Preparar certificados PKI do Hub Azure Stack para implantação ou rotação

Nota

Este artigo diz respeito apenas à elaboração de certificados externos, que são utilizados para assegurar pontos finais em infraestruturas e serviços externos. Os certificados internos são geridos separadamente, durante o processo de rotaçãodo certificado .

Os ficheiros de certificados obtidos pela autoridade de certificados (CA) devem ser importados e exportados com propriedades correspondentes aos requisitos do certificado do Azure Stack Hub.

Neste artigo aprende-se a importar, embalar e validar certificados externos, para preparar a implementação do Azure Stack Hub ou a rotação de segredos.

Pré-requisitos

O seu sistema deve cumprir os seguintes pré-requisitos antes de embalar os certificados PKI para uma implantação do Azure Stack Hub:

  • Os certificados devolvidos da Autoridade de Certificados são armazenados num único diretório, em formato .cer (outros formatos configuráveis como .cert, .sst ou .pfx).
  • Windows 10, ou Windows Server 2016 ou mais tarde.
  • Utilize o mesmo sistema que gerou o Pedido de Assinatura de Certificado (a menos que esteja a direcionar um certificado pré-embalado em PFXs).
  • Utilize sessões PowerShell elevadas.

Continue até os certificados de preparação apropriados (verificador de prontidão Azure Stack) ou preparar certificados (etapas manuais).

Preparar certificados (verificador de prontidão Azure Stack)

Utilize estes passos para embalar certificados utilizando os cmdlets powershell de prontidão Azure Stack:

  1. Instale o módulo de verificação de prontidão Azure Stack a partir de uma solicitação PowerShell (5.1 ou superior), executando o seguinte cmdlet:

        Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
    
  2. Especifique o Caminho para os ficheiros de certificado. Por exemplo:

        $Path = "$env:USERPROFILE\Documents\AzureStack"
    
  3. Declare a pfxPassword. Por exemplo:

        $pfxPassword = Read-Host -AsSecureString -Prompt "PFX Password"
    
  4. Declare o ExportPath para onde os PFXs resultantes serão exportados. Por exemplo:

        $ExportPath = "$env:USERPROFILE\Documents\AzureStack"
    
  5. Converter certificados para Certificados Azure Stack Hub. Por exemplo:

        ConvertTo-AzsPFX -Path $Path -pfxPassword $pfxPassword -ExportPath $ExportPath
    
  6. Reveja a saída:

    ConvertTo-AzsPFX v1.2005.1286.272 started.
    
    Stage 1: Scanning Certificates
        Path: C:\Users\[*redacted*]\Documents\AzureStack Filter: CER Certificate count: 11
        adminmanagement_east_azurestack_contoso_com_CertRequest_20200710235648.cer
        adminportal_east_azurestack_contoso_com_CertRequest_20200710235645.cer
        management_east_azurestack_contoso_com_CertRequest_20200710235644.cer
        portal_east_azurestack_contoso_com_CertRequest_20200710235646.cer
        wildcard_adminhosting_east_azurestack_contoso_com_CertRequest_20200710235649.cer
        wildcard_adminvault_east_azurestack_contoso_com_CertRequest_20200710235642.cer
        wildcard_blob_east_azurestack_contoso_com_CertRequest_20200710235653.cer
        wildcard_hosting_east_azurestack_contoso_com_CertRequest_20200710235652.cer
        wildcard_queue_east_azurestack_contoso_com_CertRequest_20200710235654.cer
        wildcard_table_east_azurestack_contoso_com_CertRequest_20200710235650.cer
        wildcard_vault_east_azurestack_contoso_com_CertRequest_20200710235647.cer
    
    Detected ExternalFQDN: east.azurestack.contoso.com
    
    Stage 2: Exporting Certificates
        east.azurestack.contoso.com\Deployment\ARM Admin\ARMAdmin.pfx
        east.azurestack.contoso.com\Deployment\Admin Portal\AdminPortal.pfx
        east.azurestack.contoso.com\Deployment\ARM Public\ARMPublic.pfx
        east.azurestack.contoso.com\Deployment\Public Portal\PublicPortal.pfx
        east.azurestack.contoso.com\Deployment\Admin Extension Host\AdminExtensionHost.pfx
        east.azurestack.contoso.com\Deployment\KeyVaultInternal\KeyVaultInternal.pfx
        east.azurestack.contoso.com\Deployment\ACSBlob\ACSBlob.pfx
        east.azurestack.contoso.com\Deployment\Public Extension Host\PublicExtensionHost.pfx
        east.azurestack.contoso.com\Deployment\ACSQueue\ACSQueue.pfx
        east.azurestack.contoso.com\Deployment\ACSTable\ACSTable.pfx
        east.azurestack.contoso.com\Deployment\KeyVault\KeyVault.pfx
    
    Stage 3: Validating Certificates.
    
    Validating east.azurestack.contoso.com-Deployment-AAD certificates in C:\Users\[*redacted*]\Documents\AzureStack\east.azurestack.contoso.com\Deployment 
    
    Testing: KeyVaultInternal\KeyVaultInternal.pfx
    Thumbprint: E86699****************************4617D6
        PFX Encryption: OK
        Expiry Date: OK
        Signature Algorithm: OK
        DNS Names: OK
        Key Usage: OK
        Key Length: OK
        Parse PFX: OK
        Private Key: OK
        Cert Chain: OK
        Chain Order: OK
        Other Certificates: OK
    Testing: ARM Public\ARMPublic.pfx
        ...
    Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
    ConvertTo-AzsPFX Completed
    

    Nota

    Para utilização adicional, ConvertTo-AzsPFX de ajuda de ajuda- Full para utilização posterior, como a desativação da validação ou a filtragem para diferentes formatos de certificado.

    Após um certificado de validação bem sucedido pode ser apresentado para Implantação ou Rotação sem quaisquer passos adicionais.

Preparar certificados (passos manuais)

Utilize estes passos para embalar certificados para novos certificados Azure Stack Hub PKI utilizando passos manuais.

Importar o certificado

  1. Copie as versões originais do certificado obtidas do seu CA de eleição num diretório no anfitrião de implantação.

    Aviso

    Não copie ficheiros que já tenham sido importados, exportados ou alterados de qualquer forma a partir dos ficheiros fornecidos diretamente pela AC.

  2. Clique com o botão direito no certificado e selecione Install Certificate ou Install PFX, dependendo da forma como o certificado foi entregue a partir do seu CA.

  3. No Certificado De Importação De Assistente,selecione Máquina Local como local de importação. Selecione Seguinte. No ecrã seguinte, selecione o próximo novamente.

    Local de importação de máquinas para certificado

  4. Escolha colocar todos os certificados na loja seguinte e, em seguida, selecione Enterprise Trust como o local. Selecione OK para fechar a caixa de diálogo de seleção da loja de certificados e, em seguida, selecione Seguinte.

    Configure a loja de certificados para a importação de certificados

    a. Se estiver a importar um PFX, será apresentado um diálogo adicional. Na página de proteção de chaves Privada, introduza a palavra-passe para os seus ficheiros de certificado e, em seguida, ative a chave Mark como opção exportável, permitindo-lhe fazer o back up ou transportar as suas chaves mais tarde. Selecione Seguinte.

    Chave de marca como exportável

  5. Selecione Acabamento para completar a importação.

Nota

Depois de importar um certificado para O Azure Stack Hub, a chave privada do certificado é armazenada como um ficheiro PKCS 12 (PFX) em armazenamento agrupado.

Exportar o certificado

Abra a consola MMC do Gestor de Certificados e ligue-se à loja de certificados Local Machine.

  1. Abra a Consola de Gestão da Microsoft. Para abrir a consola em Windows 10, clique com o botão direito no Menu Iniciar, selecione Executar,em seguida, digite mmc e prima para introduzir.

  2. Selecione Adicionar/Remover o Snap-In, emseguida, selecione Certificados e selecione Adicionar.

    Adicionar Certificados Snap-in na Consola de Gestão da Microsoft

  3. Selecione a conta de Computadore, em seguida, selecione Seguinte. Selecione computador local e, em seguida, termine. Selecione OK para fechar a página Add/Remove Snap-In.

    Selecione conta para adicionar certificados Snap-in na Consola de Gestão da Microsoft

  4. Consulte o certificado de certificados Enterprise TrustCertificate. Verifique se vê o seu certificado à direita.

  5. A partir da barra de tarefas da consola Do Gestor de Certificados, selecione AçõesTodas asTarefas Exportar. Selecione Seguinte.

    Nota

    Dependendo de quantos certificados Azure Stack Hub você tem, você pode precisar para completar este processo mais de uma vez.

  6. Selecione Sim, Exporte a chave privadae, em seguida, selecione Seguinte.

  7. Na secção Formato de Ficheiros de Exportação:

    • Selecione Inclua todos os certificados no certificado, se possível.

    • Selecione Exportar todas as propriedades estendidas.

    • Selecione Para a privacidade do certificado.

    • Selecione Seguinte.

      Assistente de exportação de certificado com opções selecionadas

  8. Selecione a Palavra-passe e forneça uma senha para os certificados. Crie uma palavra-passe que satisfaça os seguintes requisitos de complexidade da palavra-passe:

    • Um comprimento mínimo de oito caracteres.
    • Pelo menos três dos seguintes caracteres: letra maiúscula, letra minúscula, números de 0-9, caracteres especiais, caracteres alfabéticos que não são maiúsculas ou minúsculas.

    Tome nota desta senha. Vais usá-lo como parâmetro de implantação.

  9. Selecione Seguinte.

  10. Escolha o nome e a localização do ficheiro PFX para exportar. Selecione Seguinte.

  11. Selecione Concluir.

Passos seguintes

Validar certificados PKI