Preparar certificados PKI de Hub de Azure Stack para implantação ou rotação

Observação

Este artigo pertence à preparação de certificados externos, que são usados para proteger pontos de extremidade em infraestrutura e serviços externos. Os certificados internos são gerenciados separadamente, durante o processo de rotação do certificado.

Os arquivos de certificado obtidos da autoridade de certificação (CA) devem ser importados e exportados com propriedades correspondentes aos requisitos de certificado do Hub Azure Stack.

Neste artigo, você aprenderá a importar, empacotar e validar certificados externos, para se preparar para a implantação de Azure Stack Hub ou para a rotação de segredos.

Pré-requisitos

O sistema deve atender aos seguintes pré-requisitos antes de empacotar certificados PKI para uma implantação de Hub de Azure Stack:

  • Os certificados retornados da autoridade de certificação são armazenados em um único diretório, no formato. cer (outros formatos configuráveis, como. cert,. SST ou. pfx).
  • Windows 10, ou Windows Server 2016 ou posterior.
  • Use o mesmo sistema que gerou a solicitação de assinatura de certificado (a menos que você esteja direcionando um certificado empacotado em PFXs).
  • Use sessões do PowerShell com privilégios elevados.

Continue na seção preparar certificados (Azure Stack Readiness Checker) ou preparar certificados (etapas manuais) apropriadas.

Preparar certificados (Azure Stack o verificador de preparação)

Use estas etapas para empacotar certificados usando o Azure Stack cmdlets do PowerShell do verificador de preparação:

  1. Instale o módulo Azure Stack Readiness Checker em um prompt do PowerShell (5,1 ou superior), executando o seguinte cmdlet:

        Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
    
  2. Especifique o caminho para os arquivos de certificado. Por exemplo:

        $Path = "$env:USERPROFILE\Documents\AzureStack"
    
  3. Declare o pfxPassword. Por exemplo:

        $pfxPassword = Read-Host -AsSecureString -Prompt "PFX Password"
    
  4. Declare o ExportPath em que o PFXs resultante será exportado. Por exemplo:

        $ExportPath = "$env:USERPROFILE\Documents\AzureStack"
    
  5. Converta certificados para Azure Stack certificados de Hub. Por exemplo:

        ConvertTo-AzsPFX -Path $Path -pfxPassword $pfxPassword -ExportPath $ExportPath
    
  6. Examine a saída:

    ConvertTo-AzsPFX v1.2005.1286.272 started.
    
    Stage 1: Scanning Certificates
        Path: C:\Users\[*redacted*]\Documents\AzureStack Filter: CER Certificate count: 11
        adminmanagement_east_azurestack_contoso_com_CertRequest_20200710235648.cer
        adminportal_east_azurestack_contoso_com_CertRequest_20200710235645.cer
        management_east_azurestack_contoso_com_CertRequest_20200710235644.cer
        portal_east_azurestack_contoso_com_CertRequest_20200710235646.cer
        wildcard_adminhosting_east_azurestack_contoso_com_CertRequest_20200710235649.cer
        wildcard_adminvault_east_azurestack_contoso_com_CertRequest_20200710235642.cer
        wildcard_blob_east_azurestack_contoso_com_CertRequest_20200710235653.cer
        wildcard_hosting_east_azurestack_contoso_com_CertRequest_20200710235652.cer
        wildcard_queue_east_azurestack_contoso_com_CertRequest_20200710235654.cer
        wildcard_table_east_azurestack_contoso_com_CertRequest_20200710235650.cer
        wildcard_vault_east_azurestack_contoso_com_CertRequest_20200710235647.cer
    
    Detected ExternalFQDN: east.azurestack.contoso.com
    
    Stage 2: Exporting Certificates
        east.azurestack.contoso.com\Deployment\ARM Admin\ARMAdmin.pfx
        east.azurestack.contoso.com\Deployment\Admin Portal\AdminPortal.pfx
        east.azurestack.contoso.com\Deployment\ARM Public\ARMPublic.pfx
        east.azurestack.contoso.com\Deployment\Public Portal\PublicPortal.pfx
        east.azurestack.contoso.com\Deployment\Admin Extension Host\AdminExtensionHost.pfx
        east.azurestack.contoso.com\Deployment\KeyVaultInternal\KeyVaultInternal.pfx
        east.azurestack.contoso.com\Deployment\ACSBlob\ACSBlob.pfx
        east.azurestack.contoso.com\Deployment\Public Extension Host\PublicExtensionHost.pfx
        east.azurestack.contoso.com\Deployment\ACSQueue\ACSQueue.pfx
        east.azurestack.contoso.com\Deployment\ACSTable\ACSTable.pfx
        east.azurestack.contoso.com\Deployment\KeyVault\KeyVault.pfx
    
    Stage 3: Validating Certificates.
    
    Validating east.azurestack.contoso.com-Deployment-AAD certificates in C:\Users\[*redacted*]\Documents\AzureStack\east.azurestack.contoso.com\Deployment 
    
    Testing: KeyVaultInternal\KeyVaultInternal.pfx
    Thumbprint: E86699****************************4617D6
        PFX Encryption: OK
        Expiry Date: OK
        Signature Algorithm: OK
        DNS Names: OK
        Key Usage: OK
        Key Length: OK
        Parse PFX: OK
        Private Key: OK
        Cert Chain: OK
        Chain Order: OK
        Other Certificates: OK
    Testing: ARM Public\ARMPublic.pfx
        ...
    Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
    ConvertTo-AzsPFX Completed
    

    Observação

    Para uso adicional, use Get-Help ConvertTo-AzsPFX-Full para obter mais uso, como desabilitar a validação ou a filtragem para diferentes formatos de certificado.

    Seguir um certificado de validação bem-sucedido pode ser apresentado para implantação ou rotação sem nenhuma etapa adicional.

Preparar certificados (etapas manuais)

Use estas etapas para empacotar certificados para novos certificados PKI de Hub de Azure Stack usando etapas manuais.

Importar o certificado

  1. Copie as versões de certificado originais obtidas da sua AC de sua escolha em um diretório no host de implantação.

    Aviso

    Não copie arquivos que já foram importados, exportados ou alterados de qualquer forma dos arquivos fornecidos diretamente pela autoridade de certificação.

  2. Clique com o botão direito do mouse no certificado e selecione Instalar certificado ou instalar pfx, dependendo de como o certificado foi entregue da sua autoridade de certificação.

  3. No Assistente para importação de certificados, selecione computador local como o local de importação. Selecione Avançar. Na tela a seguir, selecione avançar novamente.

    Local de importação do computador local para o certificado

  4. escolha coloque todos os certificados no repositório a seguir e, em seguida, selecione Enterprise confiança como o local. Selecione OK para fechar a caixa de diálogo seleção de repositório de certificados e, em seguida, selecione Avançar.

    Configurar o repositório de certificados para importação de certificado

    a. Se você estiver importando um PFX, será exibida uma caixa de diálogo adicional. Na página proteção de chave privada , digite a senha dos arquivos de certificado e habilite a opção marcar esta chave como exportável. isso permite que você faça backup ou transporte de suas chaves mais tarde. Selecione Avançar.

    Marcar chave como exportável

  5. Selecione concluir para concluir a importação.

Observação

Depois de importar um certificado para Azure Stack Hub, a chave privada do certificado é armazenada como um arquivo PKCS 12 (PFX) no armazenamento clusterizado.

Exportar o certificado

Abra o console do MMC do Gerenciador de certificados e conecte-se ao repositório de certificados do computador local.

  1. Abra o console de gerenciamento Microsoft. para abrir o console do no Windows 10, clique com o botão direito do mouse no Menu iniciar, selecione executar, digite mmc e pressione enter.

  2. Selecione arquivoAdicionar/remover snap-in, selecione certificados e selecione Adicionar.

    Adicionar Snap-in de certificados no console de gerenciamento Microsoft

  3. Selecione conta de computadore, em seguida, selecione Avançar. Selecione computador local e, em seguida, concluir. Selecione OK para fechar a página Adicionar/remover Snap-In.

    Selecione a conta para adicionar snap-in de certificados no console de gerenciamento Microsoft

  4. navegue até certificadosEnterpriselocal do certificadode confiança. Verifique se você vê seu certificado à direita.

  5. Na barra de tarefas do console do Gerenciador de certificados, selecione açõestodas as tarefasExportar. Selecione Avançar.

    Observação

    Dependendo de quantos certificados de Azure Stack Hub você tem, talvez seja necessário concluir esse processo mais de uma vez.

  6. Selecione Sim, exportar a chave privadae, em seguida, selecione Avançar.

  7. Na seção formato do arquivo de exportação:

    • Selecione incluir todos os certificados no certificado, se possível.

    • Selecione exportar todas as propriedades estendidas.

    • Selecione Habilitar Privacidade do certificado.

    • Selecione Avançar.

      Assistente para exportação de certificados com opções selecionadas

  8. Selecione senha e forneça uma senha para os certificados. Crie uma senha que atenda aos seguintes requisitos de complexidade de senha:

    • Um comprimento mínimo de oito caracteres.
    • Pelo menos três dos seguintes caracteres: letra maiúscula, letra minúscula, números de 0-9, caracteres especiais, caractere alfabético sem letras maiúsculas ou minúsculas.

    Anote essa senha. Você o usará como um parâmetro de implantação.

  9. Selecione Avançar.

  10. Escolha um nome de arquivo e um local para o arquivo PFX a ser exportado. Selecione Avançar.

  11. Selecione Concluir.

Próximas etapas

Validar certificados PKI