Подготовка сертификатов PKI Azure Stack Hub для развертывания или смены секретовPrepare Azure Stack Hub PKI certificates for deployment or rotation

Примечание

Эта статья относится только к подготовке внешних сертификатов, которые используются для защиты конечных точек во внешней инфраструктуре и службах.This article pertains to the preparation of external certificates only, which are used to secure endpoints on external infrastructure and services. Внутренние сертификаты управляются отдельно, во время процесса смены сертификата.Internal certificates are managed separately, during the certificate rotation process.

Файлы сертификатов, полученные от центра сертификации (ЦС) , должны быть импортированы и экспортированы со свойствами, соответствующими требованиям к сертификатам Azure Stack концентратора.The certificate files obtained from the certificate authority (CA) must be imported and exported with properties matching Azure Stack Hub's certificate requirements.

В этой статье вы узнаете, как импортировать, упаковать и проверить внешние сертификаты, чтобы подготовиться к развертыванию Azure Stack центра или к ротацию секретов.In this article you learn how to import, package, and validate external certificates, to prepare for Azure Stack Hub deployment or secrets rotation.

Предварительные требованияPrerequisites

Перед упаковкой PKI-сертификатов для развертывания центра Azure Stack система должна соответствовать следующим предварительным требованиям:Your system should meet the following prerequisites before packaging PKI certificates for an Azure Stack Hub deployment:

  • Сертификаты, возвращенные центром сертификации, хранятся в одном каталоге в формате CER (другие настраиваемые форматы, такие как CERT, SST или PFX).Certificates returned from Certificate Authority are stored in a single directory, in .cer format (other configurable formats such as .cert, .sst or .pfx).
  • Windows 10 или Windows Server 2016 или более поздней версииWindows 10, or Windows Server 2016 or later
  • Используйте ту же систему, которая создала запрос на подпись сертификата (если только вы не намерены использовать сертификат, упакованный в Пфксс).Use the same system that generated the Certificate Signing Request (unless you're targeting a certificate prepackaged into PFXs).

Перейдите к соответствующему подразделу Подготовка сертификатов (проверка готовности Azure Stack) или Подготовка сертификатов (действия вручную) .Continue to the appropriate Prepare certificates (Azure Stack readiness checker) or Prepare certificates (manual steps) section.

Подготовка сертификатов (средство проверки готовности Azure Stack)Prepare certificates (Azure Stack readiness checker)

Выполните следующие действия, чтобы упаковать сертификаты с помощью командлетов PowerShell для проверки готовности Azure Stack:Use these steps to package certificates using the Azure Stack readiness checker PowerShell cmdlets:

  1. Установите модуль проверки готовности Azure Stack в командной строке PowerShell (5,1 или более поздней версии), выполнив следующий командлет:Install the Azure Stack readiness checker module from a PowerShell prompt (5.1 or above), by running the following cmdlet:

        Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
    
  2. Укажите путь к файлам сертификата.Specify the Path to the certificate files. Пример:For example:

        $Path = "$env:USERPROFILE\Documents\AzureStack"
    
  3. Объявите пфкспассворд.Declare the pfxPassword. Пример:For example:

        $pfxPassword = Read-Host -AsSecureString -Prompt "PFX Password"
    
  4. Объявите експортпас , в котором будет экспортирован итоговый пфксс.Declare the ExportPath where the resulting PFXs will be exported to. Пример:For example:

        $ExportPath = "$env:USERPROFILE\Documents\AzureStack"
    
  5. Преобразуйте сертификаты в сертификаты центра Azure Stack.Convert certificates to Azure Stack Hub Certificates. Пример:For example:

        ConvertTo-AzsPFX -Path $Path -pfxPassword $pfxPassword -ExportPath $ExportPath
    
  6. Просмотрите выходные данные:Review the output:

    ConvertTo-AzsPFX v1.2005.1286.272 started.
    
    Stage 1: Scanning Certificates
        Path: C:\Users\[*redacted*]\Documents\AzureStack Filter: CER Certificate count: 11
        adminmanagement_east_azurestack_contoso_com_CertRequest_20200710235648.cer
        adminportal_east_azurestack_contoso_com_CertRequest_20200710235645.cer
        management_east_azurestack_contoso_com_CertRequest_20200710235644.cer
        portal_east_azurestack_contoso_com_CertRequest_20200710235646.cer
        wildcard_adminhosting_east_azurestack_contoso_com_CertRequest_20200710235649.cer
        wildcard_adminvault_east_azurestack_contoso_com_CertRequest_20200710235642.cer
        wildcard_blob_east_azurestack_contoso_com_CertRequest_20200710235653.cer
        wildcard_hosting_east_azurestack_contoso_com_CertRequest_20200710235652.cer
        wildcard_queue_east_azurestack_contoso_com_CertRequest_20200710235654.cer
        wildcard_table_east_azurestack_contoso_com_CertRequest_20200710235650.cer
        wildcard_vault_east_azurestack_contoso_com_CertRequest_20200710235647.cer
    
    Detected ExternalFQDN: east.azurestack.contoso.com
    
    Stage 2: Exporting Certificates
        east.azurestack.contoso.com\Deployment\ARM Admin\ARMAdmin.pfx
        east.azurestack.contoso.com\Deployment\Admin Portal\AdminPortal.pfx
        east.azurestack.contoso.com\Deployment\ARM Public\ARMPublic.pfx
        east.azurestack.contoso.com\Deployment\Public Portal\PublicPortal.pfx
        east.azurestack.contoso.com\Deployment\Admin Extension Host\AdminExtensionHost.pfx
        east.azurestack.contoso.com\Deployment\KeyVaultInternal\KeyVaultInternal.pfx
        east.azurestack.contoso.com\Deployment\ACSBlob\ACSBlob.pfx
        east.azurestack.contoso.com\Deployment\Public Extension Host\PublicExtensionHost.pfx
        east.azurestack.contoso.com\Deployment\ACSQueue\ACSQueue.pfx
        east.azurestack.contoso.com\Deployment\ACSTable\ACSTable.pfx
        east.azurestack.contoso.com\Deployment\KeyVault\KeyVault.pfx
    
    Stage 3: Validating Certificates.
    
    Validating east.azurestack.contoso.com-Deployment-AAD certificates in C:\Users\[*redacted*]\Documents\AzureStack\east.azurestack.contoso.com\Deployment 
    
    Testing: KeyVaultInternal\KeyVaultInternal.pfx
    Thumbprint: E86699****************************4617D6
        PFX Encryption: OK
        Expiry Date: OK
        Signature Algorithm: OK
        DNS Names: OK
        Key Usage: OK
        Key Length: OK
        Parse PFX: OK
        Private Key: OK
        Cert Chain: OK
        Chain Order: OK
        Other Certificates: OK
    Testing: ARM Public\ARMPublic.pfx
        ...
    Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
    ConvertTo-AzsPFX Completed
    

    Примечание

    Чтобы получить дополнительные сведения об использовании, используйте Get-Help ConvertTo-AzsPFX — Full для дальнейшего использования, например для отключения проверки или фильтрации для различных форматов сертификатов.For additional usage use Get-help ConvertTo-AzsPFX -Full for further usage such as disabling validation or filtering for different certificate formats.

    За успешными сертификатами проверки можно представить развертывание или вращение без дополнительных действий.Following a successful validation certificates can be presented for Deployment or Rotation without any additional steps.

Подготовка сертификатов (ручные действия)Prepare certificates (manual steps)

Выполните следующие действия, чтобы упаковать сертификаты для новых сертификатов PKI центра Azure Stack с помощью действий, выполняемых вручную.Use these steps to package certificates for new Azure Stack Hub PKI certificates using manual steps.

Импорт сертификатаImport the certificate

  1. Скопируйте исходные версии сертификатов, полученные из выбранного центра сертификации, в каталог на узле развертывания.Copy the original certificate versions obtained from your CA of choice into a directory on the deployment host.

    Предупреждение

    Не копируйте файлы, которые уже были импортированы, экспортированы или изменены каким-либо образом относительно файлов, предоставленных непосредственно центром сертификации.Don't copy files that have already been imported, exported, or altered in any way from the files provided directly by the CA.

  2. Щелкните правой кнопкой мыши сертификат и выберите Установить сертификат или Установить PFX, в зависимости от того, как был доставлен сертификат из ЦС.Right-click on the certificate and select Install Certificate or Install PFX, depending on how the certificate was delivered from your CA.

  3. В окне Мастер импорта сертификатов выберите Локальный компьютер в качестве расположения импорта.In the Certificate Import Wizard, select Local Machine as the import location. Выберите Далее.Select Next. На следующем экране еще раз выберите "Далее".On the following screen, select next again.

    Расположение импорта на локальном компьютере для сертификата

  4. Выберите Place all certificate in the following store (Поместить все сертификаты в следующее хранилище), а затем укажите Доверительные отношения в предприятии в качестве расположения.Choose Place all certificate in the following store and then select Enterprise Trust as the location. Выберите ОК, чтобы закрыть диалоговое окно выбора хранилища сертификатов, а затем нажмите кнопку Далее.Select OK to close the certificate store selection dialog box and then select Next.

    Настройка хранилища сертификатов для импорта сертификатов

    а.a. При импорте PFX-файла отобразится дополнительное диалоговое окно.If you're importing a PFX, you'll be presented with an additional dialog. На странице защита закрытого ключа введите пароль для файлов сертификатов, а затем установите флажок Пометить этот ключ как экспортируемый.On the Private key protection page, enter the password for your certificate files and then enable the Mark this key as exportable. , что позволит вам позже выполнить резервное копирование или транспортировку ключей.option, allowing you to back up or transport your keys later. Выберите Далее.Select Next.

    Пометка ключа доступным для экспорта

  5. Выберите Готово для завершения импорта.Select Finish to complete the import.

Примечание

После импорта сертификата для Azure Stack Hub закрытый ключ сертификата хранится в виде файла PKCS 12 (PFX) в системе хранения данных кластера.After you import a certificate for Azure Stack Hub, the private key of the certificate is stored as a PKCS 12 file (PFX) on clustered storage.

Экспорт сертификатаExport the certificate

Откройте консоль MMC "Диспетчер сертификатов" и подключитесь к хранилищу сертификатов "Локальный компьютер".Open Certificate Manager MMC console and connect to the Local Machine certificate store.

  1. Откройте консоль управления (MMC).Open the Microsoft Management Console. Чтобы открыть консоль в Windows 10, щелкните правой кнопкой мыши меню Пуск, выберите команду выполнить, введите MMC и нажмите клавишу ВВОД.To open the console in Windows 10, right-click on the Start Menu, select Run, then type mmc and press enter.

  2. Выберите файл > Добавить или удалить оснастку, а затем выберите Сертификаты и нажмите кнопку Добавить.Select File > Add/Remove Snap-In, then select Certificates and select Add.

    Добавление оснастки сертификатов в консоль управления (MMC)

  3. Выберите учетную запись компьютера и нажмите кнопку Далее.Select Computer account, then select Next. Выберите Локальный компьютер, а затем Готово.Select Local computer and then Finish. Выберите ОК, чтобы закрыть страницу "Добавить или удалить оснастку".Select OK to close the Add/Remove Snap-In page.

    Выбор учетной записи для добавления оснастки "Сертификаты" в консоли управления (MMC)

  4. Выберите Сертификаты > > расположение сертификата доверия предприятия.Browse to Certificates > Enterprise Trust > Certificate location. Убедитесь, что сертификат отображается в области справа.Verify that you see your certificate on the right.

  5. На панели задач консоли диспетчера сертификатов выберите действия > все задачи > Экспорт.From the Certificate Manager Console taskbar, select Actions > All Tasks > Export. Выберите Далее.Select Next.

    Примечание

    В зависимости от того, сколько у вас сертификатов Azure Stack Hub, может потребоваться выполнить этот процесс более одного раза.Depending on how many Azure Stack Hub certificates you have, you may need to complete this process more than once.

  6. Выберите Да, экспортировать закрытый ключ, а затем нажмите кнопку Далее.Select Yes, Export the Private Key, and then select Next.

  7. В разделе "Формат экспортируемого файла":In the Export File Format section:

    • Выберите Include all certificates in the certificate if possible (Включить, по возможности, все сертификаты в сертификат).Select Include all certificates in the certificate if possible.

    • Выберите Export all Extended Properties (Экспортировать все расширенные свойства).Select Export all Extended Properties.

    • Выберите Включить конфиденциальность сертификата.Select Enable certificate privacy.

    • Выберите Далее.Select Next.

      Мастер экспорта сертификатов с выбранными параметрами

  8. Выберите Пароль и укажите пароль для сертификатов.Select Password and provide a password for the certificates. Создайте пароль, отвечающий следующим требованиям сложности пароля:Create a password that meets the following password complexity requirements:

    • Минимальная длина — 8 знаков.A minimum length of eight characters.
    • По крайней мере три из следующих символов: прописная буква, строчная буква, цифры 0–9, специальные символы, алфавитный символ, не являющийся прописным или строчным.At least three of the following characters: uppercase letter, lowercase letter, numbers from 0-9, special characters, alphabetical character that's not uppercase or lowercase.

    Запишите этот пароль.Make note of this password. Вы будете использовать его в качестве параметра развертывания.You'll use it as a deployment parameter.

  9. Выберите Далее.Select Next.

  10. Выберите имя и расположение для экспортируемого PFX-файла.Choose a file name and location for the PFX file to export. Выберите Далее.Select Next.

  11. Нажмите кнопку Готово.Select Finish.

Дальнейшие действияNext steps

Проверка сертификатов PKIValidate PKI certificates