Dağıtım veya döndürme için Azure Stack hub PKI sertifikalarını hazırlamaPrepare Azure Stack Hub PKI certificates for deployment or rotation

Not

Bu makale, dış altyapı ve hizmetlerde uç noktaların güvenliğini sağlamak için kullanılan yalnızca dış sertifikaların hazırlanmasından ilgilidir.This article pertains to the preparation of external certificates only, which are used to secure endpoints on external infrastructure and services. İç sertifikalar, sertifika döndürme işlemisırasında ayrı olarak yönetilir.Internal certificates are managed separately, during the certificate rotation process.

Sertifika yetkilisinden (CA) alınan sertifika dosyaları içeri aktarılmalıdır ve Azure Stack hub 'ın sertifika gereksinimleriyle eşleşen özelliklerle birlikte verilmelidir.The certificate files obtained from the certificate authority (CA) must be imported and exported with properties matching Azure Stack Hub's certificate requirements.

Bu makalede, Azure Stack hub dağıtımına veya gizli dizi döngüsüne hazırlanmak için dış sertifikaların nasıl içeri aktarılacağını, paketleyeceğinizi ve doğrulanacağını öğreneceksiniz.In this article you learn how to import, package, and validate external certificates, to prepare for Azure Stack Hub deployment or secrets rotation.

ÖnkoşullarPrerequisites

Azure Stack hub dağıtımı için PKI sertifikalarını paketlemeden sisteminizin aşağıdaki önkoşulları karşılaması gerekir:Your system should meet the following prerequisites before packaging PKI certificates for an Azure Stack Hub deployment:

  • Sertifika yetkilisinden döndürülen sertifikalar,. cer biçiminde (. cert,. sst veya. pfx gibi diğer yapılandırılabilir biçimler) tek bir dizinde depolanır.Certificates returned from Certificate Authority are stored in a single directory, in .cer format (other configurable formats such as .cert, .sst or .pfx).
  • Windows 10 veya Windows Server 2016 veya üzeriWindows 10, or Windows Server 2016 or later
  • Sertifika Imzalama Isteğini oluşturan aynı sistemi kullanın (PFXs 'e önceden paketlenmiş bir sertifikayı hedeflediğinizden, yoksa).Use the same system that generated the Certificate Signing Request (unless you're targeting a certificate prepackaged into PFXs).

Uygun hazırlama sertifikalarına (Azure Stack hazırlık denetleyicisi) veya Sertifika hazırlama (el ile adımlar) bölümüne devam edin.Continue to the appropriate Prepare certificates (Azure Stack readiness checker) or Prepare certificates (manual steps) section.

Sertifikaları hazırlama (Azure Stack hazırlık denetleyicisi)Prepare certificates (Azure Stack readiness checker)

Azure Stack hazırlık denetleyicisi PowerShell cmdlet 'lerini kullanarak sertifikaları paketlemek için bu adımları kullanın:Use these steps to package certificates using the Azure Stack readiness checker PowerShell cmdlets:

  1. Aşağıdaki cmdlet 'i çalıştırarak bir PowerShell isteminden (5,1 veya üzeri) Azure Stack hazır olma denetleyicisi modülünü yüklersiniz:Install the Azure Stack readiness checker module from a PowerShell prompt (5.1 or above), by running the following cmdlet:

        Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
    
  2. Sertifika dosyalarının yolunu belirtin.Specify the Path to the certificate files. Örnek:For example:

        $Path = "$env:USERPROFILE\Documents\AzureStack"
    
  3. Pfxparolasını bildirin.Declare the pfxPassword. Örnek:For example:

        $pfxPassword = Read-Host -AsSecureString -Prompt "PFX Password"
    
  4. Elde edilen FIN Vere 'nin aktarılacağı EXPORTPATH 'i bildirin.Declare the ExportPath where the resulting PFXs will be exported to. Örnek:For example:

        $ExportPath = "$env:USERPROFILE\Documents\AzureStack"
    
  5. Sertifikaları Azure Stack hub sertifikalarına dönüştürün.Convert certificates to Azure Stack Hub Certificates. Örnek:For example:

        ConvertTo-AzsPFX -Path $Path -pfxPassword $pfxPassword -ExportPath $ExportPath
    
  6. Çıktıyı gözden geçirin:Review the output:

    ConvertTo-AzsPFX v1.2005.1286.272 started.
    
    Stage 1: Scanning Certificates
        Path: C:\Users\[*redacted*]\Documents\AzureStack Filter: CER Certificate count: 11
        adminmanagement_east_azurestack_contoso_com_CertRequest_20200710235648.cer
        adminportal_east_azurestack_contoso_com_CertRequest_20200710235645.cer
        management_east_azurestack_contoso_com_CertRequest_20200710235644.cer
        portal_east_azurestack_contoso_com_CertRequest_20200710235646.cer
        wildcard_adminhosting_east_azurestack_contoso_com_CertRequest_20200710235649.cer
        wildcard_adminvault_east_azurestack_contoso_com_CertRequest_20200710235642.cer
        wildcard_blob_east_azurestack_contoso_com_CertRequest_20200710235653.cer
        wildcard_hosting_east_azurestack_contoso_com_CertRequest_20200710235652.cer
        wildcard_queue_east_azurestack_contoso_com_CertRequest_20200710235654.cer
        wildcard_table_east_azurestack_contoso_com_CertRequest_20200710235650.cer
        wildcard_vault_east_azurestack_contoso_com_CertRequest_20200710235647.cer
    
    Detected ExternalFQDN: east.azurestack.contoso.com
    
    Stage 2: Exporting Certificates
        east.azurestack.contoso.com\Deployment\ARM Admin\ARMAdmin.pfx
        east.azurestack.contoso.com\Deployment\Admin Portal\AdminPortal.pfx
        east.azurestack.contoso.com\Deployment\ARM Public\ARMPublic.pfx
        east.azurestack.contoso.com\Deployment\Public Portal\PublicPortal.pfx
        east.azurestack.contoso.com\Deployment\Admin Extension Host\AdminExtensionHost.pfx
        east.azurestack.contoso.com\Deployment\KeyVaultInternal\KeyVaultInternal.pfx
        east.azurestack.contoso.com\Deployment\ACSBlob\ACSBlob.pfx
        east.azurestack.contoso.com\Deployment\Public Extension Host\PublicExtensionHost.pfx
        east.azurestack.contoso.com\Deployment\ACSQueue\ACSQueue.pfx
        east.azurestack.contoso.com\Deployment\ACSTable\ACSTable.pfx
        east.azurestack.contoso.com\Deployment\KeyVault\KeyVault.pfx
    
    Stage 3: Validating Certificates.
    
    Validating east.azurestack.contoso.com-Deployment-AAD certificates in C:\Users\[*redacted*]\Documents\AzureStack\east.azurestack.contoso.com\Deployment 
    
    Testing: KeyVaultInternal\KeyVaultInternal.pfx
    Thumbprint: E86699****************************4617D6
        PFX Encryption: OK
        Expiry Date: OK
        Signature Algorithm: OK
        DNS Names: OK
        Key Usage: OK
        Key Length: OK
        Parse PFX: OK
        Private Key: OK
        Cert Chain: OK
        Chain Order: OK
        Other Certificates: OK
    Testing: ARM Public\ARMPublic.pfx
        ...
    Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
    ConvertTo-AzsPFX Completed
    

    Not

    Ek kullanım için Get-Help ConvertTo-AzsPFX-Full, farklı sertifika biçimleri için doğrulamayı veya filtrelemeyi devre dışı bırakma gibi daha fazla kullanım için kullanın.For additional usage use Get-help ConvertTo-AzsPFX -Full for further usage such as disabling validation or filtering for different certificate formats.

    Başarılı bir doğrulama sertifikalarını takip etmek, ek adımlar olmadan dağıtım veya döndürme için sunulabilir.Following a successful validation certificates can be presented for Deployment or Rotation without any additional steps.

Sertifikaları hazırlama (el ile adımlar)Prepare certificates (manual steps)

El ile yapılan adımları kullanarak yeni Azure Stack hub PKI sertifikaları için sertifikaları paketlemek üzere bu adımları kullanın.Use these steps to package certificates for new Azure Stack Hub PKI certificates using manual steps.

Sertifikayı içeri aktarImport the certificate

  1. SEÇTIĞINIZ CA 'dan elde edilen özgün sertifika sürümlerini dağıtım ana bilgisayarındaki bir dizine kopyalayın.Copy the original certificate versions obtained from your CA of choice into a directory on the deployment host.

    Uyarı

    Doğrudan CA tarafından sunulan dosyalardan herhangi bir şekilde içeri aktarılmış, aktarılan veya değiştirilen dosyaları kopyalamayın.Don't copy files that have already been imported, exported, or altered in any way from the files provided directly by the CA.

  2. Sertifikanın CA 'nızdan nasıl teslim edildiğini bağlı olarak sertifikaya sağ tıklayın ve sertifikayı aç veya PFX 'i yüklensin' i seçin.Right-click on the certificate and select Install Certificate or Install PFX, depending on how the certificate was delivered from your CA.

  3. Sertifika Içeri aktarma sihirbazında, içeri aktarma konumu olarak yerel makine ' yi seçin.In the Certificate Import Wizard, select Local Machine as the import location. İleri’yi seçin.Select Next. Aşağıdaki ekranda, ileri ' yi seçin.On the following screen, select next again.

    Sertifika için yerel makine içeri aktarma konumu

  4. Tüm sertifikayı aşağıdaki depoya yerleştir ' i seçin ve ardından konum olarak Kurumsal güven ' i seçin.Choose Place all certificate in the following store and then select Enterprise Trust as the location. Sertifika deposu seçimi iletişim kutusunu kapatmak için Tamam ' ı seçin ve ardından İleri' yi seçin.Select OK to close the certificate store selection dialog box and then select Next.

    Sertifika içeri aktarma için sertifika deposunu yapılandırma

    a.a. PFX 'yi içeri aktarıyorsanız, ek bir iletişim kutusu gösterilir.If you're importing a PFX, you'll be presented with an additional dialog. Özel anahtar koruma sayfasında, sertifika dosyalarınızın parolasını girin ve ardından Bu anahtarı dışarı aktarılabilir olarak işaretle ' yi etkinleştirin.On the Private key protection page, enter the password for your certificate files and then enable the Mark this key as exportable. seçeneği, anahtarlarınızı daha sonra yedekleyebilir veya taşımanızı sağlar.option, allowing you to back up or transport your keys later. İleri’yi seçin.Select Next.

    Anahtarı verilebilir olarak işaretle

  5. İçeri aktarmayı gerçekleştirmek için son ' u seçin.Select Finish to complete the import.

Not

Azure Stack Hub için bir sertifika içeri aktardıktan sonra, sertifikanın özel anahtarı kümelenmiş depolamada PKCS 12 dosyası (PFX) olarak depolanır.After you import a certificate for Azure Stack Hub, the private key of the certificate is stored as a PKCS 12 file (PFX) on clustered storage.

Sertifikayı dışarı aktarmaExport the certificate

Certificate Manager MMC konsolunu açın ve yerel makine sertifika deposuna bağlanın.Open Certificate Manager MMC console and connect to the Local Machine certificate store.

  1. Microsoft Yönetim Konsolu 'nu açın.Open the Microsoft Management Console. Konsolu Windows 10 ' da açmak için Başlat menüsüne sağ tıklayın, Çalıştır' ı seçin ve ardından MMC yazın ve ENTER tuşuna basın.To open the console in Windows 10, right-click on the Start Menu, select Run, then type mmc and press enter.

  2. Dosya > Ekle/Kaldır ek bileşenini seçin ve ardından Sertifikalar ' ı seçin ve Ekle' yi seçin.Select File > Add/Remove Snap-In, then select Certificates and select Add.

    Microsoft Yönetim Konsolu 'nda Sertifika ek bileşeni ekleme

  3. Bilgisayar hesabı' nı seçin ve ardından İleri' yi seçin.Select Computer account, then select Next. Yerel bilgisayar ' ı seçin ve ardından sona.Select Local computer and then Finish. Snap-In Ekle/Kaldır sayfasını kapatmak için Tamam ' ı seçin.Select OK to close the Add/Remove Snap-In page.

    Microsoft Yönetim Konsolu 'nda sertifika ekle ek bileşeni için hesap seçin

  4. Sertifikalar > Kurumsal güven > sertifikası konumuna gidin.Browse to Certificates > Enterprise Trust > Certificate location. Sertifikanızı sağda görmediğinizi doğrulayın.Verify that you see your certificate on the right.

  5. Sertifika Yöneticisi konsol görev çubuğundan Eylemler > Tüm görevler > dışarı aktar' ı seçin.From the Certificate Manager Console taskbar, select Actions > All Tasks > Export. İleri’yi seçin.Select Next.

    Not

    Kaç Azure Stack hub sertifikasına sahip olduğunuza bağlı olarak, bu işlemi birden çok kez gerçekleştirmeniz gerekebilir.Depending on how many Azure Stack Hub certificates you have, you may need to complete this process more than once.

  6. Evet, özel anahtarı dışarı aktar' ı seçin ve ardından İleri' yi seçin.Select Yes, Export the Private Key, and then select Next.

  7. Dışarı aktarma dosyası biçimi bölümünde:In the Export File Format section:

    • Mümkünse, sertifikaya tüm sertifikaları dahil et ' i seçin.Select Include all certificates in the certificate if possible.

    • Tüm genişletilmiş özellikleri dışarı aktar' ı seçin.Select Export all Extended Properties.

    • Sertifika gizliliğini etkinleştir' i seçin.Select Enable certificate privacy.

    • İleri’yi seçin.Select Next.

      Seçili seçeneklerle sertifika dışarı aktarma Sihirbazı

  8. Parola ' yı seçin ve sertifikalar için bir parola belirtin.Select Password and provide a password for the certificates. Aşağıdaki parola karmaşıklığı gereksinimlerini karşılayan bir parola oluşturun:Create a password that meets the following password complexity requirements:

    • En az sekiz karakter uzunluğunda.A minimum length of eight characters.
    • Şu karakterlerden en az üçünü: büyük harf, küçük harf, 0-9 arasındaki sayılar, özel karakterler, büyük harf veya küçük harf olmayan alfabetik karakter.At least three of the following characters: uppercase letter, lowercase letter, numbers from 0-9, special characters, alphabetical character that's not uppercase or lowercase.

    Bu parolayı unutmayın.Make note of this password. Bunu bir dağıtım parametresi olarak kullanacaksınız.You'll use it as a deployment parameter.

  9. İleri’yi seçin.Select Next.

  10. Dışarı aktarılacak PFX dosyası için bir dosya adı ve konum seçin.Choose a file name and location for the PFX file to export. İleri’yi seçin.Select Next.

  11. Son'u seçin.Select Finish.

Sonraki adımlarNext steps

PKI sertifikalarını doğrulamaValidate PKI certificates