Preparar certificados PKI de Hub de Azure Stack para implantação ou rotaçãoPrepare Azure Stack Hub PKI certificates for deployment or rotation

Observação

Este artigo pertence à preparação de certificados externos, que são usados para proteger pontos de extremidade em infraestrutura e serviços externos.This article pertains to the preparation of external certificates only, which are used to secure endpoints on external infrastructure and services. Os certificados internos são gerenciados separadamente, durante o processo de rotação do certificado.Internal certificates are managed separately, during the certificate rotation process.

Os arquivos de certificado obtidos da autoridade de certificação (CA) devem ser importados e exportados com propriedades correspondentes aos requisitos de certificado do Hub Azure Stack.The certificate files obtained from the certificate authority (CA) must be imported and exported with properties matching Azure Stack Hub's certificate requirements.

Neste artigo, você aprenderá a importar, empacotar e validar certificados externos, para se preparar para a implantação de Azure Stack Hub ou para a rotação de segredos.In this article you learn how to import, package, and validate external certificates, to prepare for Azure Stack Hub deployment or secrets rotation.

Pré-requisitosPrerequisites

O sistema deve atender aos seguintes pré-requisitos antes de empacotar certificados PKI para uma implantação de Hub de Azure Stack:Your system should meet the following prerequisites before packaging PKI certificates for an Azure Stack Hub deployment:

  • Os certificados retornados da autoridade de certificação são armazenados em um único diretório, no formato. cer (outros formatos configuráveis, como. cert,. SST ou. pfx).Certificates returned from Certificate Authority are stored in a single directory, in .cer format (other configurable formats such as .cert, .sst or .pfx).
  • Windows 10 ou Windows Server 2016 ou posteriorWindows 10, or Windows Server 2016 or later
  • Use o mesmo sistema que gerou a solicitação de assinatura de certificado (a menos que você esteja direcionando um certificado empacotado em PFXs).Use the same system that generated the Certificate Signing Request (unless you're targeting a certificate prepackaged into PFXs).

Continue na seção preparar certificados (Azure Stack Readiness Checker) ou preparar certificados (etapas manuais) apropriadas.Continue to the appropriate Prepare certificates (Azure Stack readiness checker) or Prepare certificates (manual steps) section.

Preparar certificados (Azure Stack o verificador de preparação)Prepare certificates (Azure Stack readiness checker)

Use estas etapas para empacotar certificados usando o Azure Stack cmdlets do PowerShell do verificador de preparação:Use these steps to package certificates using the Azure Stack readiness checker PowerShell cmdlets:

  1. Instale o módulo Azure Stack Readiness Checker em um prompt do PowerShell (5,1 ou superior), executando o seguinte cmdlet:Install the Azure Stack readiness checker module from a PowerShell prompt (5.1 or above), by running the following cmdlet:

        Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
    
  2. Especifique o caminho para os arquivos de certificado.Specify the Path to the certificate files. Por exemplo:For example:

        $Path = "$env:USERPROFILE\Documents\AzureStack"
    
  3. Declare o pfxPassword.Declare the pfxPassword. Por exemplo:For example:

        $pfxPassword = Read-Host -AsSecureString -Prompt "PFX Password"
    
  4. Declare o ExportPath em que o PFXs resultante será exportado.Declare the ExportPath where the resulting PFXs will be exported to. Por exemplo:For example:

        $ExportPath = "$env:USERPROFILE\Documents\AzureStack"
    
  5. Converta certificados para Azure Stack certificados de Hub.Convert certificates to Azure Stack Hub Certificates. Por exemplo:For example:

        ConvertTo-AzsPFX -Path $Path -pfxPassword $pfxPassword -ExportPath $ExportPath
    
  6. Examine a saída:Review the output:

    ConvertTo-AzsPFX v1.2005.1286.272 started.
    
    Stage 1: Scanning Certificates
        Path: C:\Users\[*redacted*]\Documents\AzureStack Filter: CER Certificate count: 11
        adminmanagement_east_azurestack_contoso_com_CertRequest_20200710235648.cer
        adminportal_east_azurestack_contoso_com_CertRequest_20200710235645.cer
        management_east_azurestack_contoso_com_CertRequest_20200710235644.cer
        portal_east_azurestack_contoso_com_CertRequest_20200710235646.cer
        wildcard_adminhosting_east_azurestack_contoso_com_CertRequest_20200710235649.cer
        wildcard_adminvault_east_azurestack_contoso_com_CertRequest_20200710235642.cer
        wildcard_blob_east_azurestack_contoso_com_CertRequest_20200710235653.cer
        wildcard_hosting_east_azurestack_contoso_com_CertRequest_20200710235652.cer
        wildcard_queue_east_azurestack_contoso_com_CertRequest_20200710235654.cer
        wildcard_table_east_azurestack_contoso_com_CertRequest_20200710235650.cer
        wildcard_vault_east_azurestack_contoso_com_CertRequest_20200710235647.cer
    
    Detected ExternalFQDN: east.azurestack.contoso.com
    
    Stage 2: Exporting Certificates
        east.azurestack.contoso.com\Deployment\ARM Admin\ARMAdmin.pfx
        east.azurestack.contoso.com\Deployment\Admin Portal\AdminPortal.pfx
        east.azurestack.contoso.com\Deployment\ARM Public\ARMPublic.pfx
        east.azurestack.contoso.com\Deployment\Public Portal\PublicPortal.pfx
        east.azurestack.contoso.com\Deployment\Admin Extension Host\AdminExtensionHost.pfx
        east.azurestack.contoso.com\Deployment\KeyVaultInternal\KeyVaultInternal.pfx
        east.azurestack.contoso.com\Deployment\ACSBlob\ACSBlob.pfx
        east.azurestack.contoso.com\Deployment\Public Extension Host\PublicExtensionHost.pfx
        east.azurestack.contoso.com\Deployment\ACSQueue\ACSQueue.pfx
        east.azurestack.contoso.com\Deployment\ACSTable\ACSTable.pfx
        east.azurestack.contoso.com\Deployment\KeyVault\KeyVault.pfx
    
    Stage 3: Validating Certificates.
    
    Validating east.azurestack.contoso.com-Deployment-AAD certificates in C:\Users\[*redacted*]\Documents\AzureStack\east.azurestack.contoso.com\Deployment 
    
    Testing: KeyVaultInternal\KeyVaultInternal.pfx
    Thumbprint: E86699****************************4617D6
        PFX Encryption: OK
        Expiry Date: OK
        Signature Algorithm: OK
        DNS Names: OK
        Key Usage: OK
        Key Length: OK
        Parse PFX: OK
        Private Key: OK
        Cert Chain: OK
        Chain Order: OK
        Other Certificates: OK
    Testing: ARM Public\ARMPublic.pfx
        ...
    Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
    ConvertTo-AzsPFX Completed
    

    Observação

    Para uso adicional, use Get-Help ConvertTo-AzsPFX-Full para obter mais uso, como desabilitar a validação ou a filtragem para diferentes formatos de certificado.For additional usage use Get-help ConvertTo-AzsPFX -Full for further usage such as disabling validation or filtering for different certificate formats.

    Seguir um certificado de validação bem-sucedido pode ser apresentado para implantação ou rotação sem nenhuma etapa adicional.Following a successful validation certificates can be presented for Deployment or Rotation without any additional steps.

Preparar certificados (etapas manuais)Prepare certificates (manual steps)

Use estas etapas para empacotar certificados para novos certificados PKI de Hub de Azure Stack usando etapas manuais.Use these steps to package certificates for new Azure Stack Hub PKI certificates using manual steps.

Importar o certificadoImport the certificate

  1. Copie as versões de certificado originais obtidas da sua AC de sua escolha em um diretório no host de implantação.Copy the original certificate versions obtained from your CA of choice into a directory on the deployment host.

    Aviso

    Não copie arquivos que já foram importados, exportados ou alterados de qualquer forma dos arquivos fornecidos diretamente pela autoridade de certificação.Don't copy files that have already been imported, exported, or altered in any way from the files provided directly by the CA.

  2. Clique com o botão direito do mouse no certificado e selecione Instalar certificado ou instalar pfx, dependendo de como o certificado foi entregue da sua autoridade de certificação.Right-click on the certificate and select Install Certificate or Install PFX, depending on how the certificate was delivered from your CA.

  3. No Assistente para importação de certificados, selecione computador local como o local de importação.In the Certificate Import Wizard, select Local Machine as the import location. Selecione Avançar.Select Next. Na tela a seguir, selecione avançar novamente.On the following screen, select next again.

    Local de importação do computador local para o certificado

  4. Escolha Coloque todos os certificados no repositório a seguir e, em seguida, selecione confiança corporativa como o local.Choose Place all certificate in the following store and then select Enterprise Trust as the location. Selecione OK para fechar a caixa de diálogo seleção de repositório de certificados e, em seguida, selecione Avançar.Select OK to close the certificate store selection dialog box and then select Next.

    Configurar o repositório de certificados para importação de certificado

    a.a. Se você estiver importando um PFX, será exibida uma caixa de diálogo adicional.If you're importing a PFX, you'll be presented with an additional dialog. Na página proteção de chave privada , digite a senha dos arquivos de certificado e habilite a marca esta chave como exportável.On the Private key protection page, enter the password for your certificate files and then enable the Mark this key as exportable. , permitindo que você faça backup ou transporte de suas chaves mais tarde.option, allowing you to back up or transport your keys later. Selecione Avançar.Select Next.

    Marcar chave como exportável

  5. Selecione concluir para concluir a importação.Select Finish to complete the import.

Observação

Depois de importar um certificado para Azure Stack Hub, a chave privada do certificado é armazenada como um arquivo PKCS 12 (PFX) no armazenamento clusterizado.After you import a certificate for Azure Stack Hub, the private key of the certificate is stored as a PKCS 12 file (PFX) on clustered storage.

Exportar o certificadoExport the certificate

Abra o console do MMC do Gerenciador de certificados e conecte-se ao repositório de certificados do computador local.Open Certificate Manager MMC console and connect to the Local Machine certificate store.

  1. Abra o console de gerenciamento Microsoft.Open the Microsoft Management Console. Para abrir o console do no Windows 10, clique com o botão direito do mouse no menu iniciar, selecione executar, digite MMC e pressione Enter.To open the console in Windows 10, right-click on the Start Menu, select Run, then type mmc and press enter.

  2. Selecione arquivo > Adicionar/remover snap-in, selecione certificados e selecione Adicionar.Select File > Add/Remove Snap-In, then select Certificates and select Add.

    Adicionar Snap-in de certificados no console de gerenciamento Microsoft

  3. Selecione conta de computador e, em seguida, selecione Avançar.Select Computer account, then select Next. Selecione computador local e, em seguida, concluir.Select Local computer and then Finish. Selecione OK para fechar a página Adicionar/remover Snap-In.Select OK to close the Add/Remove Snap-In page.

    Selecione a conta para adicionar snap-in de certificados no console de gerenciamento Microsoft

  4. Navegue até certificados > local de certificado de confiança corporativa > Certificate location.Browse to Certificates > Enterprise Trust > Certificate location. Verifique se você vê seu certificado à direita.Verify that you see your certificate on the right.

  5. Na barra de tarefas do console do Gerenciador de certificados, selecione ações > todas as tarefas > Exportar.From the Certificate Manager Console taskbar, select Actions > All Tasks > Export. Selecione Avançar.Select Next.

    Observação

    Dependendo de quantos certificados de Azure Stack Hub você tem, talvez seja necessário concluir esse processo mais de uma vez.Depending on how many Azure Stack Hub certificates you have, you may need to complete this process more than once.

  6. Selecione Sim, exportar a chave privada e, em seguida, selecione Avançar.Select Yes, Export the Private Key, and then select Next.

  7. Na seção formato do arquivo de exportação:In the Export File Format section:

    • Selecione incluir todos os certificados no certificado, se possível.Select Include all certificates in the certificate if possible.

    • Selecione exportar todas as propriedades estendidas.Select Export all Extended Properties.

    • Selecione Habilitar Privacidade do certificado.Select Enable certificate privacy.

    • Selecione Avançar.Select Next.

      Assistente para exportação de certificados com opções selecionadas

  8. Selecione senha e forneça uma senha para os certificados.Select Password and provide a password for the certificates. Crie uma senha que atenda aos seguintes requisitos de complexidade de senha:Create a password that meets the following password complexity requirements:

    • Um comprimento mínimo de oito caracteres.A minimum length of eight characters.
    • Pelo menos três dos seguintes caracteres: letra maiúscula, letra minúscula, números de 0-9, caracteres especiais, caractere alfabético sem letras maiúsculas ou minúsculas.At least three of the following characters: uppercase letter, lowercase letter, numbers from 0-9, special characters, alphabetical character that's not uppercase or lowercase.

    Anote essa senha.Make note of this password. Você o usará como um parâmetro de implantação.You'll use it as a deployment parameter.

  9. Selecione Avançar.Select Next.

  10. Escolha um nome de arquivo e um local para o arquivo PFX a ser exportado.Choose a file name and location for the PFX file to export. Selecione Avançar.Select Next.

  11. Selecione Concluir.Select Finish.

Próximas etapasNext steps

Validar certificados PKIValidate PKI certificates