Подготовка сертификатов PKI Azure Stack Hub для развертывания или смены секретов

  • Статья

Примечание

Эта статья относится только к подготовке внешних сертификатов, которые используются для защиты конечных точек во внешней инфраструктуре и службах. Управление внутренними сертификатами осуществляется отдельно во время смены сертификатов.

Примечание

Если вы устанавливаете Реестр контейнеров Azure (ACR), рекомендуется согласовать даты окончания срока действия внешних сертификатов ACR с датами окончания срока действия других внешних сертификатов Azure Stack Hub. Кроме того, мы рекомендуем защитить PFX для ACR с помощью того же пароля, который используется для защиты других внешних сертификатов PFX.

Файлы сертификатов, полученные из центра сертификации (ЦС), должны быть импортированы и экспортированы со свойствами, соответствующими требованиям к сертификатам Azure Stack Hub.

Из этой статьи вы узнаете, как импортировать, упаковать и проверить внешние сертификаты для подготовки к развертыванию Azure Stack Hub или смене секретов.

Предварительные требования

Перед упаковкой PKI-сертификатов для развертывания Azure Stack Hub система должна соответствовать следующим предварительным требованиям:

  • Сертификаты, возвращаемые центром сертификации, хранятся в одном каталоге в формате CER (другие настраиваемые форматы, такие как .cert, .sst или .pfx).
  • Windows 10, Windows Server 2016 или более поздней версии.
  • Используйте ту же систему, которая сгенерировала запрос подписи сертификата (если вы не используете сертификат, предварительно упакованный в PFX).
  • Используйте сеансы PowerShell с повышенными привилегиями.

Перейдите к соответствующему разделу Подготовка сертификатов (средство проверки готовности Azure Stack) или Подготовка сертификатов (действия вручную).

Подготовка сертификатов (средство проверки готовности Azure Stack)

Чтобы упаковать сертификаты с помощью командлетов PowerShell средства проверки готовности Azure Stack, выполните следующие действия.

  1. Установите модуль проверки готовности Azure Stack из командной строки PowerShell (5.1 или более поздней версии), выполнив следующий командлет:

        Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease

  2. Укажите Путь к файлам сертификатов. Например:

        $Path = "$env:USERPROFILE\Documents\AzureStack"

  3. Объявите pfxPassword. Например:

        $pfxPassword = Read-Host -AsSecureString -Prompt "PFX Password"

  4. Объявите ExportPath , в который будут экспортированы результированные PFX-файлы. Например:

        $ExportPath = "$env:USERPROFILE\Documents\AzureStack"

  5. Преобразуйте сертификаты в сертификаты Azure Stack Hub. Например:

        ConvertTo-AzsPFX -Path $Path -pfxPassword $pfxPassword -ExportPath $ExportPath

  6. Просмотрите выходные данные:

    ConvertTo-AzsPFX v1.2005.1286.272 started.

Stage 1: Scanning Certificates
    Path: C:\Users\[*redacted*]\Documents\AzureStack Filter: CER Certificate count: 11
    adminmanagement_east_azurestack_contoso_com_CertRequest_20200710235648.cer
    adminportal_east_azurestack_contoso_com_CertRequest_20200710235645.cer
    management_east_azurestack_contoso_com_CertRequest_20200710235644.cer
    portal_east_azurestack_contoso_com_CertRequest_20200710235646.cer
    wildcard_adminhosting_east_azurestack_contoso_com_CertRequest_20200710235649.cer
    wildcard_adminvault_east_azurestack_contoso_com_CertRequest_20200710235642.cer
    wildcard_blob_east_azurestack_contoso_com_CertRequest_20200710235653.cer
    wildcard_hosting_east_azurestack_contoso_com_CertRequest_20200710235652.cer
    wildcard_queue_east_azurestack_contoso_com_CertRequest_20200710235654.cer
    wildcard_table_east_azurestack_contoso_com_CertRequest_20200710235650.cer
    wildcard_vault_east_azurestack_contoso_com_CertRequest_20200710235647.cer

Detected ExternalFQDN: east.azurestack.contoso.com

Stage 2: Exporting Certificates
    east.azurestack.contoso.com\Deployment\ARM Admin\ARMAdmin.pfx
    east.azurestack.contoso.com\Deployment\Admin Portal\AdminPortal.pfx
    east.azurestack.contoso.com\Deployment\ARM Public\ARMPublic.pfx
    east.azurestack.contoso.com\Deployment\Public Portal\PublicPortal.pfx
    east.azurestack.contoso.com\Deployment\Admin Extension Host\AdminExtensionHost.pfx
    east.azurestack.contoso.com\Deployment\KeyVaultInternal\KeyVaultInternal.pfx
    east.azurestack.contoso.com\Deployment\ACSBlob\ACSBlob.pfx
    east.azurestack.contoso.com\Deployment\Public Extension Host\PublicExtensionHost.pfx
    east.azurestack.contoso.com\Deployment\ACSQueue\ACSQueue.pfx
    east.azurestack.contoso.com\Deployment\ACSTable\ACSTable.pfx
    east.azurestack.contoso.com\Deployment\KeyVault\KeyVault.pfx

Stage 3: Validating Certificates.

Validating east.azurestack.contoso.com-Deployment-AAD certificates in C:\Users\[*redacted*]\Documents\AzureStack\east.azurestack.contoso.com\Deployment 

Testing: KeyVaultInternal\KeyVaultInternal.pfx
Thumbprint: E86699****************************4617D6
    PFX Encryption: OK
    Expiry Date: OK
    Signature Algorithm: OK
    DNS Names: OK
    Key Usage: OK
    Key Length: OK
    Parse PFX: OK
    Private Key: OK
    Cert Chain: OK
    Chain Order: OK
    Other Certificates: OK
Testing: ARM Public\ARMPublic.pfx
    ...
Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
ConvertTo-AzsPFX Completed

    Примечание

    Для дополнительного использования используйте get-help ConvertTo-AzsPFX -Full для дальнейшего использования, например отключения проверки или фильтрации для различных форматов сертификатов.

    После успешной проверки сертификаты можно представить для развертывания или смены без каких-либо дополнительных действий.

Подготовка сертификатов (действия вручную)

Используйте эти действия, чтобы упаковать сертификаты для новых PKI-сертификатов Azure Stack Hub, выполнив действия вручную.

Импорт сертификата

  1. Скопируйте исходные версии сертификатов, полученные из выбранного центра сертификации, в каталог на узле развертывания.

    Предупреждение

    Не копируйте файлы, которые уже были импортированы, экспортированы или изменены каким-либо образом относительно файлов, предоставленных непосредственно центром сертификации.

  2. Щелкните правой кнопкой мыши сертификат и выберите Установить сертификат или Установить PFX, в зависимости от того, как был доставлен сертификат из ЦС.

  3. В окне Мастер импорта сертификатов выберите Локальный компьютер в качестве расположения импорта. Выберите Далее. На следующем экране еще раз выберите "Далее".

    Расположение импорта на локальном компьютере для сертификата

  4. Выберите Place all certificate in the following store (Поместить все сертификаты в следующее хранилище), а затем укажите Доверительные отношения в предприятии в качестве расположения. Выберите ОК, чтобы закрыть диалоговое окно выбора хранилища сертификатов, а затем нажмите кнопку Далее.

    Настройка хранилища сертификатов для импорта сертификатов

    а. При импорте PFX-файла отобразится дополнительное диалоговое окно. На странице Защита с закрытым ключом введите пароль для файлов сертификатов, а затем включите параметр Пометить этот ключ как экспортируемый. Чтобы позже выполнить резервное копирование или транспортировку ключей. Выберите Далее.

    Пометка ключа доступным для экспорта

  5. Выберите Готово для завершения импорта.

Примечание

После импорта сертификата для Azure Stack Hub закрытый ключ сертификата хранится в виде файла PKCS 12 (PFX) в системе хранения данных кластера.

Экспорт сертификата

Откройте консоль MMC "Диспетчер сертификатов" и подключитесь к хранилищу сертификатов "Локальный компьютер".

  1. Откройте консоль управления (MMC). Чтобы открыть консоль в Windows 10, щелкните правой кнопкой мыши меню Пуск, выберите Выполнить, а затем введите mmc и нажмите клавишу ВВОД.

  2. ВыберитеДобавить или удалить оснастку"Файл>", а затем выберите Сертификаты и нажмите кнопку Добавить.

    Добавление оснастки сертификатов в консоль управления (MMC)

  3. Выберите учетную запись компьютера и нажмите кнопку Далее. Выберите Локальный компьютер, а затем Готово. Выберите ОК, чтобы закрыть страницу "Добавить или удалить оснастку".

    Выбор учетной записи для добавления оснастки

  4. Перейдите в каталог Сертификаты Расположениекорпоративных сертификатов>доверия>. Убедитесь, что сертификат отображается в области справа.

  5. На панели задач консоли диспетчера сертификатов выберите Действия>Все задачи>Экспорт. Выберите Далее.

    Примечание

    В зависимости от того, сколько у вас сертификатов Azure Stack Hub, может потребоваться выполнить этот процесс более одного раза.

  6. Выберите Да, Экспортировать закрытый ключ, а затем нажмите кнопку Далее.

  7. В разделе "Формат экспортируемого файла":

    • Выберите Include all certificates in the certificate if possible (Включить, по возможности, все сертификаты в сертификат).

    • Выберите Export all Extended Properties (Экспортировать все расширенные свойства).

    • Выберите Включить конфиденциальность сертификата.

    • Выберите Далее.

      Мастер экспорта сертификатов с выбранными параметрами

  8. Выберите Пароль и укажите пароль для сертификатов. Создайте пароль, отвечающий следующим требованиям сложности пароля:

    • Минимальная длина — 8 знаков.
    • По крайней мере три из следующих символов: прописная буква, строчная буква, цифры 0–9, специальные символы, алфавитный символ, не являющийся прописным или строчным.

    Запишите этот пароль. Вы будете использовать его в качестве параметра развертывания.

  9. Выберите Далее.

  10. Выберите имя и расположение для экспортируемого PFX-файла. Выберите Далее.

  11. Нажмите кнопку Готово.

Дальнейшие действия

Проверка сертификатов PKI