다시 선택합니다.

    Local machine import location for certificate

  4. 다음 저장소에 모든 인증서를 배치한 다음, Enterprise 트러스트를 위치로 선택합니다. 확인을 선택하여 인증서 저장소 선택 대화 상자를 닫은 다음 다음을 선택합니다.

    Configure the certificate store for certificate import

    a. PFX를 가져오는 경우 추가 대화 상자가 표시됩니다. 프라이빗 키 보호 페이지에서 인증서 파일의 암호를 입력한 다음 이 키를 내보낼 수 있는 것으로 표시합니다. 옵션을 사용하면 나중에 키를 백업하거나 전송할 수 있습니다. 다음을 선택합니다.

    Mark key as exportable

  5. 마침을 선택하여 가져오기를 완료합니다.

참고

Azure Stack Hub에 대한 인증서를 가져온 후 인증서의 프라이빗 키는 클러스터형 스토리지에 PKCS 12 파일(PFX)으로 저장됩니다.

인증서 내보내기

인증서 관리자 MMC 콘솔을 열고 로컬 컴퓨터 인증서 저장소에 연결합니다.

  1. Microsoft 관리 콘솔을 엽니다. Windows 10 콘솔을 열려면 시작 메뉴를 마우스 오른쪽 단추로 클릭하고 실행을 선택한 다음 mmc를 입력하고 Enter 키를 누릅니다.

  2. FileAdd>/스냅인 제거를 선택한 다음, 인증서를 선택하고 추가를 선택합니다.

    Add Certificates Snap-in in Microsoft Management Console

  3. 컴퓨터 계정을 선택한 다음, 다음을 선택합니다. 로컬 컴퓨터를 선택한 다음 마침을 선택합니다. 확인을 선택하여 추가/제거 Snap-In 페이지를 닫습니다.

    Select account for Add Certificates Snap-in in Microsoft Management Console

  4. 인증서>EnterpriseTrustCertificate> 위치로 찾습니다. 오른쪽에 인증서가 표시되는지 확인합니다.

  5. 인증서 관리자 콘솔 작업 표시줄에서 ActionsAll>TasksExport>를 선택합니다. 다음을 선택합니다.

    참고

    Azure Stack Hub 인증서 수에 따라 이 프로세스를 두 번 이상 완료해야 할 수 있습니다.

  6. 예를 선택하고 프라이빗 키를 내보낸 다음 다음을 선택합니다.

  7. 파일 형식 내보내기 섹션에서 다음을 수행합니다.

    • 가능하면 인증서의 모든 인증서 포함을 선택합니다.

    • 확장 속성 모두 내보내기를 선택합니다.

    • 인증서 개인 정보 사용 설정을 선택합니다.

    • 새로 만들기를 선택합니다.

      Certificate export wizard with selected options

  8. 암호를 선택하고 인증서에 대한 암호를 제공합니다. 다음 암호 복잡성 요구 사항을 충족하는 암호를 만듭니다.

    • 최소 길이는 8자입니다.
    • 대문자, 소문자, 0-9의 숫자, 특수 문자, 대문자나 소문자가 아닌 사전순 문자 등 세 개 이상의 문자가 있습니다.

    이 암호를 기록해 두세요. 배포 매개 변수로 사용합니다.

  9. 새로 만들기를 선택합니다.

  10. 내보낼 PFX 파일의 파일 이름과 위치를 선택합니다. 다음을 선택합니다.

  11. 마침을 선택합니다.

다음 단계

PKI 인증서 유효성 검사