Generera begäran om certifikatsignering för Azure Stack HubGenerate certificate signing requests for Azure Stack Hub

Du kan använda verktyget Azure Stack Hub readiness Checker för att skapa begär Anden om certifikat signering som är lämpliga för en Azure Stack Hub-distribution.You can use the Azure Stack Hub Readiness Checker tool to create Certificate Signing Requests (CSRs) suitable for an Azure Stack Hub deployment. Certifikaten bör begäras, genereras och verifieras med tillräckligt lång tid för att testa innan distributionen.Certificates should be requested, generated, and validated with enough time to test before deployment. Du kan hämta verktyget från PowerShell-galleriet.You can get the tool from the PowerShell Gallery.

Du kan använda verktyget Azure Stack Hub readiness Checker (AzsReadinessChecker) för att begära följande certifikat:You can use the Azure Stack Hub Readiness Checker tool (AzsReadinessChecker) to request the following certificates:

FörutsättningarPrerequisites

Systemet bör uppfylla följande krav innan du genererar några kund service representanter för PKI-certifikat för en Azure Stack hubb-distribution:Your system should meet the following prerequisites before generating any CSRs for PKI certificates for an Azure Stack Hub deployment:

  • Microsoft Azure Stack Hub readiness CheckerMicrosoft Azure Stack Hub Readiness Checker

  • Certifikatets attribut:Certificate attributes:

    • Region namnRegion name
    • Externt fullständigt kvalificerat domän namn (FQDN)External fully qualified domain name (FQDN)
    • ÄmneSubject
  • Windows 10 eller Windows Server 2016 eller senareWindows 10 or Windows Server 2016 or later

    Anteckning

    När du får tillbaka certifikat från certifikat utfärdaren måste stegen i förbereda Azure Stack hubb-PKI-certifikat slutföras på samma system!When you receive your certificates back from your certificate authority, the steps in Prepare Azure Stack Hub PKI certificates will need to be completed on the same system!

Generera begär Anden om certifikat signering för nya distributionerGenerate certificate signing requests for new deployments

Använd de här stegen för att förbereda certifikat signerings begär Anden för nya Azure Stack hubb-PKI-certifikat:Use these steps to prepare certificate signing requests for new Azure Stack Hub PKI certificates:

  1. Installera AzsReadinessChecker från en PowerShell-prompt (5,1 eller senare) genom att köra följande cmdlet:Install AzsReadinessChecker from a PowerShell prompt (5.1 or above), by running the following cmdlet:

        Install-Module Microsoft.AzureStack.ReadinessChecker
    
  2. Deklarera ämnet.Declare the subject. Till exempel:For example:

    $subject = "C=US,ST=Washington,L=Redmond,O=Microsoft,OU=Azure Stack Hub"
    

    Anteckning

    Om ett eget namn (CN) anges, kommer det att konfigureras på varje certifikat förfrågan.If a common name (CN) is supplied, it will be configured on every certificate request. Om ett CN utelämnas, konfigureras det första DNS-namnet för Azure Stack Hub-tjänsten på certifikatbegäran.If a CN is omitted, the first DNS name of the Azure Stack Hub service will be configured on the certificate request.

  3. Deklarera en utgående katalog som redan finns.Declare an output directory that already exists. Till exempel:For example:

    $outputDirectory = "$ENV:USERPROFILE\Documents\AzureStackCSR"
    
  4. Deklarera identitets systemet.Declare identity system.

    Azure Active Directory (Azure AD):Azure Active Directory (Azure AD):

    $IdentitySystem = "AAD"
    

    Active Directory Federation Services (AD FS) (AD FS):Active Directory Federation Services (AD FS):

    $IdentitySystem = "ADFS"
    

    Anteckning

    Parametern krävs endast för CertificateType-distribution.The parameter is required only for CertificateType Deployment.

  5. Deklarera region namn och ett externt FQDN som är avsett för Azure Stack Hub-distributionen.Declare region name and an external FQDN intended for the Azure Stack Hub deployment.

    $regionName = 'east'
    $externalFQDN = 'azurestack.contoso.com'
    

    Anteckning

    <regionName>.<externalFQDN> utgör grunden för vilka alla externa DNS-namn i Azure Stack hubb skapas.<regionName>.<externalFQDN> forms the basis on which all external DNS names in Azure Stack Hub are created. I det här exemplet skulle portalen vara portal.east.azurestack.contoso.com .In this example, the portal would be portal.east.azurestack.contoso.com.

  6. Så här skapar du certifikat signerings begär Anden för distribution:To generate certificate signing requests for deployment:

    New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
    

    Ändra värdet för om du vill skapa certifikat begär Anden för andra Azure Stack Hub-tjänster -CertificateType .To generate certificate requests for other Azure Stack Hub services, change the value for -CertificateType. Till exempel:For example:

    # App Services
    New-AzsHubAppServicesCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
    
    # DBAdapter
    New-AzsHubDbAdapterCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
    
    # EventHubs
    New-AzsHubEventHubsCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
    
    # IoTHub
    New-AzsHubIoTHubCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -subject $subject -OutputRequestPath $OutputDirectory
    
  7. Du kan också använda utvecklings-och test miljöer för att generera en enskild certifikatbegäran med flera alternativa namn för certifikat tillägg -RequestType SingleCSR parameter och värde (rekommenderas inte för produktions miljöer):Alternatively, for Dev/Test environments, to generate a single certificate request with multiple Subject Alternative Names add -RequestType SingleCSR parameter and value (not recommended for production environments):

    New-AzsHubDeploymentCertificateSigningRequest -RegionName $regionName -FQDN $externalFQDN -RequestType SingleCSR -subject $subject -OutputRequestPath $OutputDirectory -IdentitySystem $IdentitySystem
    
  8. Granska utdata:Review the output:

    Starting Certificate Request Process for Deployment
    CSR generating for following SAN(s): *.adminhosting.east.azurestack.contoso.com,*.adminvault.east.azurestack.contoso.com,*.blob.east.azurestack.contoso.com,*.hosting.east.azurestack.contoso.com,*.queue.east.azurestack.contoso.com,*.table.east.azurestack.contoso.com,*.vault.east.azurestack.contoso.com,adminmanagement.east.azurestack.contoso.com,adminportal.east.azurestack.contoso.com,management.east.azurestack.contoso.com,portal.east.azurestack.contoso.com
    Present this CSR to your Certificate Authority for Certificate Generation: C:\Users\[*redacted*]\Documents\AzureStackCSR\Deployment_east_azurestack_contoso_com_SingleCSR_CertRequest_20200710165538.req
    Certreq.exe output: CertReq: Request Created
    
  9. Skicka in . REQ -fil som genererats till din certifikat utfärdare (antingen intern eller offentlig).Submit the .REQ file generated to your CA (either internal or public). Utdatakatalogen för New-AzsCertificateSigningRequest innehåller de CSR-användare som krävs för att skicka till en certifikat utfärdare.The output directory of New-AzsCertificateSigningRequest contains the CSR(s) necessary to submit to a Certificate Authority. Katalogen innehåller också en underordnad katalog som innehåller den eller de INF-filer som används vid generering av certifikat begär Anden.The directory also contains, for your reference, a child directory containing the INF file(s) used during certificate request generation. Se till att certifikat utfärdaren genererar certifikat med hjälp av den genererade begäran som uppfyller Azure Stack Hub PKI-krav.Be sure that your CA generates certificates using your generated request that meet the Azure Stack Hub PKI Requirements.

Generera förfrågningar om certifikat signering för certifikat förnyelseGenerate certificate signing requests for certificate renewal

Använd de här stegen för att förbereda certifikat signerings förfrågningar för förnyelse av befintliga Azure Stack hubb-PKI-certifikat:Use these steps to prepare certificate signing requests for renewal of existing Azure Stack Hub PKI certificates:

  1. Installera AzsReadinessChecker från en PowerShell-prompt (5,1 eller senare) genom att köra följande cmdlet:Install AzsReadinessChecker from a PowerShell prompt (5.1 or above), by running the following cmdlet:

        Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
    
  2. Deklarera stampEndpoint i formatet regionname.domain.com i Azure Stack Hub-systemet.Declare the stampEndpoint in the form of regionname.domain.com of the Azure Stack Hub System. Till exempel (om adressen för Azure Stack Hub-klientens Portal är https:// portal.east.azurestack.contoso.com ):For example (if the Azure Stack Hub Tenant portal address is https://portal.east.azurestack.contoso.com):

    $stampEndpoint = 'east.azurestack.contoso.com'
    

    Anteckning

    HTTPS-anslutning krävs för Azure Stack Hub-systemet ovan.HTTPS Connectivity is required for the Azure Stack Hub system above. Beredskaps kontrollen använder stampendpoint (region och domän) för att bygga en pekare till ett befintligt certifikat som krävs av certifikat typen, t. ex. för distributions certifikatets Portal är anpassningsprefix, vilket innebär att portal.east.azurestack.contoso.com används i certifikat kloning, för AppServices sso.appservices.east.azurestack.contoso.com osv. Certifikatet som är kopplat till den beräknade slut punkten används för att klona attribut, till exempel ämne, nyckel längd, Signeringsalgoritm.The Readiness Checker will use the stampendpoint (region and domain) to build a pointer to an existing certificates required by the certificate type e.g. for deployment certificates 'portal' is prepended, by the tool, so portal.east.azurestack.contoso.com is used in certificate cloning, for AppServices sso.appservices.east.azurestack.contoso.com etc. The certificate bound to the computed endpoint will be used to clone attributes such as subject, key length, signature algorithm. Om du vill ändra något av dessa attribut ska du följa stegen för att skapa en begäran om certifikat signering för nya distributioner i stället.If you wish to change any of these attributes you should follow the steps for Generate certificate signing request for new deployments instead.

  3. Deklarera en utgående katalog som redan finns.Declare an output directory that already exists. Till exempel:For example:

    $outputDirectory = "$ENV:USERPROFILE\Documents\AzureStackCSR"
    
  4. Så här skapar du certifikat signerings begär Anden för distribution:To generate certificate signing requests for deployment:

    New-AzsHubDeploymentCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
    

    Använd följande för att skapa certifikat begär Anden för andra Azure Stack Hub-tjänster:To generate certificate requests for other Azure Stack Hub services use:

    # App Services
    New-AzsHubAppServicesCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
    
    # DBAdapter
    New-AzsHubDBAdapterCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
    
    # EventHubs
    New-AzsHubEventHubsCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
    
    # IoTHub
    New-AzsHubIotHubCertificateSigningRequest -StampEndpoint $stampEndpoint -OutputRequestPath $OutputDirectory
    
  5. Du kan också använda utvecklings-och test miljöer för att generera en enskild certifikatbegäran med flera alternativa namn för certifikat tillägg -RequestType SingleCSR parameter och värde (rekommenderas inte för produktions miljöer):Alternatively, for Dev/Test environments, to generate a single certificate request with multiple Subject Alternative Names add -RequestType SingleCSR parameter and value (not recommended for production environments):

    New-AzsHubDeploymentCertificateSigningRequest -StampEndpoint $stampendpoint -OutputRequestPath $OutputDirectory -RequestType SingleCSR
    
  6. Granska utdata:Review the output:

    Querying StampEndpoint portal.east.azurestack.contoso.com for existing certificate
    Starting Certificate Request Process for Deployment
    CSR generating for following SAN(s): *.adminhosting.east.azurestack.contoso.com,*.adminvault.east.azurestack.contoso.com,*.blob.east.azurestack.contoso.com,*.hosting.east.azurestack.contoso.com,*.queue.east.azurestack.contoso.com,*.table.east.azurestack.contoso.com,*.vault.east.azurestack.contoso.com,adminmanagement.east.azurestack.contoso.com,adminportal.east.azurestack.contoso.com,management.east.azurestack.contoso.com,portal.east.azurestack.contoso.com
    Present this CSR to your Certificate Authority for Certificate Generation: C:\Users\[*redacted*]\Documents\AzureStackCSR\Deployment_east_azurestack_contoso_com_SingleCSR_CertRequest_20200710122723.req
    Certreq.exe output: CertReq: Request Created
    
  7. Skicka in . REQ -fil som genererats till din certifikat utfärdare (antingen intern eller offentlig).Submit the .REQ file generated to your CA (either internal or public). Utdatakatalogen för New-AzsCertificateSigningRequest innehåller de CSR-användare som krävs för att skicka till en certifikat utfärdare.The output directory of New-AzsCertificateSigningRequest contains the CSR(s) necessary to submit to a Certificate Authority. Katalogen innehåller också en underordnad katalog som innehåller den eller de INF-filer som används vid generering av certifikat begär Anden.The directory also contains, for your reference, a child directory containing the INF file(s) used during certificate request generation. Se till att certifikat utfärdaren genererar certifikat med hjälp av den genererade begäran som uppfyller Azure Stack Hub PKI-krav.Be sure that your CA generates certificates using your generated request that meet the Azure Stack Hub PKI Requirements.

Nästa stegNext steps

Förbereda PKI-certifikat för Azure Stack HubPrepare Azure Stack Hub PKI certificates