Przygotowanie certyfikatów PKI centrum Azure Stack na potrzeby wdrażania lub rotacjiPrepare Azure Stack Hub PKI certificates for deployment or rotation

Uwaga

Ten artykuł dotyczy tylko przygotowania certyfikatów zewnętrznych, które są używane do zabezpieczania punktów końcowych w ramach zewnętrznej infrastruktury i usług.This article pertains to the preparation of external certificates only, which are used to secure endpoints on external infrastructure and services. Certyfikaty wewnętrzne są zarządzane oddzielnie w trakcie procesu rotacji certyfikatu.Internal certificates are managed separately, during the certificate rotation process.

Pliki certyfikatów uzyskane z urzędu certyfikacji (CA) muszą zostać zaimportowane i wyeksportowane z właściwościami zgodnymi z wymaganiami dotyczącymi certyfikatów centrum Azure Stack.The certificate files obtained from the certificate authority (CA) must be imported and exported with properties matching Azure Stack Hub's certificate requirements.

W tym artykule dowiesz się, jak importować, pakietować i sprawdzać poprawność certyfikatów zewnętrznych, aby przygotować się do rotacji wdrożenia centrum Azure Stack lub wpisów tajnych.In this article you learn how to import, package, and validate external certificates, to prepare for Azure Stack Hub deployment or secrets rotation.

Wymagania wstępnePrerequisites

Przed przystąpieniem certyfikatów PKI do wdrożenia centrum Azure Stack system powinien spełniać następujące wymagania wstępne:Your system should meet the following prerequisites before packaging PKI certificates for an Azure Stack Hub deployment:

  • Certyfikaty zwrócone przez urząd certyfikacji są przechowywane w jednym katalogu w formacie CER (inne konfigurowalne formaty, takie jak. CERT,. SST lub. pfx).Certificates returned from Certificate Authority are stored in a single directory, in .cer format (other configurable formats such as .cert, .sst or .pfx).
  • Windows 10 lub Windows Server 2016 lub nowszyWindows 10, or Windows Server 2016 or later
  • Użyj tego samego systemu, który wygenerował żądanie podpisania certyfikatu (chyba że jako docelowy certyfikat jest opakowany do PFXs).Use the same system that generated the Certificate Signing Request (unless you're targeting a certificate prepackaged into PFXs).

Przejdź do odpowiedniej sekcji przygotowanie certyfikatów (Azure Stack sprawdzanie gotowości) lub Przygotuj certyfikaty (kroki ręczne) .Continue to the appropriate Prepare certificates (Azure Stack readiness checker) or Prepare certificates (manual steps) section.

Przygotowanie certyfikatów (Azure Stack sprawdzanie gotowości)Prepare certificates (Azure Stack readiness checker)

Wykonaj następujące kroki, aby spakować certyfikaty przy użyciu poleceń cmdlet programu PowerShell Azure Stack sprawdzania gotowości:Use these steps to package certificates using the Azure Stack readiness checker PowerShell cmdlets:

  1. Zainstaluj moduł sprawdzania gotowości Azure Stack z poziomu wiersza polecenia programu PowerShell (5,1 lub nowszego), uruchamiając następujące polecenie cmdlet:Install the Azure Stack readiness checker module from a PowerShell prompt (5.1 or above), by running the following cmdlet:

        Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
    
  2. Określ ścieżkę do plików certyfikatów.Specify the Path to the certificate files. Na przykład:For example:

        $Path = "$env:USERPROFILE\Documents\AzureStack"
    
  3. Zadeklaruj pfxPassword.Declare the pfxPassword. Na przykład:For example:

        $pfxPassword = Read-Host -AsSecureString -Prompt "PFX Password"
    
  4. Zadeklaruj ExportPath , w którym zostaną wyeksportowane wyniki PFXs.Declare the ExportPath where the resulting PFXs will be exported to. Na przykład:For example:

        $ExportPath = "$env:USERPROFILE\Documents\AzureStack"
    
  5. Przekonwertuj certyfikaty na Azure Stack certyfikaty centrum.Convert certificates to Azure Stack Hub Certificates. Na przykład:For example:

        ConvertTo-AzsPFX -Path $Path -pfxPassword $pfxPassword -ExportPath $ExportPath
    
  6. Przejrzyj dane wyjściowe:Review the output:

    ConvertTo-AzsPFX v1.2005.1286.272 started.
    
    Stage 1: Scanning Certificates
        Path: C:\Users\[*redacted*]\Documents\AzureStack Filter: CER Certificate count: 11
        adminmanagement_east_azurestack_contoso_com_CertRequest_20200710235648.cer
        adminportal_east_azurestack_contoso_com_CertRequest_20200710235645.cer
        management_east_azurestack_contoso_com_CertRequest_20200710235644.cer
        portal_east_azurestack_contoso_com_CertRequest_20200710235646.cer
        wildcard_adminhosting_east_azurestack_contoso_com_CertRequest_20200710235649.cer
        wildcard_adminvault_east_azurestack_contoso_com_CertRequest_20200710235642.cer
        wildcard_blob_east_azurestack_contoso_com_CertRequest_20200710235653.cer
        wildcard_hosting_east_azurestack_contoso_com_CertRequest_20200710235652.cer
        wildcard_queue_east_azurestack_contoso_com_CertRequest_20200710235654.cer
        wildcard_table_east_azurestack_contoso_com_CertRequest_20200710235650.cer
        wildcard_vault_east_azurestack_contoso_com_CertRequest_20200710235647.cer
    
    Detected ExternalFQDN: east.azurestack.contoso.com
    
    Stage 2: Exporting Certificates
        east.azurestack.contoso.com\Deployment\ARM Admin\ARMAdmin.pfx
        east.azurestack.contoso.com\Deployment\Admin Portal\AdminPortal.pfx
        east.azurestack.contoso.com\Deployment\ARM Public\ARMPublic.pfx
        east.azurestack.contoso.com\Deployment\Public Portal\PublicPortal.pfx
        east.azurestack.contoso.com\Deployment\Admin Extension Host\AdminExtensionHost.pfx
        east.azurestack.contoso.com\Deployment\KeyVaultInternal\KeyVaultInternal.pfx
        east.azurestack.contoso.com\Deployment\ACSBlob\ACSBlob.pfx
        east.azurestack.contoso.com\Deployment\Public Extension Host\PublicExtensionHost.pfx
        east.azurestack.contoso.com\Deployment\ACSQueue\ACSQueue.pfx
        east.azurestack.contoso.com\Deployment\ACSTable\ACSTable.pfx
        east.azurestack.contoso.com\Deployment\KeyVault\KeyVault.pfx
    
    Stage 3: Validating Certificates.
    
    Validating east.azurestack.contoso.com-Deployment-AAD certificates in C:\Users\[*redacted*]\Documents\AzureStack\east.azurestack.contoso.com\Deployment 
    
    Testing: KeyVaultInternal\KeyVaultInternal.pfx
    Thumbprint: E86699****************************4617D6
        PFX Encryption: OK
        Expiry Date: OK
        Signature Algorithm: OK
        DNS Names: OK
        Key Usage: OK
        Key Length: OK
        Parse PFX: OK
        Private Key: OK
        Cert Chain: OK
        Chain Order: OK
        Other Certificates: OK
    Testing: ARM Public\ARMPublic.pfx
        ...
    Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
    ConvertTo-AzsPFX Completed
    

    Uwaga

    Aby skorzystać z dodatkowego użycia ConvertTo-AzsPFX get-help, zapełnienia do dalszych zastosowań, takich jak wyłączenie walidacji lub filtrowanie dla różnych formatów certyfikatów.For additional usage use Get-help ConvertTo-AzsPFX -Full for further usage such as disabling validation or filtering for different certificate formats.

    Po pomyślnym sprawdzeniu poprawności certyfikatu można przedstawić na potrzeby wdrożenia lub rotacji bez dodatkowych kroków.Following a successful validation certificates can be presented for Deployment or Rotation without any additional steps.

Przygotuj certyfikaty (kroki ręczne)Prepare certificates (manual steps)

Poniższe kroki służą do pakowania certyfikatów dla nowych certyfikatów PKI centrum Azure Stack przy użyciu kroków ręcznych.Use these steps to package certificates for new Azure Stack Hub PKI certificates using manual steps.

Importuj certyfikatImport the certificate

  1. Skopiuj oryginalne wersje certyfikatów uzyskane z wybranego urzędu certyfikacji do katalogu na hoście wdrożenia.Copy the original certificate versions obtained from your CA of choice into a directory on the deployment host.

    Ostrzeżenie

    Nie należy kopiować plików, które zostały już zaimportowane, wyeksportowane lub zmienione w dowolny sposób z plików udostępnionych bezpośrednio przez urząd certyfikacji.Don't copy files that have already been imported, exported, or altered in any way from the files provided directly by the CA.

  2. Kliknij prawym przyciskiem myszy certyfikat, a następnie wybierz opcję Zainstaluj certyfikat lub Zainstaluj plik PFX w zależności od tego, jak certyfikat został dostarczony z urzędu certyfikacji.Right-click on the certificate and select Install Certificate or Install PFX, depending on how the certificate was delivered from your CA.

  3. W Kreatorze importu certyfikatów wybierz pozycję komputer lokalny jako lokalizację importu.In the Certificate Import Wizard, select Local Machine as the import location. Wybierz pozycję Dalej.Select Next. Na poniższym ekranie wybierz ponownie przycisk Dalej.On the following screen, select next again.

    Lokalizacja importowania maszyny lokalnej dla certyfikatu

  4. Wybierz pozycję Umieść wszystkie certyfikaty w następującym magazynie , a następnie wybierz opcję zaufanie przedsiębiorstwa jako lokalizację.Choose Place all certificate in the following store and then select Enterprise Trust as the location. Wybierz przycisk OK , aby zamknąć okno dialogowe wybór magazynu certyfikatów, a następnie wybierz przycisk dalej.Select OK to close the certificate store selection dialog box and then select Next.

    Konfigurowanie magazynu certyfikatów na potrzeby importowania certyfikatów

    a.a. W przypadku importowania pliku PFX zostanie wyświetlone dodatkowe okno dialogowe.If you're importing a PFX, you'll be presented with an additional dialog. Na stronie Ochrona klucza prywatnego wprowadź hasło dla plików certyfikatów, a następnie włącz opcję Oznacz ten klucz jako eksportowalny.On the Private key protection page, enter the password for your certificate files and then enable the Mark this key as exportable. możliwość późniejszego utworzenia kopii zapasowej lub przetransportowania kluczy.option, allowing you to back up or transport your keys later. Wybierz pozycję Dalej.Select Next.

    Oznacz klucz jako eksportowalny

  5. Wybierz pozycję Zakończ , aby ukończyć importowanie.Select Finish to complete the import.

Uwaga

Po zaimportowaniu certyfikatu dla Azure Stack centrum klucz prywatny certyfikatu jest przechowywany jako plik PKCS 12 (PFX) w magazynie klastrowanym.After you import a certificate for Azure Stack Hub, the private key of the certificate is stored as a PKCS 12 file (PFX) on clustered storage.

Eksportowanie certyfikatuExport the certificate

Otwórz konsolę MMC Menedżera certyfikatów i nawiąż połączenie z magazynem certyfikatów na komputerze lokalnym.Open Certificate Manager MMC console and connect to the Local Machine certificate store.

  1. Otwórz program Microsoft Management Console.Open the Microsoft Management Console. Aby otworzyć konsolę programu w systemie Windows 10, kliknij prawym przyciskiem myszy menu Start, wybierz polecenie Uruchom, a następnie wpisz MMC i naciśnij klawisz ENTER.To open the console in Windows 10, right-click on the Start Menu, select Run, then type mmc and press enter.

  2. Wybierz pozycję plik > Dodaj/Usuń przystawkę, a następnie wybierz pozycję Certyfikaty i wybierz pozycję Dodaj.Select File > Add/Remove Snap-In, then select Certificates and select Add.

    Dodaj przystawkę Certyfikaty w programie Microsoft Management Console

  3. Wybierz pozycję konto komputera, a następnie wybierz pozycję dalej.Select Computer account, then select Next. Wybierz pozycję komputer lokalny , a następnie przycisk Zakończ.Select Local computer and then Finish. Wybierz przycisk OK , aby zamknąć stronę Dodawanie/usuwanie Snap-In.Select OK to close the Add/Remove Snap-In page.

    Wybierz pozycję konto dla przystawki Dodawanie certyfikatów w programie Microsoft Management Console

  4. Przejdź do pozycji Certyfikaty > certyfikat zaufania przedsiębiorstwa > .Browse to Certificates > Enterprise Trust > Certificate location. Sprawdź, czy certyfikat jest widoczny po prawej stronie.Verify that you see your certificate on the right.

  5. Na pasku zadań konsoli Menedżera certyfikatów wybierz kolejno pozycje Akcje > wszystkie zadania > Eksportuj.From the Certificate Manager Console taskbar, select Actions > All Tasks > Export. Wybierz pozycję Dalej.Select Next.

    Uwaga

    W zależności od liczby posiadanych certyfikatów centrum Azure Stack może być konieczne przeprowadzenie tego procesu więcej niż raz.Depending on how many Azure Stack Hub certificates you have, you may need to complete this process more than once.

  6. Wybierz opcję tak, eksportuj klucz prywatny, a następnie wybierz przycisk dalej.Select Yes, Export the Private Key, and then select Next.

  7. W sekcji Format pliku eksportu:In the Export File Format section:

    • Jeśli to możliwe, wybierz opcję Dołącz wszystkie certyfikaty w certyfikacie.Select Include all certificates in the certificate if possible.

    • Wybierz opcję Eksportuj wszystkie właściwości rozszerzone.Select Export all Extended Properties.

    • Wybierz pozycję Włącz prywatność certyfikatu.Select Enable certificate privacy.

    • Wybierz pozycję Dalej.Select Next.

      Kreator eksportu certyfikatów z wybranymi opcjami

  8. Wybierz pozycję hasło , a następnie podaj hasło dla certyfikatów.Select Password and provide a password for the certificates. Utwórz hasło spełniające następujące wymagania dotyczące złożoności haseł:Create a password that meets the following password complexity requirements:

    • Minimalna długość osiem znaków.A minimum length of eight characters.
    • Co najmniej trzy z następujących znaków: wielkie litery, małe litery, cyfry od 0-9, znaki specjalne, znak alfanumeryczny, który nie jest pisany wielkimi literami ani małymi literami.At least three of the following characters: uppercase letter, lowercase letter, numbers from 0-9, special characters, alphabetical character that's not uppercase or lowercase.

    Zanotuj to hasło.Make note of this password. Będzie on używany jako parametr wdrożenia.You'll use it as a deployment parameter.

  9. Wybierz pozycję Dalej.Select Next.

  10. Wybierz nazwę pliku i lokalizację pliku PFX do wyeksportowania.Choose a file name and location for the PFX file to export. Wybierz pozycję Dalej.Select Next.

  11. Wybierz pozycję Zakończ.Select Finish.

Następne krokiNext steps

Weryfikowanie certyfikatów PKIValidate PKI certificates