Aanvragen voor certificaatondertekening genereren voor Azure Stack Hub

U gebruikt het hulpprogramma Gereedheidscontrole voor Azure Stack Hub om aanvragen voor certificaatondertekening (CDR's) te maken die geschikt zijn voor een Azure Stack Hub-implementatie of voor het vernieuwen van certificaten voor een bestaande implementatie. Het is belangrijk om certificaten aan te vragen, te genereren en te valideren met voldoende tijd om ze te testen voordat ze worden geïmplementeerd.

Het hulpprogramma wordt gebruikt om de volgende certificaten aan te vragen, op basis van de selector Een CSR-certificaatscenario kiezen bovenaan dit artikel:

• Standaardcertificaten voor een nieuwe implementatie: Kies nieuwe implementatie met behulp van de selector Een CSR-certificaatscenario kiezen boven aan dit artikel.
• Verlengingscertificaten voor een bestaande implementatie: Kies Verlenging met behulp van de selector Een CSR-certificaatscenario kiezen boven aan dit artikel.
• PaaS-certificaten (Platform-as-a-Service): kan eventueel worden gegenereerd met zowel standaard- als verlengingscertificaten. Zie de PKI-certificaatvereisten (Public Key Infrastructure) van Azure Stack Hub: optionele PaaS-certificaten voor meer informatie.

Vereisten

Voordat u CDR's voor PKI-certificaten genereert voor een Azure Stack Hub-implementatie, moet uw systeem voldoen aan de volgende vereisten:

• U moet zich op een computer met Windows 10 of hoger of Windows Server 2016 of hoger.
• Installeer het hulpprogramma Gereedheidscontrole voor Azure Stack Hub vanuit een PowerShell-prompt (5.1 of hoger) met behulp van de volgende cmdlet:

       Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
  

• U hebt de volgende kenmerken voor uw certificaat nodig:
  • Regionaam
  • Externe FQDN (Fully Qualified Domain Name)
  • Onderwerp

CDR's genereren voor nieuwe implementatiecertificaten

Notitie

Benodigde bevoegdheden zijn vereist om aanvragen voor certificaatondertekening te genereren. In beperkte omgevingen waar uitbreiding niet mogelijk is, kunt u dit hulpprogramma gebruiken om sjabloonbestanden met duidelijke tekst te genereren, die alle informatie bevatten die vereist is voor externe certificaten van Azure Stack Hub. Vervolgens moet u deze sjabloonbestanden op een sessie met verhoogde bevoegdheid gebruiken om het genereren van het openbare/persoonlijke sleutelpaar te voltooien. Zie hieronder voor meer informatie.

Voer de volgende stappen uit om CDR's voor te bereiden op nieuwe PKI-certificaten van Azure Stack Hub:

1. Open een PowerShell-sessie op de computer waarop u het hulpprogramma Gereedheidscontrole hebt geïnstalleerd.

2. Declareer de volgende variabelen:

   Notitie

   <regionName>.<externalFQDN> vormt de basis waarop alle externe DNS-namen in Azure Stack Hub worden gemaakt. In het volgende voorbeeld is portal.east.azurestack.contoso.comde portal.

   $outputDirectory = "$ENV:USERPROFILE\Documents\AzureStackCSR" # An existing output directory
   $IdentitySystem = "AAD"                     # Use "AAD" for Azure Active Director, "ADFS" for Active Directory Federation Services
   $regionName = 'east'                        # The region name for your Azure Stack Hub deployment
   $externalFQDN = 'azurestack.contoso.com'    # The external FQDN for your Azure Stack Hub deployment
   

Genereer nu de CDR's met dezelfde PowerShell-sessie. De instructies zijn specifiek voor de indeling Onderwerp die u hieronder selecteert:

Onderwerp zonder CN

Notitie

De eerste DNS-naam van de Azure Stack Hub-service wordt geconfigureerd als het CN-veld in de certificaataanvraag.

1. Een onderwerp declareren, bijvoorbeeld:

   $subject = "C=US,ST=Washington,L=Redmond,O=Microsoft,OU=Azure Stack Hub"
   

2. Genereer CDR's door een van de volgende handelingen uit te voeren:

   • Voor een productie-implementatieomgeving genereert het eerste script CDR's voor implementatiecertificaten. De tweede genereert CDR's voor optionele PaaS-services die u hebt geïnstalleerd:

     New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
     

     # App Services
     New-AzsHubAppServicesCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
     
     # DBAdapter (SQL/MySQL)
     New-AzsHubDbAdapterCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
     
     # EventHubs
     New-AzsHubEventHubsCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
     

   • Als u voor een omgeving met lage bevoegdheden een certificaatsjabloonbestand met duidelijke tekst wilt genereren met de benodigde kenmerken die zijn gedeclareerd, voegt u de -LowPrivilege parameter toe:

     New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem -LowPrivilege
     

   • Als u voor een ontwikkel- en testomgeving één CSR wilt genereren met alternatieve namen voor meerdere onderwerpen, voegt u de -RequestType SingleCSR parameter en waarde toe.

     Belangrijk

     We raden u niet aan deze benadering te gebruiken voor productieomgevingen.

     New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -RequestType SingleCSR -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
     

Onderwerp met CN

Notitie

De CN die u opgeeft, wordt geconfigureerd voor elke certificaataanvraag.

1. Een onderwerp declareren, bijvoorbeeld:

   $subject = "C=US,ST=Washington,L=Redmond,O=Microsoft,OU=Azure Stack Hub,CN=NWTraders"
   

2. Genereer CDR's door een van de volgende handelingen uit te voeren:

   • Voor een productie-implementatieomgeving genereert het eerste script CDR's voor implementatiecertificaten. De tweede genereert CDR's voor optionele PaaS-services die u hebt geïnstalleerd:

     New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
     

     # App Services
     New-AzsHubAppServicesCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
     
     # DBAdapter (SQL/MySQL)
     New-AzsHubDbAdapterCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
     
     # EventHubs
     New-AzsHubEventHubsCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
     

   • Als u voor een omgeving met lage bevoegdheden een certificaatsjabloonbestand met duidelijke tekst wilt genereren met de benodigde kenmerken die zijn gedeclareerd, voegt u de -LowPrivilege parameter toe:

     New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem -LowPrivilege
     

   • Als u voor een ontwikkel- en testomgeving één CSR wilt genereren met alternatieve namen voor meerdere onderwerpen, voegt u de -RequestType SingleCSR parameter en waarde toe.

     Belangrijk

     We raden u niet aan deze benadering te gebruiken voor productieomgevingen.

     New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -RequestType SingleCSR -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
     

Onderwerp met alleen CN

Notitie

Het hulpprogramma Gereedheidscontrole genereert een CN voor elk certificaat en er worden geen andere relatieve DN-namen opgenomen in het onderwerp.

1. Genereer CDR's door een van de volgende handelingen uit te voeren:

   • Voor een productie-implementatieomgeving genereert het eerste script CDR's voor implementatiecertificaten. De tweede genereert CDR's voor optionele PaaS-services die u hebt geïnstalleerd:

     New-AzsCertificateSigningRequest -CertificateType Deployment -RegionName $regionName -FQDN $externalFQDN -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
     

     # App Services
     New-AzsCertificateSigningRequest -CertificateType AppServices -RegionName $regionName -FQDN $externalFQDN -OutputRequestPath $OutputDirectory
     
     # DBAdapter (SQL/MySQL)
     New-AzsCertificateSigningRequest -CertificateType DbAdapter -RegionName $regionName -FQDN $externalFQDN -OutputRequestPath $OutputDirectory
     
     # EventHubs
     New-AzsCertificateSigningRequest -CertificateType EventHubs -RegionName $regionName -FQDN $externalFQDN -OutputRequestPath $OutputDirectory
     

   • Als u voor een ontwikkel- en testomgeving één CSR wilt genereren met alternatieve namen voor meerdere onderwerpen, voegt u de -RequestType SingleCSR parameter en waarde toe.

     Belangrijk

     We raden u niet aan deze benadering te gebruiken voor productieomgevingen.

     New-AzsCertificateSigningRequest -CertificateType Deployment -RegionName $regionName -FQDN $externalFQDN -RequestType SingleCSR -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
     

Voltooi de laatste stappen:

1. Controleer de uitvoer:

   Starting Certificate Request Process for Deployment
   CSR generating for following SAN(s): *.adminhosting.east.azurestack.contoso.com,*.adminvault.east.azurestack.contoso.com,*.blob.east.azurestack.contoso.com,*.hosting.east.azurestack.contoso.com,*.queue.east.azurestack.contoso.com,*.table.east.azurestack.contoso.com,*.vault.east.azurestack.contoso.com,adminmanagement.east.azurestack.contoso.com,adminportal.east.azurestack.contoso.com,management.east.azurestack.contoso.com,portal.east.azurestack.contoso.com
   Present this CSR to your Certificate Authority for Certificate Generation:  C:\Users\username\Documents\AzureStackCSR\Deployment_east_azurestack_contoso_com_SingleCSR_CertRequest_20200710165538.req
   Certreq.exe output: CertReq: Request Created
   

2. Als de -LowPrivilege parameter is gebruikt, is er een .inf-bestand gegenereerd in de C:\Users\username\Documents\AzureStackCSR submap. Bijvoorbeeld:

   C:\Users\username\Documents\AzureStackCSR\Deployment_east_azurestack_contoso_com_SingleCSR_CertRequest_20200710165538_ClearTextTemplate.inf

   Kopieer het bestand naar een systeem waar uitbreiding is toegestaan en onderteken elke aanvraag met certreq behulp van de volgende syntaxis: certreq -new <example.inf> <example.req> Voltooi vervolgens de rest van het proces op dat verhoogde systeem, omdat hiervoor het nieuwe certificaat is vereist dat wordt ondertekend door de CA met de persoonlijke sleutel, die wordt gegenereerd op het verhoogde systeem.

• De regio van uw systeem en de externe domeinnaam (FQDN) worden gebruikt door de Gereedheidscontrole om het eindpunt te bepalen voor het extraheren van kenmerken uit uw bestaande certificaten. Als een van de volgende opties van toepassing is op uw scenario, moet u bovenaan dit artikel de selector Kiezen voor een CSR-certificaatscenario gebruiken en in plaats daarvan de nieuwe implementatieversie van dit artikel kiezen:
  • U wilt de kenmerken van certificaten op het eindpunt wijzigen, zoals onderwerp, sleutellengte en handtekeningalgoritmen.
  • U wilt een certificaatonderwerp gebruiken dat alleen het kenmerk Algemene naam bevat.
• Controleer of u HTTPS-connectiviteit hebt voor uw Azure Stack Hub-systeem voordat u begint.

CDR's genereren voor verlengingscertificaten

In deze sectie vindt u informatie over de voorbereiding van CDR's voor het vernieuwen van bestaande PKI-certificaten van Azure Stack Hub.

CDR's genereren

1. Open een PowerShell-sessie op de computer waarop u het hulpprogramma Gereedheidscontrole hebt geïnstalleerd.

2. Declareer de volgende variabelen:

   Notitie

   De Gereedheidscontrole gebruikt stampEndpoint plus een vooraf gedefinieerde tekenreeks om bestaande certificaten te vinden. Wordt bijvoorbeeld portal.east.azurestack.contoso.com gebruikt voor implementatiecertificaten, sso.appservices.east.azurestack.contoso.com voor app-servicescertificaten, enzovoort.

   $regionName = 'east'                                            # The region name for your Azure Stack Hub deployment
   $externalFQDN = 'azurestack.contoso.com'                        # The external FQDN for your Azure Stack Hub deployment    
   $stampEndpoint = "$regionName.$externalFQDN"
   $outputDirectory = "$ENV:USERPROFILE\Documents\AzureStackCSR"   # Declare the path to an existing output directory
   

3. Genereer CDR's door een of meer van de volgende handelingen uit te voeren:

   • Voor een productieomgeving genereert het eerste script CDR's voor implementatiecertificaten. De tweede genereert CDR's voor eventuele optionele PaaS-services die u hebt geïnstalleerd:

     New-AzsHubDeploymentCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
     

     # App Services
     New-AzsHubAppServicesCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
     
     # DBAdapter
     New-AzsHubDBAdapterCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
     
     # EventHubs
     New-AzsHubEventHubsCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
     

   • Als u voor een ontwikkel- en testomgeving één CSR wilt genereren met alternatieve namen voor meerdere onderwerpen, voegt u de -RequestType SingleCSR parameter en waarde toe.

     Belangrijk

     We raden u niet aan deze benadering te gebruiken voor productieomgevingen.

     New-AzsHubDeploymentCertificateSigningRequest -StampEndpoint $stampendpoint -OutputRequestPath $OutputDirectory -RequestType SingleCSR
     

4. Controleer de uitvoer:

   Querying StampEndpoint portal.east.azurestack.contoso.com for existing certificate
   Starting Certificate Request Process for Deployment
   CSR generating for following SAN(s): *.adminhosting.east.azurestack.contoso.com,*.adminvault.east.azurestack.contoso.com,*.blob.east.azurestack.contoso.com,*.hosting.east.azurestack.contoso.com,*.queue.east.azurestack.contoso.com,*.table.east.azurestack.contoso.com,*.vault.east.azurestack.contoso.com,adminmanagement.east.azurestack.contoso.com,adminportal.east.azurestack.contoso.com,management.east.azurestack.contoso.com,portal.east.azurestack.contoso.com
   Present this CSR to your certificate authority for certificate generation: C:\Users\username\Documents\AzureStackCSR\Deployment_east_azurestack_contoso_com_SingleCSR_CertRequest_20200710122723.req
   Certreq.exe output: CertReq: Request Created
   

Wanneer u klaar bent, dient u het gegenereerde .req-bestand in bij uw CA (intern of openbaar). De map die door de $outputDirectory variabele is opgegeven, bevat de CDR's die moeten worden verzonden naar een CA. De map bevat ook een onderliggende map met de .inf-bestanden die moeten worden gebruikt tijdens het genereren van certificaataanvragen. Zorg ervoor dat uw CA certificaten genereert met behulp van een gegenereerde aanvraag die voldoet aan de PKI-vereisten van Azure Stack Hub.

Volgende stappen

Zodra u uw certificaten van uw certificeringsinstantie hebt ontvangen, volgt u de stappen in PKI-certificaten van Azure Stack Hub voorbereiden op hetzelfde systeem.