Preparar Azure Stack Hub PKI para implantação ou rotação

Observação

Este artigo refere-se apenas à preparação de certificados externos, que são usados para proteger pontos de extremidade em serviços e infraestrutura externa. Os certificados internos são gerenciados separadamente, durante o processo de rotação de certificado.

Os arquivos de certificado obtidos da AC (autoridade de certificação) devem ser importados e exportados com propriedades que Azure Stack Hub requisitos de certificado do certificado.

Neste artigo, você aprenderá a importar, empacotar e validar certificados externos para se preparar para Azure Stack Hub implantação ou rotação de segredos.

Pré-requisitos

Seu sistema deve atender aos seguintes pré-requisitos antes de empacotar certificados PKI para uma Azure Stack Hub implantação:

  • Os certificados retornados da Autoridade de Certificação são armazenados em um único diretório, no formato .cer (outros formatos configuráveis, como .cert, .sst ou .pfx).
  • Windows 10, ou Windows Server 2016 ou posterior.
  • Use o mesmo sistema que gerou a Solicitação de Assinatura de Certificado (a menos que você esteja direcionando um certificado pré-empacotado em PFXs).
  • Use sessões elevadas do PowerShell.

Continue na seção Preparar certificados (Azure Stack de preparação) ou Preparar certificados (etapas manuais).

Preparar certificados (Azure Stack de preparação)

Use estas etapas para empacotar certificados usando os cmdlets do PowerShell do Azure Stack de preparação:

  1. Instale o Azure Stack do check-in de preparação de um prompt do PowerShell (5.1 ou superior), executando o seguinte cmdlet:

        Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
    
  2. Especifique o Caminho para os arquivos de certificado. Por exemplo:

        $Path = "$env:USERPROFILE\Documents\AzureStack"
    
  3. Declare o pfxPassword. Por exemplo:

        $pfxPassword = Read-Host -AsSecureString -Prompt "PFX Password"
    
  4. Declare o ExportPath para o qual os PFXs resultantes serão exportados. Por exemplo:

        $ExportPath = "$env:USERPROFILE\Documents\AzureStack"
    
  5. Converta certificados em Azure Stack Hub Certificados. Por exemplo:

        ConvertTo-AzsPFX -Path $Path -pfxPassword $pfxPassword -ExportPath $ExportPath
    
  6. Revise a saída:

    ConvertTo-AzsPFX v1.2005.1286.272 started.
    
    Stage 1: Scanning Certificates
        Path: C:\Users\[*redacted*]\Documents\AzureStack Filter: CER Certificate count: 11
        adminmanagement_east_azurestack_contoso_com_CertRequest_20200710235648.cer
        adminportal_east_azurestack_contoso_com_CertRequest_20200710235645.cer
        management_east_azurestack_contoso_com_CertRequest_20200710235644.cer
        portal_east_azurestack_contoso_com_CertRequest_20200710235646.cer
        wildcard_adminhosting_east_azurestack_contoso_com_CertRequest_20200710235649.cer
        wildcard_adminvault_east_azurestack_contoso_com_CertRequest_20200710235642.cer
        wildcard_blob_east_azurestack_contoso_com_CertRequest_20200710235653.cer
        wildcard_hosting_east_azurestack_contoso_com_CertRequest_20200710235652.cer
        wildcard_queue_east_azurestack_contoso_com_CertRequest_20200710235654.cer
        wildcard_table_east_azurestack_contoso_com_CertRequest_20200710235650.cer
        wildcard_vault_east_azurestack_contoso_com_CertRequest_20200710235647.cer
    
    Detected ExternalFQDN: east.azurestack.contoso.com
    
    Stage 2: Exporting Certificates
        east.azurestack.contoso.com\Deployment\ARM Admin\ARMAdmin.pfx
        east.azurestack.contoso.com\Deployment\Admin Portal\AdminPortal.pfx
        east.azurestack.contoso.com\Deployment\ARM Public\ARMPublic.pfx
        east.azurestack.contoso.com\Deployment\Public Portal\PublicPortal.pfx
        east.azurestack.contoso.com\Deployment\Admin Extension Host\AdminExtensionHost.pfx
        east.azurestack.contoso.com\Deployment\KeyVaultInternal\KeyVaultInternal.pfx
        east.azurestack.contoso.com\Deployment\ACSBlob\ACSBlob.pfx
        east.azurestack.contoso.com\Deployment\Public Extension Host\PublicExtensionHost.pfx
        east.azurestack.contoso.com\Deployment\ACSQueue\ACSQueue.pfx
        east.azurestack.contoso.com\Deployment\ACSTable\ACSTable.pfx
        east.azurestack.contoso.com\Deployment\KeyVault\KeyVault.pfx
    
    Stage 3: Validating Certificates.
    
    Validating east.azurestack.contoso.com-Deployment-AAD certificates in C:\Users\[*redacted*]\Documents\AzureStack\east.azurestack.contoso.com\Deployment 
    
    Testing: KeyVaultInternal\KeyVaultInternal.pfx
    Thumbprint: E86699****************************4617D6
        PFX Encryption: OK
        Expiry Date: OK
        Signature Algorithm: OK
        DNS Names: OK
        Key Usage: OK
        Key Length: OK
        Parse PFX: OK
        Private Key: OK
        Cert Chain: OK
        Chain Order: OK
        Other Certificates: OK
    Testing: ARM Public\ARMPublic.pfx
        ...
    Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
    ConvertTo-AzsPFX Completed
    

    Observação

    Para uso adicional, use Get-help ConvertTo-AzsPFX -Full para uso adicional, como desabilitar a validação ou filtrar diferentes formatos de certificado.

    Seguir um certificado de validação bem-sucedido pode ser apresentado para Implantação ou Rotação sem etapas adicionais.

Preparar certificados (etapas manuais)

Use estas etapas para empacotar certificados para novos Azure Stack Hub PKI usando etapas manuais.

Importar o certificado

  1. Copie as versões de certificado originais obtidas da ac de sua escolha em um diretório no host de implantação.

    Aviso

    Não copie arquivos que já foram importados, exportados ou alterados de forma alguma dos arquivos fornecidos diretamente pela AC.

  2. Clique com o botão direito do mouse no certificado e selecione Instalar Certificado ou Instalar PFX,dependendo de como o certificado foi entregue de sua AC.

  3. No Assistente de Importação de Certificados,selecione Computador Local como o local de importação. Selecione Avançar. Na tela a seguir, selecione próximo novamente.

    Local machine import location for certificate

  4. Escolha Colocar todos os certificados no armazenamento a seguir e, em seguida, selecione Enterprise Confiança como o local. Selecione OK para fechar a caixa de diálogo de seleção do armazenamento de certificados e, em seguida, selecione Próximo.

    Configure the certificate store for certificate import

    a. Se você estiver importando um PFX, verá uma caixa de diálogo adicional. Na página Proteção de chave privada, insira a senha para seus arquivos de certificado e habilita a opção Marcar essa chave como exportável, permitindo que você fazer o back-up ou transportar suas chaves mais tarde. Selecione Avançar.

    Mark key as exportable

  5. Selecione Concluir para concluir a importação.

Observação

Depois de importar um certificado para Azure Stack Hub, a chave privada do certificado é armazenada como um arquivo PKCS 12 (PFX) no armazenamento cluster.

Exportar o certificado

Abra o console do MMC do Gerenciador de Certificados e conecte-se ao armazenamento de certificados do Computador Local.

  1. Abra o Console de Gerenciamento Microsoft. Para abrir o console no Windows 10, clique com o botão direito do mouse no MenuIniciar , selecione Executar edigite mmc e pressione Enter.

  2. Selecione Adicionar/Remover Snap-In de Arquivoe, em seguida, selecione Certificados e adicionar.

    Add Certificates Snap-in in Microsoft Management Console

  3. Selecione Conta de computadore, em seguida, selecione Próximo. Selecione Computador local e, em seguida, Concluir. Selecione OK para fechar a página Adicionar/Remover Snap-In.

    Select account for Add Certificates Snap-in in Microsoft Management Console

  4. Navegue até Certificados Enterpriselocal doCertificado de Confiança. Verifique se você vê seu certificado à direita.

  5. Na barra de tarefas Console do Gerenciador de Certificados, selecione Ações Todasas TarefasExportar. Selecione Avançar.

    Observação

    Dependendo de quantos Azure Stack Hub certificados, talvez seja necessário concluir esse processo mais de uma vez.

  6. Selecione Sim, Exportar a Chave Privadae, em seguida, selecione Próximo.

  7. Na seção Exportar Formato de Arquivo:

    • Selecione Incluir todos os certificados no certificado, se possível.

    • Selecione Exportar todas as Propriedades Estendidas.

    • Selecione Habilitar privacidade do certificado.

    • Selecione Avançar.

      Certificate export wizard with selected options

  8. Selecione Senha e forneça uma senha para os certificados. Crie uma senha que atenda aos seguintes requisitos de complexidade de senha:

    • Um comprimento mínimo de oito caracteres.
    • Pelo menos três dos seguintes caracteres: letra maiúscula, letra minúscula, números de 0 a 9, caracteres especiais, caracteres alfabéticos que não são maiúsculas ou minúsculas.

    Anote essa senha. Você o usará como um parâmetro de implantação.

  9. Selecione Avançar.

  10. Escolha um nome de arquivo e um local para o arquivo PFX a ser exportado. Selecione Avançar.

  11. Selecione Concluir.

Próximas etapas

Validar certificados PKI