PKI-certificaten van Azure Stack Hub voorbereiden voor implementatie of rotatie

  • Artikel

Notitie

Dit artikel heeft alleen betrekking op de voorbereiding van externe certificaten, die worden gebruikt voor het beveiligen van eindpunten op externe infrastructuur en services. Interne certificaten worden afzonderlijk beheerd tijdens het certificaatrotatieproces.

Notitie

Als u Azure Container Registry (ACR) installeert, raden we u aan de vervaldatums van uw externe ACR-certificaten uit te lijnen met de vervaldatums van uw andere externe Azure Stack Hub-certificaten. Daarnaast raden we u aan uw PFX voor ACR te beveiligen met hetzelfde wachtwoord dat u gebruikt om uw andere externe certificaat-PFX's te beveiligen.

De certificaatbestanden die zijn verkregen van de certificeringsinstantie (CA) moeten worden geïmporteerd en geëxporteerd met eigenschappen die overeenkomen met de certificaatvereisten van Azure Stack Hub.

In dit artikel leert u hoe u externe certificaten importeert, verpakt en valideert om u voor te bereiden op azure Stack Hub-implementatie of rotatie van geheimen.

Vereisten

Uw systeem moet voldoen aan de volgende vereisten voordat u PKI-certificaten inpakt voor een Azure Stack Hub-implementatie:

  • Certificaten die worden geretourneerd door de certificeringsinstantie, worden opgeslagen in één map, in cer-indeling (andere configureerbare indelingen, zoals .cert, .sst of .pfx).
  • Windows 10 of Windows Server 2016 of hoger.
  • Gebruik hetzelfde systeem dat de aanvraag voor certificaatondertekening heeft gegenereerd (tenzij u zich richt op een certificaat dat vooraf is verpakt in PFX's).
  • PowerShell-sessies met verhoogde bevoegdheid gebruiken.

Ga door naar de juiste sectie Certificaten voorbereiden (Azure Stack-gereedheidscontrole) of Certificaten voorbereiden (handmatige stappen).

Certificaten voorbereiden (Azure Stack-gereedheidscontrole)

Gebruik deze stappen om certificaten te verpakken met behulp van de PowerShell-cmdlets voor gereedheidscontrole van Azure Stack:

  1. Installeer de module Azure Stack-gereedheidscontrole vanaf een PowerShell-prompt (5.1 of hoger) door de volgende cmdlet uit te voeren:

        Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease

  2. Geef het pad naar de certificaatbestanden op. Bijvoorbeeld:

        $Path = "$env:USERPROFILE\Documents\AzureStack"

  3. Declareer het pfxPassword. Bijvoorbeeld:

        $pfxPassword = Read-Host -AsSecureString -Prompt "PFX Password"

  4. Declareer het ExportPath waarnaar de resulterende PFX's worden geëxporteerd. Bijvoorbeeld:

        $ExportPath = "$env:USERPROFILE\Documents\AzureStack"

  5. Certificaten converteren naar Azure Stack Hub-certificaten. Bijvoorbeeld:

        ConvertTo-AzsPFX -Path $Path -pfxPassword $pfxPassword -ExportPath $ExportPath

  6. Controleer de uitvoer:

    ConvertTo-AzsPFX v1.2005.1286.272 started.

Stage 1: Scanning Certificates
    Path: C:\Users\[*redacted*]\Documents\AzureStack Filter: CER Certificate count: 11
    adminmanagement_east_azurestack_contoso_com_CertRequest_20200710235648.cer
    adminportal_east_azurestack_contoso_com_CertRequest_20200710235645.cer
    management_east_azurestack_contoso_com_CertRequest_20200710235644.cer
    portal_east_azurestack_contoso_com_CertRequest_20200710235646.cer
    wildcard_adminhosting_east_azurestack_contoso_com_CertRequest_20200710235649.cer
    wildcard_adminvault_east_azurestack_contoso_com_CertRequest_20200710235642.cer
    wildcard_blob_east_azurestack_contoso_com_CertRequest_20200710235653.cer
    wildcard_hosting_east_azurestack_contoso_com_CertRequest_20200710235652.cer
    wildcard_queue_east_azurestack_contoso_com_CertRequest_20200710235654.cer
    wildcard_table_east_azurestack_contoso_com_CertRequest_20200710235650.cer
    wildcard_vault_east_azurestack_contoso_com_CertRequest_20200710235647.cer

Detected ExternalFQDN: east.azurestack.contoso.com

Stage 2: Exporting Certificates
    east.azurestack.contoso.com\Deployment\ARM Admin\ARMAdmin.pfx
    east.azurestack.contoso.com\Deployment\Admin Portal\AdminPortal.pfx
    east.azurestack.contoso.com\Deployment\ARM Public\ARMPublic.pfx
    east.azurestack.contoso.com\Deployment\Public Portal\PublicPortal.pfx
    east.azurestack.contoso.com\Deployment\Admin Extension Host\AdminExtensionHost.pfx
    east.azurestack.contoso.com\Deployment\KeyVaultInternal\KeyVaultInternal.pfx
    east.azurestack.contoso.com\Deployment\ACSBlob\ACSBlob.pfx
    east.azurestack.contoso.com\Deployment\Public Extension Host\PublicExtensionHost.pfx
    east.azurestack.contoso.com\Deployment\ACSQueue\ACSQueue.pfx
    east.azurestack.contoso.com\Deployment\ACSTable\ACSTable.pfx
    east.azurestack.contoso.com\Deployment\KeyVault\KeyVault.pfx

Stage 3: Validating Certificates.

Validating east.azurestack.contoso.com-Deployment-AAD certificates in C:\Users\[*redacted*]\Documents\AzureStack\east.azurestack.contoso.com\Deployment 

Testing: KeyVaultInternal\KeyVaultInternal.pfx
Thumbprint: E86699****************************4617D6
    PFX Encryption: OK
    Expiry Date: OK
    Signature Algorithm: OK
    DNS Names: OK
    Key Usage: OK
    Key Length: OK
    Parse PFX: OK
    Private Key: OK
    Cert Chain: OK
    Chain Order: OK
    Other Certificates: OK
Testing: ARM Public\ARMPublic.pfx
    ...
Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
ConvertTo-AzsPFX Completed

    Notitie

    Voor extra gebruik gebruikt u Get-help ConvertTo-AzsPFX -Full voor verder gebruik, zoals het uitschakelen van validatie of filteren op verschillende certificaatindelingen.

    Na een geslaagde validatiecertificaten kan worden weergegeven voor implementatie of rotatie zonder extra stappen.

Certificaten voorbereiden (handmatige stappen)

Gebruik deze stappen om certificaten voor nieuwe Azure Stack Hub PKI-certificaten te verpakken met behulp van handmatige stappen.

Het certificaat importeren

  1. Kopieer de oorspronkelijke certificaatversies die zijn verkregen van uw certificeringsinstantie naar een map op de implementatiehost.

    Waarschuwing

    Kopieer geen bestanden die al zijn geïmporteerd, geëxporteerd of gewijzigd vanuit de bestanden die rechtstreeks door de CA zijn geleverd.

  2. Klik met de rechtermuisknop op het certificaat en selecteer Certificaat installeren of PFX installeren, afhankelijk van hoe het certificaat is geleverd door uw CA.

  3. Selecteer in de wizard Certificaat importerende optie Lokale computer als de importlocatie. Selecteer Next. Selecteer in het volgende scherm opnieuw Volgende.

    Importlocatie van lokale machine voor certificaat

  4. Kies Alle certificaten in het volgende archief plaatsen en selecteer vervolgens Enterprise Trust als locatie. Selecteer OK om het dialoogvenster voor het selecteren van het certificaatarchief te sluiten en selecteer vervolgens Volgende.

    Het certificaatarchief configureren voor certificaatimport

    a. Als u een PFX importeert, krijgt u een extra dialoogvenster te zien. Voer op de pagina Beveiliging met persoonlijke sleutel het wachtwoord voor uw certificaatbestanden in en schakel vervolgens de optie Deze sleutel markeren als exporteerbaar in. in, zodat u later een back-up van uw sleutels kunt maken of deze kunt transporteren. Selecteer Next.

    Sleutel markeren als exporteerbaar

  5. Selecteer Voltooien om het importeren te voltooien.

Notitie

Nadat u een certificaat voor Azure Stack Hub hebt geïmporteerd, wordt de persoonlijke sleutel van het certificaat opgeslagen als een PKCS 12-bestand (PFX) in geclusterde opslag.

Het certificaat exporteren

Open de MMC-console van Certificaatbeheer en maak verbinding met het certificaatarchief van de lokale computer.

  1. Open de Microsoft Management Console. Als u de console in Windows 10 wilt openen, klikt u met de rechtermuisknop op het startmenu, selecteert u Uitvoeren, typt u mmc en drukt u op Enter.

  2. Selecteer Bestand>Module toevoegen/verwijderen, selecteer vervolgens Certificaten en selecteer Toevoegen.

    Module Certificaten toevoegen in Microsoft Management Console

  3. Selecteer Computeraccount en selecteer vervolgens Volgende. Selecteer Lokale computer en vervolgens Voltooien. Selecteer OK om de pagina Snap-In toevoegen/verwijderen te sluiten.

    Account selecteren voor module Certificaten toevoegen in Microsoft Management Console

  4. Blader naar Certificaten>Locatie van vertrouwenscertificaat> voorondernemingen. Controleer of uw certificaat aan de rechterkant wordt weergegeven.

  5. Selecteer op de taakbalk van de Certificaatbeheerconsole de optie Acties>Alle taken>exporteren. Selecteer Next.

    Notitie

    Afhankelijk van het aantal Azure Stack Hub-certificaten dat u hebt, moet u dit proces mogelijk meerdere keren voltooien.

  6. Selecteer Ja, De persoonlijke sleutel exporteren en selecteer vervolgens Volgende.

  7. In de sectie Bestandsindeling exporteren:

    • Selecteer Indien mogelijk alle certificaten in het certificaat opnemen.

    • Selecteer Alle uitgebreide eigenschappen exporteren.

    • Selecteer Certificaatprivacy inschakelen.

    • Selecteer Next.

      Wizard Certificaat exporteren met geselecteerde opties

  8. Selecteer Wachtwoord en geef een wachtwoord op voor de certificaten. Maak een wachtwoord dat voldoet aan de volgende vereisten voor wachtwoordcomplexiteit:

    • Een minimale lengte van acht tekens.
    • Ten minste drie van de volgende tekens: hoofdletters, kleine letters, cijfers van 0-9, speciale tekens, alfabetisch teken dat geen hoofdletters of kleine letters is.

    Noteer dit wachtwoord. U gebruikt deze als een implementatieparameter.

  9. Selecteer Next.

  10. Kies een bestandsnaam en locatie voor het PFX-bestand dat u wilt exporteren. Selecteer Next.

  11. Selecteer Finish.

Volgende stappen

PKI-certificaten valideren