今回はAzure Stack用に証明書を用意する際のポイントに関して備忘録を兼ねて書いておきます。自社導入時に少々整理する必要がある点もあり、まだあまりまとまった資料もありませんでしたので…。

と思って書き出そうとしたら公式サイトに1月30日にドキュメント追加されてますね！良いことです。

• Azure Stack Public Key Infrastructure certificate requirements for Azure Stack integrated systems | Microsoft Docs
• Generate Azure Stack Public Key Infrastructure certificates for Azure Stack integrated systems deployment | Microsoft Docs

自分が書こうとおもっていた注意点はここにまとめられていたので…特に書くことがなくなってしまったのですが、ハマりどころだけ書いておきたいと思います。

• 後からサービスを追加すると追加で証明書が必要になる形態で作られているので、「Azure Stack用の証明書用の予算」は多めに確保しておくのが吉です。組織内のCAからの発行であればそこは気にしなくてよいのですが。ただ、現実的には公的証明局の証明書での運用は難しそうです。(The ACS certificate requires three wildcard SANs on a single certificate. Multiple wildcard SANs on a single certificate might not be supported by all Public Certificate Authorities.)
• ドキュメントにある通り、iniファイルを書いて、Windows標準のcertreq.exeで証明書要求を作成するのが1番簡単だと思います。(私がWindowsに慣れているからそう思うだけかもしれませんが)
• Windows ServerのCAを利用するには、規定では有効になっていないSANを有効化する必要があります。有効化する方法は下記参照。
• セキュリティで保護された LDAP 証明書にサブジェクトの別名を追加する方法
• ハッシュアルゴリズムにSHA1は使えないので、必要に応じてcertutilにてCAのハッシュアルゴリズムを変更する必要がある。
• 暗号化サービス プロバイダー (CSP) からキー記憶域プロバイダー (KSP) への証明書機関キーの移行