Preparar certificados PKI do Hub Azure Stack para implantação ou rotaçãoPrepare Azure Stack Hub PKI certificates for deployment or rotation

Os ficheiros de certificados obtidos pela autoridade de certificados (CA) devem ser importados e exportados com propriedades correspondentes aos requisitos do certificado do Azure Stack Hub.The certificate files obtained from the certificate authority (CA) must be imported and exported with properties matching Azure Stack Hub's certificate requirements.

Neste artigo aprende-se a importar, embalar e validar certificados, para preparar a implementação do Azure Stack Hub ou a rotação de segredos.In this article you learn how to import, package, and validate certificates, to prepare for Azure Stack Hub deployment or secrets rotation.

Pré-requisitosPrerequisites

O seu sistema deve cumprir os seguintes pré-requisitos antes de embalar os certificados PKI para uma implantação do Azure Stack Hub:Your system should meet the following prerequisites before packaging PKI certificates for an Azure Stack Hub deployment:

  • Os certificados devolvidos da Autoridade de Certificados são armazenados num único diretório, em formato .cer (outros formatos configuráveis como .cert, .sst ou .pfx).Certificates returned from Certificate Authority are stored in a single directory, in .cer format (other configurable formats such as .cert, .sst or .pfx).
  • Windows 10, ou Windows Server 2016 ou mais tardeWindows 10, or Windows Server 2016 or later
  • Utilize o mesmo sistema que gerou o Pedido de Assinatura de Certificado (a menos que esteja a direcionar um certificado pré-embalado em PFXs).Use the same system that generated the Certificate Signing Request (unless you're targeting a certificate prepackaged into PFXs).

Continue até os certificados de preparação apropriados (verificador de prontidão Azure Stack) ou prepare os certificados (etapas manuais).Continue to the appropriate Prepare certificates (Azure Stack readiness checker) or Prepare certificates (manual steps) section.

Preparar certificados (verificador de prontidão Azure Stack)Prepare certificates (Azure Stack readiness checker)

Utilize estes passos para embalar certificados utilizando os cmdlets powershell de prontidão Azure Stack:Use these steps to package certificates using the Azure Stack readiness checker PowerShell cmdlets:

  1. Instale o módulo de verificação de prontidão Azure Stack a partir de uma pressão PowerShell (5.1 ou superior), executando o seguinte cmdlet:Install the Azure Stack readiness checker module from a PowerShell prompt (5.1 or above), by running the following cmdlet:

        Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
    
  2. Especifique o Caminho para os ficheiros de certificado.Specify the Path to the certificate files. Por exemplo:For example:

        $Path = "$env:USERPROFILE\Documents\AzureStack"
    
  3. Declare a pfxPassword.Declare the pfxPassword. Por exemplo:For example:

        $pfxPassword = Read-Host -AsSecureString -Prompt "PFX Password"
    
  4. Declare o ExportPath para onde os PFXs resultantes serão exportados.Declare the ExportPath where the resulting PFXs will be exported to. Por exemplo:For example:

        $ExportPath = "$env:USERPROFILE\Documents\AzureStack"
    
  5. Converter certificados para Certificados Azure Stack Hub.Convert certificates to Azure Stack Hub Certificates. Por exemplo:For example:

        ConvertTo-AzsPFX -Path $Path -pfxPassword $pfxPassword -ExportPath $ExportPath
    
  6. Reveja a saída:Review the output:

    ConvertTo-AzsPFX v1.2005.1286.272 started.
    
    Stage 1: Scanning Certificates
        Path: C:\Users\[*redacted*]\Documents\AzureStack Filter: CER Certificate count: 11
        adminmanagement_east_azurestack_contoso_com_CertRequest_20200710235648.cer
        adminportal_east_azurestack_contoso_com_CertRequest_20200710235645.cer
        management_east_azurestack_contoso_com_CertRequest_20200710235644.cer
        portal_east_azurestack_contoso_com_CertRequest_20200710235646.cer
        wildcard_adminhosting_east_azurestack_contoso_com_CertRequest_20200710235649.cer
        wildcard_adminvault_east_azurestack_contoso_com_CertRequest_20200710235642.cer
        wildcard_blob_east_azurestack_contoso_com_CertRequest_20200710235653.cer
        wildcard_hosting_east_azurestack_contoso_com_CertRequest_20200710235652.cer
        wildcard_queue_east_azurestack_contoso_com_CertRequest_20200710235654.cer
        wildcard_table_east_azurestack_contoso_com_CertRequest_20200710235650.cer
        wildcard_vault_east_azurestack_contoso_com_CertRequest_20200710235647.cer
    
    Detected ExternalFQDN: east.azurestack.contoso.com
    
    Stage 2: Exporting Certificates
        east.azurestack.contoso.com\Deployment\ARM Admin\ARMAdmin.pfx
        east.azurestack.contoso.com\Deployment\Admin Portal\AdminPortal.pfx
        east.azurestack.contoso.com\Deployment\ARM Public\ARMPublic.pfx
        east.azurestack.contoso.com\Deployment\Public Portal\PublicPortal.pfx
        east.azurestack.contoso.com\Deployment\Admin Extension Host\AdminExtensionHost.pfx
        east.azurestack.contoso.com\Deployment\KeyVaultInternal\KeyVaultInternal.pfx
        east.azurestack.contoso.com\Deployment\ACSBlob\ACSBlob.pfx
        east.azurestack.contoso.com\Deployment\Public Extension Host\PublicExtensionHost.pfx
        east.azurestack.contoso.com\Deployment\ACSQueue\ACSQueue.pfx
        east.azurestack.contoso.com\Deployment\ACSTable\ACSTable.pfx
        east.azurestack.contoso.com\Deployment\KeyVault\KeyVault.pfx
    
    Stage 3: Validating Certificates.
    
    Validating east.azurestack.contoso.com-Deployment-AAD certificates in C:\Users\[*redacted*]\Documents\AzureStack\east.azurestack.contoso.com\Deployment 
    
    Testing: KeyVaultInternal\KeyVaultInternal.pfx
    Thumbprint: E86699****************************4617D6
        PFX Encryption: OK
        Expiry Date: OK
        Signature Algorithm: OK
        DNS Names: OK
        Key Usage: OK
        Key Length: OK
        Parse PFX: OK
        Private Key: OK
        Cert Chain: OK
        Chain Order: OK
        Other Certificates: OK
    Testing: ARM Public\ARMPublic.pfx
        ...
    Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
    ConvertTo-AzsPFX Completed
    

    Nota

    Para utilização adicional, ConvertTo-AzsPFX de ajuda de ajuda- Full para utilização posterior, como a desativação da validação ou a filtragem para diferentes formatos de certificado.For additional usage use Get-help ConvertTo-AzsPFX -Full for further usage such as disabling validation or filtering for different certificate formats.

    Após um certificado de validação bem sucedido pode ser apresentado para Implantação ou Rotação sem quaisquer passos adicionais.Following a successful validation certificates can be presented for Deployment or Rotation without any additional steps.

Preparar certificados (passos manuais)Prepare certificates (manual steps)

Utilize estes passos para embalar certificados para novos certificados Azure Stack Hub PKI utilizando passos manuais.Use these steps to package certificates for new Azure Stack Hub PKI certificates using manual steps.

Importar o certificadoImport the certificate

  1. Copie as versões originais do certificado obtidas do seu CA de eleição num diretório no anfitrião de implantação.Copy the original certificate versions obtained from your CA of choice into a directory on the deployment host.

    Aviso

    Não copie ficheiros que já tenham sido importados, exportados ou alterados de qualquer forma a partir dos ficheiros fornecidos diretamente pela AC.Don't copy files that have already been imported, exported, or altered in any way from the files provided directly by the CA.

  2. Clique com o botão direito no certificado e selecione Install Certificate ou Install PFX , dependendo da forma como o certificado foi entregue a partir do seu CA.Right-click on the certificate and select Install Certificate or Install PFX , depending on how the certificate was delivered from your CA.

  3. No Certificado De Import Wizard , selecione Máquina Local como local de importação.In the Certificate Import Wizard , select Local Machine as the import location. Selecione Seguinte.Select Next. No ecrã seguinte, selecione o próximo novamente.On the following screen, select next again.

    Local de importação de máquinas para certificado

  4. Escolha colocar todos os certificados na loja seguinte e, em seguida, selecione Enterprise Trust como o local.Choose Place all certificate in the following store and then select Enterprise Trust as the location. Selecione OK para fechar a caixa de diálogo de seleção da loja de certificados e, em seguida, selecione Seguinte.Select OK to close the certificate store selection dialog box and then select Next.

    Configure a loja de certificados para a importação de certificados

    a.a. Se estiver a importar um PFX, será apresentado um diálogo adicional.If you're importing a PFX, you'll be presented with an additional dialog. Na página de proteção de chaves Privadas, introduza a palavra-passe para os seus ficheiros de certificado e, em seguida, ative a marca desta chave como exportável.On the Private key protection page, enter the password for your certificate files and then enable the Mark this key as exportable. opção, permitindo-lhe fazer back-up ou transportar as suas chaves mais tarde.option, allowing you to back up or transport your keys later. Selecione Seguinte.Select Next.

    Chave de marca como exportável

  5. Selecione Acabamento para completar a importação.Select Finish to complete the import.

Nota

Depois de importar um certificado para O Azure Stack Hub, a chave privada do certificado é armazenada como um ficheiro PKCS 12 (PFX) em armazenamento agrupado.After you import a certificate for Azure Stack Hub, the private key of the certificate is stored as a PKCS 12 file (PFX) on clustered storage.

Exportar o certificadoExport the certificate

Abra a consola MMC do Gestor de Certificados e ligue-se à loja de certificados Local Machine.Open Certificate Manager MMC console and connect to the Local Machine certificate store.

  1. Abra a Consola de Gestão da Microsoft.Open the Microsoft Management Console. Para abrir a consola no Windows 10, clique com o botão direito no Menu Iniciar , selecione Executar , em seguida, digite mmc e prima para entrar.To open the console in Windows 10, right-click on the Start Menu , select Run , then type mmc and press enter.

  2. Selecione File > Adicionar/Remover Snap-In de ficheiros, em seguida, selecione Certificados e selecione Adicionar.Select File > Add/Remove Snap-In , then select Certificates and select Add.

    Adicionar Certificados Snap-in na Consola de Gestão da Microsoft

  3. Selecione a conta de Computador e, em seguida, selecione Seguinte.Select Computer account , then select Next. Selecione computador local e, em seguida, termine.Select Local computer and then Finish. Selecione OK para fechar a página Add/Remove Snap-In.Select OK to close the Add/Remove Snap-In page.

    Selecione conta para adicionar certificados Snap-in na Consola de Gestão da Microsoft

  4. Consulte o certificado Certificates de > certificados Enterprise Trust > Certificate.Browse to Certificates > Enterprise Trust > Certificate location. Verifique se vê o seu certificado à direita.Verify that you see your certificate on the right.

  5. A partir da barra de tarefas da consola Do Gestor de Certificados, selecione Ações > Todas as > Tarefas Exportação.From the Certificate Manager Console taskbar, select Actions > All Tasks > Export. Selecione Seguinte.Select Next.

    Nota

    Dependendo de quantos certificados Azure Stack Hub você tem, você pode precisar completar este processo mais de uma vez.Depending on how many Azure Stack Hub certificates you have, you may need to complete this process more than once.

  6. Selecione Sim, Exporte a chave privada e, em seguida, selecione Seguinte.Select Yes, Export the Private Key , and then select Next.

  7. Na secção Formato de Ficheiros de Exportação:In the Export File Format section:

    • Selecione Inclua todos os certificados no certificado, se possível.Select Include all certificates in the certificate if possible.

    • Selecione Exportar todas as propriedades estendidas.Select Export all Extended Properties.

    • Selecione Ative a privacidade do certificado.Select Enable certificate privacy.

    • Selecione Seguinte.Select Next.

      Assistente de exportação de certificado com opções selecionadas

  8. Selecione Palavra-passe e forneça uma senha para os certificados.Select Password and provide a password for the certificates. Crie uma palavra-passe que satisfaça os seguintes requisitos de complexidade da palavra-passe:Create a password that meets the following password complexity requirements:

    • Um comprimento mínimo de oito caracteres.A minimum length of eight characters.
    • Pelo menos três dos seguintes caracteres: letra maiúscula, letra minúscula, números de 0-9, caracteres especiais, caracteres alfabéticos que não são maiúsculas ou minúsculas.At least three of the following characters: uppercase letter, lowercase letter, numbers from 0-9, special characters, alphabetical character that's not uppercase or lowercase.

    Tome nota desta senha.Make note of this password. Vais usá-lo como parâmetro de implantação.You'll use it as a deployment parameter.

  9. Selecione Seguinte.Select Next.

  10. Escolha o nome e a localização do ficheiro PFX para exportar.Choose a file name and location for the PFX file to export. Selecione Seguinte.Select Next.

  11. Selecione Concluir.Select Finish.

Passos seguintesNext steps

Validar certificados PKIValidate PKI certificates