Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
A ferramenta Azure Stack Hub Readiness Checker descrita neste artigo está disponível na Galeria do PowerShell. Use a ferramenta para validar se certificados de infraestrutura de chave pública (PKI) gerados são adequados para pré-implantação. Valide certificados deixando tempo suficiente para testar e reemitir certificados, se necessário.
A ferramenta Verificador de Preparação executa as seguintes validações de certificado:
-
Analisar PFX
Verifica se há um arquivo PFX válido, senha correta e se as informações públicas estão protegidas pela senha. -
Data de validade
Verifica a validade mínima de sete dias. -
Algoritmo de assinatura
Verifica se o algoritmo de assinatura não é SHA1. -
chave privada
Verifica se a chave privada está presente e é exportada com o atributo de máquina local. -
da cadeia Cert
Verifica se a cadeia de certificados está intacta, incluindo uma verificação de certificados autoassinados. -
nomes DNS
Verifica se a SAN contém nomes DNS relevantes para cada ponto de extremidade ou se um curinga de suporte está presente. -
Utilização da Chave
Verifica se o uso da chave contém uma assinatura digital e uma codificação de chave e verifica se o uso avançado da chave contém autenticação de servidor e autenticação de cliente. -
Tamanho da chave
Verifica se o tamanho da chave é 2048 ou maior. -
Ordem da cadeia
Verifica a ordem dos outros certificados validando se a ordem está correta. -
Outros certificados
Certifique-se de que nenhum outro certificado foi incluído no PFX além do certificado final relevante e da sua cadeia associada.
Importante
O certificado PKI é um arquivo PFX e a senha deve ser tratada como informação sensível.
Pré-requisitos
Seu sistema deve atender aos seguintes pré-requisitos antes de validar certificados PKI para uma implantação do Azure Stack Hub:
- Verificador de Preparação do Stack Hub do Microsoft Azure.
- Certificado(s) SSL, exportado(s) seguindo as instruções de preparação .
- DeploymentData.json.
- Windows 10 ou Windows Server 2016.
Executar a validação do certificado de serviços principais
Use estas etapas para validar os certificados PKI do Azure Stack Hub para implantação e rotação de segredos:
Instale AzsReadinessChecker partir de um prompt do PowerShell (5.1 ou superior) executando o seguinte cmdlet:
Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrereleaseCrie a estrutura de diretórios de certificados. No exemplo abaixo, você pode alterar
<C:\Certificates\Deployment>para um novo caminho de diretório de sua escolha.New-Item C:\Certificates\Deployment -ItemType Directory $directories = 'ACSBlob', 'ACSQueue', 'ACSTable', 'Admin Extension Host', 'Admin Portal', 'ARM Admin', 'ARM Public', 'KeyVault', 'KeyVaultInternal', 'Public Extension Host', 'Public Portal' $destination = 'C:\Certificates\Deployment' $directories | % { New-Item -Path (Join-Path $destination $PSITEM) -ItemType Directory -Force}Observação
O AD FS e o Graph são necessários se você estiver usando o AD FS como seu sistema de identidade. Por exemplo:
$directories = 'ACSBlob', 'ACSQueue', 'ACSTable', 'ADFS', 'Admin Extension Host', 'Admin Portal', 'ARM Admin', 'ARM Public', 'Graph', 'KeyVault', 'KeyVaultInternal', 'Public Extension Host', 'Public Portal'- Coloque o(s) seu(s) certificado(s) nos diretórios apropriados criados na etapa anterior. Por exemplo:
C:\Certificates\Deployment\ACSBlob\CustomerCertificate.pfxC:\Certificates\Deployment\Admin Portal\CustomerCertificate.pfxC:\Certificates\Deployment\ARM Admin\CustomerCertificate.pfx
- Coloque o(s) seu(s) certificado(s) nos diretórios apropriados criados na etapa anterior. Por exemplo:
Na janela do PowerShell, altere os valores de
RegionName,FQDNeIdentitySystemapropriado para o ambiente do Azure Stack Hub e execute o seguinte cmdlet:$pfxPassword = Read-Host -Prompt "Enter PFX Password" -AsSecureString Invoke-AzsHubDeploymentCertificateValidation -CertificatePath C:\Certificates\Deployment -pfxPassword $pfxPassword -RegionName east -FQDN azurestack.contoso.com -IdentitySystem AADVerifique a saída e certifique-se de que todos os certificados passam em todos os testes. Por exemplo:
Invoke-AzsHubDeploymentCertificateValidation v1.2005.1286.272 started. Testing: KeyVaultInternal\KeyVaultInternal.pfx Thumbprint: E86699****************************4617D6 PFX Encryption: OK Expiry Date: OK Signature Algorithm: OK DNS Names: OK Key Usage: OK Key Length: OK Parse PFX: OK Private Key: OK Cert Chain: OK Chain Order: OK Other Certificates: OK Testing: ARM Public\ARMPublic.pfx Thumbprint: 8DC4D9****************************69DBAA PFX Encryption: OK Expiry Date: OK Signature Algorithm: OK DNS Names: OK Key Usage: OK Key Length: OK Parse PFX: OK Private Key: OK Cert Chain: OK Chain Order: OK Other Certificates: OK Testing: Admin Portal\AdminPortal.pfx Thumbprint: 6F9055****************************4AC0EA PFX Encryption: OK Expiry Date: OK Signature Algorithm: OK DNS Names: OK Key Usage: OK Key Length: OK Parse PFX: OK Private Key: OK Cert Chain: OK Chain Order: OK Other Certificates: OK Testing: Public Portal\PublicPortal.pfx Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log Report location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json Invoke-AzsHubDeploymentCertificateValidation CompletedPara validar certificados para outros serviços do Azure Stack Hub, altere o valor para
-CertificatePath. Por exemplo:# App Services Invoke-AzsHubAppServicesCertificateValidation -CertificatePath C:\Certificates\AppServices -pfxPassword $pfxPassword -RegionName east -FQDN azurestack.contoso.com # DBAdapter Invoke-AzsHubDBAdapterCertificateValidation -CertificatePath C:\Certificates\DBAdapter -pfxPassword $pfxPassword -RegionName east -FQDN azurestack.contoso.com # EventHubs Invoke-AzsHubEventHubsCertificateValidation -CertificatePath C:\Certificates\EventHubs -pfxPassword $pfxPassword -RegionName east -FQDN azurestack.contoso.comCada pasta deve conter um único arquivo PFX para o tipo de certificado. Se um tipo de certificado tiver requisitos de múltiplos certificados, são esperadas pastas aninhadas para cada certificado individual, e estas devem ser sensíveis à nomenclatura. O código a seguir mostra um exemplo de estrutura de pasta/certificado para todos os tipos de certificado e o valor apropriado para
-CertificatePath.C:\>tree c:\SecretStore /A /F Folder PATH listing Volume serial number is 85AE-DF2E C:\SECRETSTORE \---AzureStack +---CertificateRequests \---Certificates +---AppServices # Invoke-AzsCertificateValidation ` | +---API # -CertificatePath C:\Certificates\AppServices | | api.pfx | | | +---DefaultDomain | | wappsvc.pfx | | | +---Identity | | sso.pfx | | | \---Publishing | ftp.pfx | +---DBAdapter # Invoke-AzsCertificateValidation ` | dbadapter.pfx # -CertificatePath C:\Certificates\DBAdapter | | +---Deployment # Invoke-AzsCertificateValidation ` | +---ACSBlob # -CertificatePath C:\Certificates\Deployment | | acsblob.pfx | | | +---ACSQueue | | acsqueue.pfx ./. ./. ./. ./. ./. ./. ./. <- Deployment certificate tree trimmed. | \---Public Portal | portal.pfx | \---EventHubs # Invoke-AzsCertificateValidation ` eventhubs.pfx # -CertificatePath C:\Certificates\EventHubs
Problemas conhecidos
Symptom: Os testes são ignorados
Causa: AzsReadinessChecker ignora certos testes se uma dependência não for atendida:
Outros certificados são ignorados se a cadeia de certificados falhar.
Testing: ACSBlob\singlewildcard.pfx Read PFX: OK Signature Algorithm: OK Private Key: OK Cert Chain: OK DNS Names: Fail Key Usage: OK Key Size: OK Chain Order: OK Other Certificates: Skipped Details: The certificate records '*.east.azurestack.contoso.com' do not contain a record that is valid for '*.blob.east.azurestack.contoso.com'. Please refer to the documentation for how to create the required certificate file. The other certificates check was skipped because cert chain and/or DNS names failed. Follow the guidance to remediate those issues and recheck. Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json Invoke-AzsCertificateValidation Completed
Resolução. Siga as orientações da ferramenta na seção de detalhes abaixo de cada conjunto de testes para cada certificado.
Sintoma: a verificação HTTP da CRL falha apesar de ter uma CDP HTTP gravada nas extensões x509.
causa: Atualmente, o AzsReadinessChecker não pode verificar a CDP HTTP em alguns idiomas.
Resolução: Execute a validação com o idioma do SO definido como EN-US.
Certificados
| Diretório | Certidão |
|---|---|
| ACSBlob | wildcard_blob_<region>_<externalFQDN> |
| ACSQueue | wildcard_queue_<region>_<externalFQDN> |
| ACSTable | wildcard_table_<region>_<externalFQDN> |
| Host de Extensões do Administrador | wildcard_adminhosting_<region>_<externalFQDN> |
| Portal de Administração | adminportal_<region>_<externalFQDN> |
| Administrador ARM | adminmanagement_<region>_<externalFQDN> |
| ARM Público | management_<region>_<externalFQDN> |
| KeyVault | wildcard_vault_<region>_<externalFQDN> |
| KeyVaultInterno | wildcard_adminvault_<region>_<externalFQDN> |
| Host de extensão pública | wildcard_hosting_<region>_<externalFQDN> |
| Portal Público | portal_<region>_<externalFQDN> |
Próximos passos
Depois que os seus certificados forem validados pelo AzsReadinessChecker, estará pronto para usá-los na implementação do Azure Stack Hub ou na rotação de segredos após a implementação.
- Para implantação, transfira com segurança seus certificados para o engenheiro de implantação para que ele possa copiá-los para o host da máquina virtual de implantação, conforme especificado em requisitos PKI do Hub de Pilha do Azure - Certificados obrigatórios.
- Para obter informações sobre rotação de segredos, consulte Girar segredos no Azure Stack Hub. A rotação de certificados de provedor de recursos de valor agregado é abordada na seção Girar segredos externos.