Azure Stack Hub PKI-certificaten voorbereiden voor implementatie of rotatie

  • Artikel
  • 4 minuten om te lezen

Notitie

Dit artikel heeft betrekking op de voorbereiding van alleen externe certificaten, die worden gebruikt voor het beveiligen van eindpunten op externe infrastructuur en services. Interne certificaten worden afzonderlijk beheerd tijdens het roulatieproces van het certificaat.

De certificaatbestanden die zijn verkregen van de certificeringsinstantie (CA) moeten worden geïmporteerd en geëxporteerd met eigenschappen die overeenkomen met de certificaatvereisten van Azure Stack Hub.

In dit artikel leert u hoe u externe certificaten importeert, verpakt en valideert om u voor te bereiden op azure Stack Hub-implementatie of geheimenrotatie.

Vereisten

Uw systeem moet voldoen aan de volgende vereisten voordat PKI-certificaten worden verpakt voor een Azure Stack Hub-implementatie:

  • Certificaten die worden geretourneerd door de certificeringsinstantie worden opgeslagen in één map, in CER-indeling (andere configureerbare indelingen, zoals .cert, .sst of .pfx).
  • Windows 10 of Windows Server 2016 of hoger.
  • Gebruik hetzelfde systeem dat de aanvraag voor certificaatondertekening heeft gegenereerd (tenzij u zich richt op een certificaat dat vooraf is verpakt in PFXs).
  • PowerShell-sessies met verhoogde bevoegdheden gebruiken.

Ga verder met de juiste voorbereidingscertificaten (Azure Stack-gereedheidscontrole) of de sectie Certificaten voorbereiden (handmatige stappen).

Certificaten voorbereiden (Azure Stack-gereedheidscontrole)

Gebruik deze stappen om certificaten te verpakken met behulp van de PowerShell-cmdlets voor Azure Stack-gereedheidscontrole:

  1. Installeer de azure Stack-gereedheidscontrolemodule vanaf een PowerShell-prompt (5.1 of hoger) door de volgende cmdlet uit te voeren:

        Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease

  2. Geef het pad naar de certificaatbestanden op. Bijvoorbeeld:

        $Path = "$env:USERPROFILE\Documents\AzureStack"

  3. Declareer het pfxPassword. Bijvoorbeeld:

        $pfxPassword = Read-Host -AsSecureString -Prompt "PFX Password"

  4. Declareer het ExportPath waarnaar de resulterende PFX's worden geëxporteerd. Bijvoorbeeld:

        $ExportPath = "$env:USERPROFILE\Documents\AzureStack"

  5. Certificaten converteren naar Azure Stack Hub-certificaten. Bijvoorbeeld:

        ConvertTo-AzsPFX -Path $Path -pfxPassword $pfxPassword -ExportPath $ExportPath

  6. Bekijk de uitvoer:

    ConvertTo-AzsPFX v1.2005.1286.272 started.

Stage 1: Scanning Certificates
    Path: C:\Users\[*redacted*]\Documents\AzureStack Filter: CER Certificate count: 11
    adminmanagement_east_azurestack_contoso_com_CertRequest_20200710235648.cer
    adminportal_east_azurestack_contoso_com_CertRequest_20200710235645.cer
    management_east_azurestack_contoso_com_CertRequest_20200710235644.cer
    portal_east_azurestack_contoso_com_CertRequest_20200710235646.cer
    wildcard_adminhosting_east_azurestack_contoso_com_CertRequest_20200710235649.cer
    wildcard_adminvault_east_azurestack_contoso_com_CertRequest_20200710235642.cer
    wildcard_blob_east_azurestack_contoso_com_CertRequest_20200710235653.cer
    wildcard_hosting_east_azurestack_contoso_com_CertRequest_20200710235652.cer
    wildcard_queue_east_azurestack_contoso_com_CertRequest_20200710235654.cer
    wildcard_table_east_azurestack_contoso_com_CertRequest_20200710235650.cer
    wildcard_vault_east_azurestack_contoso_com_CertRequest_20200710235647.cer

Detected ExternalFQDN: east.azurestack.contoso.com

Stage 2: Exporting Certificates
    east.azurestack.contoso.com\Deployment\ARM Admin\ARMAdmin.pfx
    east.azurestack.contoso.com\Deployment\Admin Portal\AdminPortal.pfx
    east.azurestack.contoso.com\Deployment\ARM Public\ARMPublic.pfx
    east.azurestack.contoso.com\Deployment\Public Portal\PublicPortal.pfx
    east.azurestack.contoso.com\Deployment\Admin Extension Host\AdminExtensionHost.pfx
    east.azurestack.contoso.com\Deployment\KeyVaultInternal\KeyVaultInternal.pfx
    east.azurestack.contoso.com\Deployment\ACSBlob\ACSBlob.pfx
    east.azurestack.contoso.com\Deployment\Public Extension Host\PublicExtensionHost.pfx
    east.azurestack.contoso.com\Deployment\ACSQueue\ACSQueue.pfx
    east.azurestack.contoso.com\Deployment\ACSTable\ACSTable.pfx
    east.azurestack.contoso.com\Deployment\KeyVault\KeyVault.pfx

Stage 3: Validating Certificates.

Validating east.azurestack.contoso.com-Deployment-AAD certificates in C:\Users\[*redacted*]\Documents\AzureStack\east.azurestack.contoso.com\Deployment 

Testing: KeyVaultInternal\KeyVaultInternal.pfx
Thumbprint: E86699****************************4617D6
    PFX Encryption: OK
    Expiry Date: OK
    Signature Algorithm: OK
    DNS Names: OK
    Key Usage: OK
    Key Length: OK
    Parse PFX: OK
    Private Key: OK
    Cert Chain: OK
    Chain Order: OK
    Other Certificates: OK
Testing: ARM Public\ARMPublic.pfx
    ...
Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
ConvertTo-AzsPFX Completed

    Notitie

    Voor extra gebruik gebruikt u Get-help ConvertTo-AzsPFX -Full voor verder gebruik, zoals het uitschakelen van validatie of filteren voor verschillende certificaatindelingen.

    Het volgen van een geslaagde validatiecertificaten kan worden weergegeven voor implementatie of rotatie zonder extra stappen.

Certificaten voorbereiden (handmatige stappen)

Gebruik deze stappen om certificaten te verpakken voor nieuwe Azure Stack Hub PKI-certificaten met behulp van handmatige stappen.

Het certificaat importeren

  1. Kopieer de oorspronkelijke certificaatversies die van uw CA naar keuze zijn verkregen in een map op de implementatiehost.

    Waarschuwing

    Kopieer geen bestanden die al zijn geïmporteerd, geëxporteerd of gewijzigd vanuit de bestanden die rechtstreeks door de CA zijn geleverd.

  2. Klik met de rechtermuisknop op het certificaat en selecteer Certificaat installeren of PFX installeren, afhankelijk van de wijze waarop het certificaat van uw CA is geleverd.

  3. Selecteer in de wizard Certificaat importerende optie Lokale machine als de importlocatie. Selecteer Next. Selecteer in het volgende scherm opnieuw de volgende optie.

    Local machine import location for certificate

  4. Kies Alle certificaten in het volgende archief plaatsen en selecteer vervolgens Enterprise Trust als de locatie. Selecteer OK om het selectiedialoogvenster van het certificaatarchief te sluiten en selecteer vervolgens Volgende.

    Configure the certificate store for certificate import

    a. Als u een PFX importeert, krijgt u een extra dialoogvenster te zien. Voer op de pagina Persoonlijke sleutelbeveiliging het wachtwoord voor uw certificaatbestanden in en schakel deze sleutel vervolgens in als exporteerbaar. Hiermee kunt u later een back-up van uw sleutels maken of transporteren. Selecteer Next.

    Mark key as exportable

  5. Selecteer Voltooien om het importeren te voltooien.

Notitie

Nadat u een certificaat voor Azure Stack Hub hebt geïmporteerd, wordt de persoonlijke sleutel van het certificaat opgeslagen als EEN PKCS 12-bestand (PFX) op geclusterde opslag.

Het certificaat exporteren

Open de MMC-console van Certificate Manager en maak verbinding met het certificaatarchief van de lokale machine.

  1. Open de Microsoft Management Console. Als u de console in Windows 10 wilt openen, klikt u met de rechtermuisknop op het startmenu, selecteert u Uitvoeren en typt u mmc en drukt u op Enter.

  2. Selecteer FileAdd>/Remove Snap-In en selecteer Vervolgens Certificaten en selecteer Toevoegen.

    Add Certificates Snap-in in Microsoft Management Console

  3. Selecteer Computeraccount en selecteer Vervolgens Volgende. Selecteer Lokale computer en vervolgens Voltooien. Selecteer OK om de pagina Toevoegen/verwijderen Snap-In te sluiten.

    Select account for Add Certificates Snap-in in Microsoft Management Console

  4. Blader naar de locatie CertificatesEnterprise>TrustCertificate>. Controleer of het certificaat aan de rechterkant wordt weergegeven.

  5. Selecteer ActionsAll>TasksExport> in de taakbalk van de Certificate Manager-console. Selecteer Next.

    Notitie

    Afhankelijk van het aantal Azure Stack Hub-certificaten dat u hebt, moet u dit proces mogelijk meerdere keren voltooien.

  6. Selecteer Ja, de persoonlijke sleutel exporteren en selecteer vervolgens Volgende.

  7. In de sectie Bestandsindeling exporteren:

    • Selecteer Indien mogelijk alle certificaten in het certificaat opnemen.

    • Selecteer Alle uitgebreide eigenschappen exporteren.

    • Selecteer Privacy van certificaat inschakelen.

    • Selecteer Next.

      Certificate export wizard with selected options

  8. Selecteer Wachtwoord en geef een wachtwoord op voor de certificaten. Maak een wachtwoord dat voldoet aan de volgende vereisten voor wachtwoordcomplexiteit:

    • Een minimumlengte van acht tekens.
    • Ten minste drie van de volgende tekens: hoofdletters, kleine letters, cijfers van 0-9, speciale tekens, alfabetisch teken dat geen hoofdletters of kleine letters is.

    Noteer dit wachtwoord. U gebruikt deze als implementatieparameter.

  9. Selecteer Next.

  10. Kies een bestandsnaam en locatie voor het PFX-bestand dat u wilt exporteren. Selecteer Next.

  11. Selecteer Finish.

Volgende stappen

PKI-certificaten valideren