Řešení běžných potíží s certifikáty PKI služby Azure Stack HubFix common issues with Azure Stack Hub PKI certificates

Informace v tomto článku vám pomůžou pochopit a vyřešit běžné problémy s Azure Stackmi certifikáty PKI centra.The information in this article helps you understand and resolve common issues with Azure Stack Hub PKI certificates. Když použijete nástroj pro kontrolu připravenosti centra Azure Stack k ověření certifikátů PKI Azure Stack hub, můžete zjistit problémy.You can discover issues when you use the Azure Stack Hub Readiness Checker tool to validate Azure Stack Hub PKI certificates. Nástroj zkontroluje, jestli certifikáty splňují požadavky na infrastrukturu veřejných klíčů pro nasazení centra Azure Stack a rotaci Azure Stack centra, a pak zaprotokolují výsledky do report.jsv souboru.The tool checks if the certificates meet the PKI requirements of an Azure Stack Hub deployment and Azure Stack Hub secret rotation, and then logs the results to a report.json file.

Seznam CRL HTTP – upozorněníHTTP CRL - Warning

Problém – certifikát neobsahuje seznam CRL protokolu HTTP v rozšíření CDP.Issue - Certificate does not contain HTTP CRL in CDP Extension.

Oprava – jedná se o neblokující problém.Fix - This is a non-blocking issue. Azure Stack vyžaduje seznam CRL protokolu HTTP pro kontrolu odvolání podle požadavků na certifikát infrastruktury veřejných klíčů (PKI)na základě služby Azure Stack hub.Azure Stack requires HTTP CRL for revocation checking as per Azure Stack Hub public key infrastructure (PKI) certificate requirements. V certifikátu nebyl zjištěn seznam CRL protokolu HTTP.A HTTP CRL was not detected on the certificate. Pokud chcete zajistit, aby kontrola odvolání certifikátů fungovala, certifikační autorita by měla vydat certifikát se seznamem CRL protokolu HTTP v rozšíření CDP.To ensure certificate revocation checking works, the Certificate Authority should issue a certificate with a HTTP CRL in the CDP extension.

CRL HTTP – selháníHTTP CRL - Fail

Problém – nelze se připojit k seznamu CRL http v rozšíření CDP.Issue - Cannot connect to HTTP CRL in CDP Extension.

Oprava – jedná se o blokující problém.Fix - This is a blocking issue. Azure Stack vyžaduje připojení k seznamu CRL protokolu HTTP pro kontrolu odvolání podle publikačních portů a adres URL pro publikování Azure Stack rozbočovače (odchozí).Azure Stack requires connectivity to a HTTP CRL for revocation checking as per Publishing Azure Stack Hub Ports and URLs (outbound).

Šifrování PFXPFX Encryption

Problém – šifrování PFX není TRIPLEDES-SHA1.Issue - PFX encryption isn't TripleDES-SHA1.

Oprava – EXPORTUJTE soubory PFX pomocí šifrování TripleDES-SHA1 .Fix - Export PFX files with TripleDES-SHA1 encryption. Toto je výchozí šifrování pro všechny klienty Windows 10 při exportu z modulu snap-in certifikáty nebo pomocí nástroje Export-PFXCertificate .This is the default encryption for all Windows 10 clients when exporting from certificate snap-in or using Export-PFXCertificate.

Přečíst PFXRead PFX

Upozornění – heslo chrání jenom soukromé informace v certifikátu.Warning - Password only protects the private information in the certificate.

Opravit – EXPORTUJTE soubory PFX s volitelným nastavením pro možnost Povolit ochranu osobních údajů certifikátu.Fix - Export PFX files with the optional setting for Enable certificate privacy.

Problém – soubor PFX je neplatný.Issue - PFX file invalid.

Oprava – znovu exportujte certifikát pomocí postupu v části Příprava certifikátů infrastruktury veřejných klíčů Azure Stack hub pro nasazení.Fix - Re-export the certificate using the steps in Prepare Azure Stack Hub PKI certificates for deployment.

Algoritmus podpisuSignature algorithm

Algoritmus problém -signatura je SHA1.Issue - Signature algorithm is SHA1.

Oprava – pomocí postupu v Azure Stack centrum certifikátů Podepisování požadavků vygenerujte žádost o podepsání certifikátu (CSR) pomocí algoritmu podpisu SHA256.Fix - Use the steps in Azure Stack Hub certificates signing request generation to regenerate the certificate signing request (CSR) with the signature algorithm of SHA256. Poté znovu odešlete CSR k certifikační autoritě, aby se certifikát mohl znovu vystavit.Then resubmit the CSR to the certificate authority to reissue the certificate.

Privátní klíčPrivate key

Problém – privátní klíč chybí nebo neobsahuje atribut místního počítače.Issue - The private key is missing or doesn't contain the local machine attribute.

Opravit – z počítače, který vygeneroval CSR, znovu exportujte certifikát pomocí postupu v části příprava certifikátů PKI Azure Stack hub pro nasazení.Fix - From the computer that generated the CSR, re-export the certificate using the steps in Prepare Azure Stack Hub PKI certificates for deployment. Tyto kroky zahrnují export z úložiště certifikátů místního počítače.These steps include exporting from the local machine certificate store.

Řetěz certifikátůCertificate chain

Problém – řetěz certifikátů není úplný.Issue - Certificate chain isn't complete.

Oprava – certifikáty by měly obsahovat úplný řetěz certifikátů.Fix - Certificates should contain a complete certificate chain. Znovu exportujte certifikát pomocí postupu v části Příprava certifikátů PKI služby Azure Stack hub pro nasazení a vyberte možnost Zahrnout všechny certifikáty na cestě k certifikátu, pokud je to možné.Re-export the certificate using the steps in Prepare Azure Stack Hub PKI certificates for deployment and select the option Include all certificates in the certification path if possible.

Názvy DNSDNS names

ProblémDNSNameList na certifikátu neobsahuje název koncového bodu služby centra Azure Stack ani platnou shodu se zástupnými znaky.Issue - The DNSNameList on the certificate doesn't contain the Azure Stack Hub service endpoint name or a valid wildcard match. Zástupné shody jsou platné pouze pro levý krajní obor názvů názvu DNS.Wildcard matches are only valid for the left-most namespace of the DNS name. Například *.region.domain.com je platná pouze pro portal.region.domain.com , nikoli *.table.region.domain.com .For example, *.region.domain.com is only valid for portal.region.domain.com, not *.table.region.domain.com.

Oprava – pomocí kroků v Azure Stack centrum certifikátů Podepisování žádosti o podepsání znovu vygenerujte CSR se správnými názvy DNS pro podporu koncových bodů centra Azure Stack.Fix - Use the steps in Azure Stack Hub certificates signing request generation to regenerate the CSR with the correct DNS names to support Azure Stack Hub endpoints. Odešlete CSR do certifikační autority.Resubmit the CSR to a certificate authority. Pak postupujte podle kroků v části Příprava certifikátů PKI Azure Stack hub pro nasazení a exportujte certifikát z počítače, který vygeneroval CSR.Then follow the steps in Prepare Azure Stack Hub PKI certificates for deployment to export the certificate from the machine that generated the CSR.

Použití klíčeKey usage

Při použití klíče k chybě chybí digitální podpis nebo šifrování klíče nebo rozšířené použití klíče nemá ověřování serveru nebo ověřování klientů.Issue - Key usage is missing digital signature or key encipherment, or enhanced key usage is missing server authentication or client authentication.

Oprava – pomocí kroků v části Azure Stack hub Certificates Signing Request Generation znovu vygenerujte CSR se správnými atributy použití klíče.Fix - Use the steps in Azure Stack Hub certificates signing request generation to regenerate the CSR with the correct key usage attributes. Odešlete CSR do certifikační autority a ověřte, že šablona certifikátu nepřepisuje použití klíče v žádosti.Resubmit the CSR to the certificate authority and confirm that a certificate template isn't overwriting the key usage in the request.

Velikost klíčeKey size

Velikost klíče problému je menší než 2048.Issue - Key size is smaller than 2048.

Oprava – použijte postup v části Azure Stack vytvoření žádosti o podepsání certifikátů centra pro opětovné vygenerování CSR se správnou délkou klíče (2048) a pak znovu odešlete CSR k certifikační autoritě.Fix - Use the steps in Azure Stack Hub certificates signing request generation to regenerate the CSR with the correct key length (2048), and then resubmit the CSR to the certificate authority.

Pořadí řetězcůChain order

Problém – pořadí certifikátů řetězu není správné.Issue - The order of the certificate chain is incorrect.

Oprava – znovu exportujte certifikát pomocí postupu v části Příprava certifikátů infrastruktury veřejných klíčů Azure Stack hub pro nasazení a vyberte možnost Zahrnout všechny certifikáty na cestě k certifikátu, pokud je to možné.Fix - Re-export the certificate using the steps in Prepare Azure Stack Hub PKI certificates for deployment and select the option Include all certificates in the certification path if possible. Zajistěte, aby byl pro export vybraný jenom listový certifikát.Ensure that only the leaf certificate is selected for export.

Další certifikátyOther certificates

Problém – balíček PFX obsahuje certifikáty, které nejsou listový certifikát nebo část řetězu certifikátů.Issue - The PFX package contains certificates that aren't the leaf certificate or part of the certificate chain.

Oprava – znovu exportujte certifikát pomocí postupu v části Příprava certifikátů infrastruktury veřejných klíčů Azure Stack hub pro nasazenía vyberte možnost Zahrnout všechny certifikáty na cestě k certifikátu, pokud je to možné.Fix - Re-export the certificate using the steps in Prepare Azure Stack Hub PKI certificates for deployment, and select the option Include all certificates in the certification path if possible. Zajistěte, aby byl pro export vybraný jenom listový certifikát.Ensure that only the leaf certificate is selected for export.

Řešení běžných problémů s balíčkemFix common packaging issues

Nástroj AzsReadinessChecker obsahuje pomocnou rutinu nazvanou Repair-AzsPfxCertificate, která může importovat a exportovat soubor PFX za účelem opravy běžných problémů s balíčkem, včetně:The AzsReadinessChecker tool contains a helper cmdlet called Repair-AzsPfxCertificate, which can import and then export a PFX file to fix common packaging issues, including:

  • Šifrování PFX není v TRIPLEDES-SHA1.PFX encryption isn't TripleDES-SHA1.
  • V privátním klíči chybí atribut místního počítače.Private key is missing local machine attribute.
  • Řetěz certifikátů je neúplný nebo chybný.Certificate chain is incomplete or wrong. Pokud balíček PFX nepoužívá, musí místní počítač obsahovat řetěz certifikátů.The local machine must contain the certificate chain if the PFX package doesn't.
  • Další certifikátyOther certificates

Oprava – AzsPfxCertificate nemůže pomáhat, pokud potřebujete vygenerovat nového CSR a znovu vystavit certifikát.Repair-AzsPfxCertificate can't help if you need to generate a new CSR and reissue a certificate.

PředpokladyPrerequisites

Na počítači, na kterém je nástroj spuštěný, musí být nahlášené tyto požadavky:The following prerequisites must be in place on the computer on which the tool runs:

  • Windows 10 nebo Windows Server 2016 s připojením k Internetu.Windows 10 or Windows Server 2016, with internet connectivity.

  • PowerShell 5,1 nebo novější.PowerShell 5.1 or later. Pokud chcete zkontrolovat verzi, spusťte následující rutinu prostředí PowerShell a pak zkontrolujte hlavní a dílčí verze:To check your version, run the following PowerShell cmdlet and then review the Major and Minor versions:

    $PSVersionTable.PSVersion
    
  • Nakonfigurujte PowerShell pro centrum Azure Stack.Configure PowerShell for Azure Stack Hub.

  • Stáhněte si nejnovější verzi nástroje pro kontrolu připravenosti centra Azure Stack .Download the latest version of the Azure Stack Hub readiness checker tool.

Importovat a exportovat existující soubor PFXImport and export an existing PFX File

  1. V počítači, který splňuje požadavky, otevřete příkazový řádek PowerShellu se zvýšenými oprávněními a spusťte následující příkaz pro instalaci nástroje pro kontrolu připravenosti centra Azure Stack:On a computer that meets the prerequisites, open an elevated PowerShell prompt, and then run the following command to install the Azure Stack Hub readiness checker:

    Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
    
  2. Z příkazového řádku PowerShellu spusťte následující rutinu a nastavte heslo PFX.From the PowerShell prompt, run the following cmdlet to set the PFX password. Po zobrazení výzvy zadejte heslo:Enter the password when prompted:

    $password = Read-Host -Prompt "Enter password" -AsSecureString
    
  3. Z příkazového řádku PowerShellu spusťte následující příkaz pro export nového souboru PFX:From the PowerShell prompt, run the following command to export a new PFX file:

    • V -PfxPath poli zadejte cestu k souboru PFX, se kterým pracujete.For -PfxPath, specify the path to the PFX file you're working with. V následujícím příkladu je cesta .\certificates\ssl.pfx .In the following example, the path is .\certificates\ssl.pfx.
    • Pro -ExportPFXPath Zadejte umístění a název souboru PFX pro export.For -ExportPFXPath, specify the location and name of the PFX file for export. V následujícím příkladu je cesta .\certificates\ssl_new.pfx :In the following example, the path is .\certificates\ssl_new.pfx:
    Repair-AzsPfxCertificate -PfxPassword $password -PfxPath .\certificates\ssl.pfx -ExportPFXPath .\certificates\ssl_new.pfx
    
  4. Po dokončení nástroje si přečtěte výstup pro úspěch:After the tool completes, review the output for success:

    Repair-AzsPfxCertificate v1.1809.1005.1 started.
    Starting Azure Stack Hub Certificate Import/Export
    Importing PFX .\certificates\ssl.pfx into Local Machine Store
    Exporting certificate to .\certificates\ssl_new.pfx
    Export complete. Removing certificate from the local machine store.
    Removal complete.
    Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
    Repair-AzsPfxCertificate Completed
    

Další krokyNext steps