Gerar solicitações de assinatura de certificado para Azure Stack HubGenerate certificate signing requests for Azure Stack Hub

Você pode usar a ferramenta Verificador de preparação do Hub Azure Stack para criar solicitações de assinatura de certificado (SACs) adequadas para uma implantação de Hub de Azure Stack.You can use the Azure Stack Hub Readiness Checker tool to create Certificate Signing Requests (CSRs) suitable for an Azure Stack Hub deployment. Os certificados devem ser solicitados, gerados e validados com tempo suficiente para serem testados antes da implantação.Certificates should be requested, generated, and validated with enough time to test before deployment. Você pode obter a ferramenta no Galeria do PowerShell.You can get the tool from the PowerShell Gallery.

Você pode usar a AzsReadinessChecker (ferramenta Verificador de preparação do Hub) do Azure Stack para solicitar os seguintes certificados:You can use the Azure Stack Hub Readiness Checker tool (AzsReadinessChecker) to request the following certificates:

Pré-requisitosPrerequisites

O sistema deve atender aos seguintes pré-requisitos antes de gerar qualquer SAC para certificados PKI para uma implantação de Hub de Azure Stack:Your system should meet the following prerequisites before generating any CSRs for PKI certificates for an Azure Stack Hub deployment:

  • Verificador de preparação do Hub Microsoft Azure StackMicrosoft Azure Stack Hub Readiness Checker

  • Atributos do certificado:Certificate attributes:

    • Nome da regiãoRegion name
    • FQDN (nome de domínio totalmente qualificado) externoExternal fully qualified domain name (FQDN)
    • AssuntoSubject
  • Windows 10 ou Windows Server 2016 ou posteriorWindows 10 or Windows Server 2016 or later

    Observação

    Quando você receber seus certificados de volta da autoridade de certificação, as etapas em preparar Azure Stack certificados PKI precisarão ser concluídas no mesmo sistema!When you receive your certificates back from your certificate authority, the steps in Prepare Azure Stack Hub PKI certificates will need to be completed on the same system!

Gerar solicitações de assinatura de certificado para novas implantaçõesGenerate certificate signing requests for new deployments

Use estas etapas para preparar solicitações de assinatura de certificado para novos certificados de PKI de Hub de Azure Stack:Use these steps to prepare certificate signing requests for new Azure Stack Hub PKI certificates:

  1. Instale o AzsReadinessChecker em um prompt do PowerShell (5,1 ou superior), executando o seguinte cmdlet:Install AzsReadinessChecker from a PowerShell prompt (5.1 or above), by running the following cmdlet:

        Install-Module Microsoft.AzureStack.ReadinessChecker
    
  2. Declare o assunto.Declare the subject. Por exemplo:For example:

    $subject = "C=US,ST=Washington,L=Redmond,O=Microsoft,OU=Azure Stack Hub"
    

    Observação

    Se um CN (nome comum) for fornecido, ele será configurado em cada solicitação de certificado.If a common name (CN) is supplied, it will be configured on every certificate request. Se um CN for omitido, o primeiro nome DNS do serviço Hub de Azure Stack será configurado na solicitação de certificado.If a CN is omitted, the first DNS name of the Azure Stack Hub service will be configured on the certificate request.

  3. Declare um diretório de saída que já existe.Declare an output directory that already exists. Por exemplo:For example:

    $outputDirectory = "$ENV:USERPROFILE\Documents\AzureStackCSR"
    
  4. Declare o sistema de identidade.Declare identity system.

    Azure Active Directory (AD do Azure):Azure Active Directory (Azure AD):

    $IdentitySystem = "AAD"
    

    Serviços de Federação do Active Directory (AD FS) (AD FS):Active Directory Federation Services (AD FS):

    $IdentitySystem = "ADFS"
    

    Observação

    O parâmetro é necessário apenas para a implantação de Certificatetype.The parameter is required only for CertificateType Deployment.

  5. Declare o nome da região e um FQDN externo destinado à implantação do hub de Azure Stack.Declare region name and an external FQDN intended for the Azure Stack Hub deployment.

    $regionName = 'east'
    $externalFQDN = 'azurestack.contoso.com'
    

    Observação

    <regionName>.<externalFQDN> forma a base em que todos os nomes DNS externos no Hub Azure Stack são criados.<regionName>.<externalFQDN> forms the basis on which all external DNS names in Azure Stack Hub are created. Neste exemplo, o portal seria portal.east.azurestack.contoso.com .In this example, the portal would be portal.east.azurestack.contoso.com.

  6. Para gerar solicitações de assinatura de certificado para implantação:To generate certificate signing requests for deployment:

    New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
    

    Para gerar solicitações de certificado para outros serviços de Hub de Azure Stack, altere o valor de -CertificateType .To generate certificate requests for other Azure Stack Hub services, change the value for -CertificateType. Por exemplo:For example:

    # App Services
    New-AzsHubAppServicesCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
    
    # DBAdapter
    New-AzsHubDbAdapterCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
    
    # EventHubs
    New-AzsHubEventHubsCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
    
    # IoTHub
    New-AzsHubIoTHubCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
    
  7. Como alternativa, para ambientes de desenvolvimento/teste, para gerar uma solicitação de certificado único com nomes alternativos de entidade Add -RequestType SingleCSR e Value ( não recomendado para ambientes de produção):Alternatively, for Dev/Test environments, to generate a single certificate request with multiple Subject Alternative Names add -RequestType SingleCSR parameter and value ( not recommended for production environments):

    New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -RequestType SingleCSR -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
    
  8. Examine a saída:Review the output:

    Starting Certificate Request Process for Deployment
    CSR generating for following SAN(s): *.adminhosting.east.azurestack.contoso.com,*.adminvault.east.azurestack.contoso.com,*.blob.east.azurestack.contoso.com,*.hosting.east.azurestack.contoso.com,*.queue.east.azurestack.contoso.com,*.table.east.azurestack.contoso.com,*.vault.east.azurestack.contoso.com,adminmanagement.east.azurestack.contoso.com,adminportal.east.azurestack.contoso.com,management.east.azurestack.contoso.com,portal.east.azurestack.contoso.com
    Present this CSR to your Certificate Authority for Certificate Generation: C:\Users\[*redacted*]\Documents\AzureStackCSR\Deployment_east_azurestack_contoso_com_SingleCSR_CertRequest_20200710165538.req
    Certreq.exe output: CertReq: Request Created
    
  9. Envie o . Arquivo REQ gerado para sua CA (interno ou público).Submit the .REQ file generated to your CA (either internal or public). O diretório de saída de New-AzsCertificateSigningRequest contém os CSR (s) necessários para enviar a uma autoridade de certificação.The output directory of New-AzsCertificateSigningRequest contains the CSR(s) necessary to submit to a Certificate Authority. O diretório também contém, para sua referência, um diretório filho que contém os arquivos INF usados durante a geração da solicitação de certificado.The directory also contains, for your reference, a child directory containing the INF file(s) used during certificate request generation. Certifique-se de que sua autoridade de certificação gere certificados usando a solicitação gerada que atenda aos requisitos de PKI de Hub de Azure Stack.Be sure that your CA generates certificates using your generated request that meet the Azure Stack Hub PKI Requirements.

Gerar solicitações de assinatura de certificado para renovação de certificadoGenerate certificate signing requests for certificate renewal

Use estas etapas para preparar as solicitações de assinatura de certificado para a renovação de certificados PKI de Hub de Azure Stack existentes:Use these steps to prepare certificate signing requests for renewal of existing Azure Stack Hub PKI certificates:

  1. Instale o AzsReadinessChecker em um prompt do PowerShell (5,1 ou superior), executando o seguinte cmdlet:Install AzsReadinessChecker from a PowerShell prompt (5.1 or above), by running the following cmdlet:

        Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
    
  2. Declare o stampEndpoint na forma de RegionName.domain.com do sistema do Hub de Azure Stack.Declare the stampEndpoint in the form of regionname.domain.com of the Azure Stack Hub System. Por exemplo (se o endereço do portal de locatário do Hub Azure Stack for https:// portal.east.azurestack.contoso.com ):For example (if the Azure Stack Hub Tenant portal address is https://portal.east.azurestack.contoso.com):

    $stampEndpoint = 'east.azurestack.contoso.com'
    

    Observação

    A conectividade HTTPS é necessária para o sistema de Hub de Azure Stack acima.HTTPS Connectivity is required for the Azure Stack Hub system above. O verificador de preparação usará o stampendpoint (região e domínio) para criar um ponteiro para os certificados existentes exigidos pelo tipo de certificado, por exemplo, para certificados de implantação ' portal ' é anexado, pela ferramenta, para que portal.east.azurestack.contoso.com seja usado na clonagem de certificado, para AppServices sso.appservices.east.azurestack.contoso.com etc. O certificado associado ao ponto de extremidade computado será usado para clonar atributos como assunto, comprimento da chave, algoritmo de assinatura.The Readiness Checker will use the stampendpoint (region and domain) to build a pointer to an existing certificates required by the certificate type e.g. for deployment certificates 'portal' is prepended, by the tool, so portal.east.azurestack.contoso.com is used in certificate cloning, for AppServices sso.appservices.east.azurestack.contoso.com etc. The certificate bound to the computed endpoint will be used to clone attributes such as subject, key length, signature algorithm. Se você quiser alterar qualquer um desses atributos, deverá seguir as etapas para gerar solicitação de assinatura de certificado para novas implantações em vez disso.If you wish to change any of these attributes you should follow the steps for Generate certificate signing request for new deployments instead.

  3. Declare um diretório de saída que já existe.Declare an output directory that already exists. Por exemplo:For example:

    $outputDirectory = "$ENV:USERPROFILE\Documents\AzureStackCSR"
    
  4. Para gerar solicitações de assinatura de certificado para implantação:To generate certificate signing requests for deployment:

    New-AzsHubDeploymentCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
    

    Para gerar solicitações de certificado para outros serviços de Hub de Azure Stack, use:To generate certificate requests for other Azure Stack Hub services use:

    # App Services
    New-AzsHubAppServicesCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
    
    # DBAdapter
    New-AzsHubDBAdapterCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
    
    # EventHubs
    New-AzsHubEventHubsCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
    
    # IoTHub
    New-AzsHubIotHubCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
    
  5. Como alternativa, para ambientes de desenvolvimento/teste, para gerar uma solicitação de certificado único com nomes alternativos de entidade Add -RequestType SingleCSR e Value ( não recomendado para ambientes de produção):Alternatively, for Dev/Test environments, to generate a single certificate request with multiple Subject Alternative Names add -RequestType SingleCSR parameter and value ( not recommended for production environments):

    New-AzsHubDeploymentCertificateSigningRequest -StampEndpoint $stampendpoint -OutputRequestPath $OutputDirectory -RequestType SingleCSR
    
  6. Examine a saída:Review the output:

    Querying StampEndpoint portal.east.azurestack.contoso.com for existing certificate
    Starting Certificate Request Process for Deployment
    CSR generating for following SAN(s): *.adminhosting.east.azurestack.contoso.com,*.adminvault.east.azurestack.contoso.com,*.blob.east.azurestack.contoso.com,*.hosting.east.azurestack.contoso.com,*.queue.east.azurestack.contoso.com,*.table.east.azurestack.contoso.com,*.vault.east.azurestack.contoso.com,adminmanagement.east.azurestack.contoso.com,adminportal.east.azurestack.contoso.com,management.east.azurestack.contoso.com,portal.east.azurestack.contoso.com
    Present this CSR to your Certificate Authority for Certificate Generation: C:\Users\[*redacted*]\Documents\AzureStackCSR\Deployment_east_azurestack_contoso_com_SingleCSR_CertRequest_20200710122723.req
    Certreq.exe output: CertReq: Request Created
    
  7. Envie o . Arquivo REQ gerado para sua CA (interno ou público).Submit the .REQ file generated to your CA (either internal or public). O diretório de saída de New-AzsCertificateSigningRequest contém os CSR (s) necessários para enviar a uma autoridade de certificação.The output directory of New-AzsCertificateSigningRequest contains the CSR(s) necessary to submit to a Certificate Authority. O diretório também contém, para sua referência, um diretório filho que contém os arquivos INF usados durante a geração da solicitação de certificado.The directory also contains, for your reference, a child directory containing the INF file(s) used during certificate request generation. Certifique-se de que sua autoridade de certificação gere certificados usando a solicitação gerada que atenda aos requisitos de PKI de Hub de Azure Stack.Be sure that your CA generates certificates using your generated request that meet the Azure Stack Hub PKI Requirements.

Próximas etapasNext steps

Preparar certificados PKI de Hub de Azure StackPrepare Azure Stack Hub PKI certificates