Aanvragen voor certificaatondertekening genereren voor Azure Stack HubGenerate certificate signing requests for Azure Stack Hub

U kunt het hulp programma voor de Azure Stack hub-gereedheids controle gebruiken voor het maken van aanvragen voor certificaat ondertekening (Csr's) die geschikt zijn voor een implementatie van een Azure Stack hub.You can use the Azure Stack Hub Readiness Checker tool to create Certificate Signing Requests (CSRs) suitable for an Azure Stack Hub deployment. Certificaten moeten worden aangevraagd, gegenereerd en gevalideerd met voldoende tijd om te testen vóór de implementatie.Certificates should be requested, generated, and validated with enough time to test before deployment. U kunt het hulp programma downloaden van de PowerShell Gallery.You can get the tool from the PowerShell Gallery.

U kunt het hulp programma Azure Stack hub Readiness Checker (AzsReadinessChecker) gebruiken om de volgende certificaten aan te vragen:You can use the Azure Stack Hub Readiness Checker tool (AzsReadinessChecker) to request the following certificates:

VereistenPrerequisites

Uw systeem moet voldoen aan de volgende vereisten voordat u Csr's voor PKI-certificaten genereert voor een implementatie van een Azure Stack hub:Your system should meet the following prerequisites before generating any CSRs for PKI certificates for an Azure Stack Hub deployment:

  • Microsoft Azure Stack hub-gereedheids controleprogrammaMicrosoft Azure Stack Hub Readiness Checker

  • Certificaat kenmerken:Certificate attributes:

    • Regio naamRegion name
    • Externe Fully Qualified Domain Name (FQDN)External fully qualified domain name (FQDN)
    • OnderwerpSubject
  • Windows 10 of Windows Server 2016 of hogerWindows 10 or Windows Server 2016 or later

    Notitie

    Wanneer u certificaten van uw certificerings instantie weer ontvangt, moeten de stappen in voor bereiding van Azure stack hub PKI-certificaten op hetzelfde systeem worden uitgevoerd.When you receive your certificates back from your certificate authority, the steps in Prepare Azure Stack Hub PKI certificates will need to be completed on the same system!

Aanvragen voor certificaat ondertekening genereren voor nieuwe implementatiesGenerate certificate signing requests for new deployments

Volg deze stappen om aanvragen voor certificaat ondertekening voor nieuwe Azure Stack hub PKI-certificaten voor te bereiden:Use these steps to prepare certificate signing requests for new Azure Stack Hub PKI certificates:

  1. Installeer AzsReadinessChecker via een Power shell-prompt (5,1 of hoger) door de volgende cmdlet uit te voeren:Install AzsReadinessChecker from a PowerShell prompt (5.1 or above), by running the following cmdlet:

        Install-Module Microsoft.AzureStack.ReadinessChecker
    
  2. Declareer het onderwerp.Declare the subject. Bijvoorbeeld:For example:

    $subject = "C=US,ST=Washington,L=Redmond,O=Microsoft,OU=Azure Stack Hub"
    

    Notitie

    Als er een common name (CN) wordt opgegeven, wordt deze geconfigureerd op elke certificaat aanvraag.If a common name (CN) is supplied, it will be configured on every certificate request. Als een CN wordt wegge laten, wordt de eerste DNS-naam van de Azure Stack hub-service geconfigureerd voor de certificaat aanvraag.If a CN is omitted, the first DNS name of the Azure Stack Hub service will be configured on the certificate request.

  3. Declareer een uitvoermap die al bestaat.Declare an output directory that already exists. Bijvoorbeeld:For example:

    $outputDirectory = "$ENV:USERPROFILE\Documents\AzureStackCSR"
    
  4. Identiteits systeem declareren.Declare identity system.

    Azure Active Directory (Azure AD):Azure Active Directory (Azure AD):

    $IdentitySystem = "AAD"
    

    Active Directory Federation Services (AD FS):Active Directory Federation Services (AD FS):

    $IdentitySystem = "ADFS"
    

    Notitie

    De para meter is alleen vereist voor de implementatie van CertificateType.The parameter is required only for CertificateType Deployment.

  5. Declareer de regio naam en een externe FQDN die is bedoeld voor de implementatie van de Azure stack hub.Declare region name and an external FQDN intended for the Azure Stack Hub deployment.

    $regionName = 'east'
    $externalFQDN = 'azurestack.contoso.com'
    

    Notitie

    <regionName>.<externalFQDN> vormt de basis voor het maken van alle externe DNS-namen in Azure Stack hub.<regionName>.<externalFQDN> forms the basis on which all external DNS names in Azure Stack Hub are created. In dit voor beeld is de portal portal.east.azurestack.contoso.com .In this example, the portal would be portal.east.azurestack.contoso.com.

  6. Aanvragen voor certificaat ondertekening genereren voor implementatie:To generate certificate signing requests for deployment:

    New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
    

    Als u certificaat aanvragen voor andere Azure Stack hub-Services wilt genereren, wijzigt u de waarde voor -CertificateType .To generate certificate requests for other Azure Stack Hub services, change the value for -CertificateType. Bijvoorbeeld:For example:

    # App Services
    New-AzsHubAppServicesCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
    
    # DBAdapter
    New-AzsHubDbAdapterCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
    
    # EventHubs
    New-AzsHubEventHubsCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
    
    # IoTHub
    New-AzsHubIoTHubCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
    
  7. Voor ontwikkel-en test omgevingen is het ook mogelijk om één certificaat aanvraag te genereren met meerdere alternatieve namen voor onderwerp add -RequestType SingleCSR para meter en value (niet aanbevolen voor productie omgevingen):Alternatively, for Dev/Test environments, to generate a single certificate request with multiple Subject Alternative Names add -RequestType SingleCSR parameter and value (not recommended for production environments):

    New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -RequestType SingleCSR -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
    
  8. Bekijk de uitvoer:Review the output:

    Starting Certificate Request Process for Deployment
    CSR generating for following SAN(s): *.adminhosting.east.azurestack.contoso.com,*.adminvault.east.azurestack.contoso.com,*.blob.east.azurestack.contoso.com,*.hosting.east.azurestack.contoso.com,*.queue.east.azurestack.contoso.com,*.table.east.azurestack.contoso.com,*.vault.east.azurestack.contoso.com,adminmanagement.east.azurestack.contoso.com,adminportal.east.azurestack.contoso.com,management.east.azurestack.contoso.com,portal.east.azurestack.contoso.com
    Present this CSR to your Certificate Authority for Certificate Generation: C:\Users\[*redacted*]\Documents\AzureStackCSR\Deployment_east_azurestack_contoso_com_SingleCSR_CertRequest_20200710165538.req
    Certreq.exe output: CertReq: Request Created
    
  9. Verzend het . Er is een inkoop bestand gegenereerd aan uw CA (intern of openbaar).Submit the .REQ file generated to your CA (either internal or public). De uitvoermap van New-AzsCertificateSigningRequest bevat de CSR (s) die nodig zijn om in te dienen bij een certificerings instantie.The output directory of New-AzsCertificateSigningRequest contains the CSR(s) necessary to submit to a Certificate Authority. De directory bevat ook een onderliggende map met de INF-bestanden die worden gebruikt tijdens het genereren van de certificaat aanvraag.The directory also contains, for your reference, a child directory containing the INF file(s) used during certificate request generation. Zorg ervoor dat uw CA certificaten genereert met behulp van de gegenereerde aanvraag die voldoet aan de Azure stack hub PKI-vereisten.Be sure that your CA generates certificates using your generated request that meet the Azure Stack Hub PKI Requirements.

Aanvragen voor certificaat ondertekening genereren voor het vernieuwen van certificatenGenerate certificate signing requests for certificate renewal

Volg deze stappen om aanvragen voor certificaat ondertekening voor te bereiden voor het vernieuwen van bestaande Azure Stack hub PKI-certificaten:Use these steps to prepare certificate signing requests for renewal of existing Azure Stack Hub PKI certificates:

  1. Installeer AzsReadinessChecker via een Power shell-prompt (5,1 of hoger) door de volgende cmdlet uit te voeren:Install AzsReadinessChecker from a PowerShell prompt (5.1 or above), by running the following cmdlet:

        Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
    
  2. Declareer de stampEndpoint in de vorm van regionname.domain.com van het Azure stack hub-systeem.Declare the stampEndpoint in the form of regionname.domain.com of the Azure Stack Hub System. Bijvoorbeeld (als het adres van de Azure Stack hub van de Tenant Portal is https:// portal.east.azurestack.contoso.com ):For example (if the Azure Stack Hub Tenant portal address is https://portal.east.azurestack.contoso.com):

    $stampEndpoint = 'east.azurestack.contoso.com'
    

    Notitie

    HTTPS-connectiviteit is vereist voor het bovenstaande Azure Stack hub-systeem.HTTPS Connectivity is required for the Azure Stack Hub system above. De gereedheids controle gebruikt de stampendpoint (regio en het domein) voor het bouwen van een verwijzing naar een bestaande certificaat dat vereist is voor het certificaat type, bijvoorbeeld voor de portal van implementatie certificaten, door het hulp programma, zodat portal.east.azurestack.contoso.com wordt gebruikt bij het klonen van certificaten, voor AppServices sso.appservices.east.azurestack.contoso.com, enzovoort. Het certificaat dat is gebonden aan het berekende eind punt wordt gebruikt om kenmerken te klonen, zoals onderwerp, sleutel lengte en handtekening algoritme.The Readiness Checker will use the stampendpoint (region and domain) to build a pointer to an existing certificates required by the certificate type e.g. for deployment certificates 'portal' is prepended, by the tool, so portal.east.azurestack.contoso.com is used in certificate cloning, for AppServices sso.appservices.east.azurestack.contoso.com etc. The certificate bound to the computed endpoint will be used to clone attributes such as subject, key length, signature algorithm. Als u een van deze kenmerken wilt wijzigen, moet u de stappen voor het genereren van certificaat handtekening aanvragen voor nieuwe implementaties in plaats daarvan volgen.If you wish to change any of these attributes you should follow the steps for Generate certificate signing request for new deployments instead.

  3. Declareer een uitvoermap die al bestaat.Declare an output directory that already exists. Bijvoorbeeld:For example:

    $outputDirectory = "$ENV:USERPROFILE\Documents\AzureStackCSR"
    
  4. Aanvragen voor certificaat ondertekening genereren voor implementatie:To generate certificate signing requests for deployment:

    New-AzsHubDeploymentCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
    

    Voor het genereren van certificaat aanvragen voor andere Azure Stack hub-Services gebruikt u:To generate certificate requests for other Azure Stack Hub services use:

    # App Services
    New-AzsHubAppServicesCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
    
    # DBAdapter
    New-AzsHubDBAdapterCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
    
    # EventHubs
    New-AzsHubEventHubsCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
    
    # IoTHub
    New-AzsHubIotHubCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
    
  5. Voor ontwikkel-en test omgevingen is het ook mogelijk om één certificaat aanvraag te genereren met meerdere alternatieve namen voor onderwerp add -RequestType SingleCSR para meter en value (niet aanbevolen voor productie omgevingen):Alternatively, for Dev/Test environments, to generate a single certificate request with multiple Subject Alternative Names add -RequestType SingleCSR parameter and value (not recommended for production environments):

    New-AzsHubDeploymentCertificateSigningRequest -StampEndpoint $stampendpoint -OutputRequestPath $OutputDirectory -RequestType SingleCSR
    
  6. Bekijk de uitvoer:Review the output:

    Querying StampEndpoint portal.east.azurestack.contoso.com for existing certificate
    Starting Certificate Request Process for Deployment
    CSR generating for following SAN(s): *.adminhosting.east.azurestack.contoso.com,*.adminvault.east.azurestack.contoso.com,*.blob.east.azurestack.contoso.com,*.hosting.east.azurestack.contoso.com,*.queue.east.azurestack.contoso.com,*.table.east.azurestack.contoso.com,*.vault.east.azurestack.contoso.com,adminmanagement.east.azurestack.contoso.com,adminportal.east.azurestack.contoso.com,management.east.azurestack.contoso.com,portal.east.azurestack.contoso.com
    Present this CSR to your Certificate Authority for Certificate Generation: C:\Users\[*redacted*]\Documents\AzureStackCSR\Deployment_east_azurestack_contoso_com_SingleCSR_CertRequest_20200710122723.req
    Certreq.exe output: CertReq: Request Created
    
  7. Verzend het . Er is een inkoop bestand gegenereerd aan uw CA (intern of openbaar).Submit the .REQ file generated to your CA (either internal or public). De uitvoermap van New-AzsCertificateSigningRequest bevat de CSR (s) die nodig zijn om in te dienen bij een certificerings instantie.The output directory of New-AzsCertificateSigningRequest contains the CSR(s) necessary to submit to a Certificate Authority. De directory bevat ook een onderliggende map met de INF-bestanden die worden gebruikt tijdens het genereren van de certificaat aanvraag.The directory also contains, for your reference, a child directory containing the INF file(s) used during certificate request generation. Zorg ervoor dat uw CA certificaten genereert met behulp van de gegenereerde aanvraag die voldoet aan de Azure stack hub PKI-vereisten.Be sure that your CA generates certificates using your generated request that meet the Azure Stack Hub PKI Requirements.

Volgende stappenNext steps

PKI-certificaten van Azure Stack hub voorbereidenPrepare Azure Stack Hub PKI certificates