Řešení běžných potíží s certifikáty PKI služby Azure Stack Hub

Informace v tomto článku vám pomůžou pochopit a vyřešit běžné problémy s Azure Stackmi certifikáty PKI centra. Když použijete nástroj pro kontrolu připravenosti centra Azure Stack k ověření certifikátů PKI Azure Stack hub, můžete zjistit problémy. Nástroj zkontroluje, jestli certifikáty splňují požadavky na infrastrukturu veřejných klíčů pro nasazení centra Azure Stack a rotaci Azure Stack centra, a pak zaprotokolují výsledky do souboru Report. JSON.

Seznam CRL HTTP – upozornění

Problém – certifikát neobsahuje seznam CRL protokolu HTTP v rozšíření CDP.

Oprava – jedná se o neblokující problém. Azure Stack vyžaduje seznam CRL protokolu HTTP pro kontrolu odvolání podle požadavků na certifikát infrastruktury veřejných klíčů (PKI)na základě služby Azure Stack hub. V certifikátu nebyl zjištěn seznam CRL protokolu HTTP. Pokud chcete zajistit, aby kontrola odvolání certifikátů fungovala, certifikační autorita by měla vydat certifikát se seznamem CRL protokolu HTTP v rozšíření CDP.

CRL HTTP – selhání

Problém – nelze se připojit k seznamu CRL http v rozšíření CDP.

Oprava – jedná se o blokující problém. Azure Stack vyžaduje připojení k seznamu CRL protokolu HTTP pro kontrolu odvolání podle publikačních portů a adres URL pro publikování Azure Stack rozbočovače (odchozí).

Šifrování PFX

Problém – šifrování PFX není TRIPLEDES-SHA1.

Oprava – EXPORTUJTE soubory PFX pomocí šifrování TripleDES-SHA1 . toto je výchozí šifrování pro všechny Windows 10 klienty při exportu z modulu snap-in certifikáty nebo pomocí nástroje Export-PFXCertificate .

Přečíst PFX

Upozornění – heslo chrání jenom soukromé informace v certifikátu.

Opravit – EXPORTUJTE soubory PFX s volitelným nastavením pro možnost Povolit ochranu osobních údajů certifikátu.

Problém – soubor PFX je neplatný.

Oprava – znovu exportujte certifikát pomocí postupu v části Příprava certifikátů infrastruktury veřejných klíčů Azure Stack hub pro nasazení.

Algoritmus podpisu

Algoritmus problém -signatura je SHA1.

Oprava – pomocí postupu v Azure Stack centrum certifikátů Podepisování požadavků vygenerujte žádost o podepsání certifikátu (CSR) pomocí algoritmu podpisu SHA256. Poté znovu odešlete CSR k certifikační autoritě, aby se certifikát mohl znovu vystavit.

Privátní klíč

Problém – privátní klíč chybí nebo neobsahuje atribut místního počítače.

Opravit – z počítače, který vygeneroval CSR, znovu exportujte certifikát pomocí postupu v části příprava certifikátů PKI Azure Stack hub pro nasazení. Tyto kroky zahrnují export z úložiště certifikátů místního počítače.

Řetěz certifikátů

Problém – řetěz certifikátů není úplný.

Oprava – certifikáty by měly obsahovat úplný řetěz certifikátů. Znovu exportujte certifikát pomocí postupu v části Příprava certifikátů PKI služby Azure Stack hub pro nasazení a vyberte možnost Zahrnout všechny certifikáty na cestě k certifikátu, pokud je to možné.

Názvy DNS

ProblémDNSNameList na certifikátu neobsahuje název koncového bodu služby centra Azure Stack ani platnou shodu se zástupnými znaky. Zástupné shody jsou platné pouze pro levý krajní obor názvů názvu DNS. Například *.region.domain.com je platná pouze pro portal.region.domain.com , nikoli *.table.region.domain.com .

Oprava – pomocí kroků v Azure Stack centrum certifikátů Podepisování žádosti o podepsání znovu vygenerujte CSR se správnými názvy DNS pro podporu koncových bodů centra Azure Stack. Odešlete CSR do certifikační autority. Pak postupujte podle kroků v části Příprava certifikátů PKI Azure Stack hub pro nasazení a exportujte certifikát z počítače, který vygeneroval CSR.

Použití klíče

Při použití klíče k chybě chybí digitální podpis nebo šifrování klíče nebo rozšířené použití klíče nemá ověřování serveru nebo ověřování klientů.

Oprava – pomocí kroků v části Azure Stack hub Certificates Signing Request Generation znovu vygenerujte CSR se správnými atributy použití klíče. Odešlete CSR do certifikační autority a ověřte, že šablona certifikátu nepřepisuje použití klíče v žádosti.

Velikost klíče

Velikost klíče problému je menší než 2048.

Oprava – použijte postup v části Azure Stack vytvoření žádosti o podepsání certifikátů centra pro opětovné vygenerování CSR se správnou délkou klíče (2048) a pak znovu odešlete CSR k certifikační autoritě.

Pořadí řetězců

Problém – pořadí certifikátů řetězu není správné.

Oprava – znovu exportujte certifikát pomocí postupu v části Příprava certifikátů infrastruktury veřejných klíčů Azure Stack hub pro nasazení a vyberte možnost Zahrnout všechny certifikáty na cestě k certifikátu, pokud je to možné. Zajistěte, aby byl pro export vybraný jenom listový certifikát.

Další certifikáty

Problém – balíček PFX obsahuje certifikáty, které nejsou listový certifikát nebo část řetězu certifikátů.

Oprava – znovu exportujte certifikát pomocí postupu v části Příprava certifikátů infrastruktury veřejných klíčů Azure Stack hub pro nasazenía vyberte možnost Zahrnout všechny certifikáty na cestě k certifikátu, pokud je to možné. Zajistěte, aby byl pro export vybraný jenom listový certifikát.

Řešení běžných problémů s balíčkem

Nástroj AzsReadinessChecker obsahuje pomocnou rutinu nazvanou Repair-AzsPfxCertificate, která může importovat a exportovat soubor PFX za účelem opravy běžných problémů s balíčkem, včetně:

  • Šifrování PFX není v TRIPLEDES-SHA1.
  • V privátním klíči chybí atribut místního počítače.
  • Řetěz certifikátů je neúplný nebo chybný. Pokud balíček PFX nepoužívá, musí místní počítač obsahovat řetěz certifikátů.
  • Další certifikáty

Oprava – AzsPfxCertificate nemůže pomáhat, pokud potřebujete vygenerovat nového CSR a znovu vystavit certifikát.

Požadavky

Na počítači, na kterém je nástroj spuštěný, musí být nahlášené tyto požadavky:

  • Windows 10 nebo Windows Server 2016 s připojením k internetu.

  • PowerShell 5,1 nebo novější. Pokud chcete zkontrolovat verzi, spusťte následující rutinu prostředí PowerShell a pak zkontrolujte hlavní a dílčí verze:

    $PSVersionTable.PSVersion
    
  • Nakonfigurujte PowerShell pro centrum Azure Stack.

  • Stáhněte si nejnovější verzi nástroje pro kontrolu připravenosti centra Azure Stack .

Importovat a exportovat existující soubor PFX

  1. V počítači, který splňuje požadavky, otevřete příkazový řádek PowerShellu se zvýšenými oprávněními a spusťte následující příkaz pro instalaci nástroje pro kontrolu připravenosti centra Azure Stack:

    Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
    
  2. Z příkazového řádku PowerShellu spusťte následující rutinu a nastavte heslo PFX. Po zobrazení výzvy zadejte heslo:

    $password = Read-Host -Prompt "Enter password" -AsSecureString
    
  3. Z příkazového řádku PowerShellu spusťte následující příkaz pro export nového souboru PFX:

    • V -PfxPath poli zadejte cestu k souboru PFX, se kterým pracujete. V následujícím příkladu je cesta .\certificates\ssl.pfx .
    • Pro -ExportPFXPath Zadejte umístění a název souboru PFX pro export. V následujícím příkladu je cesta .\certificates\ssl_new.pfx :
    Repair-AzsPfxCertificate -PfxPassword $password -PfxPath .\certificates\ssl.pfx -ExportPFXPath .\certificates\ssl_new.pfx
    
  4. Po dokončení nástroje si přečtěte výstup pro úspěch:

    Repair-AzsPfxCertificate v1.1809.1005.1 started.
    Starting Azure Stack Hub Certificate Import/Export
    Importing PFX .\certificates\ssl.pfx into Local Machine Store
    Exporting certificate to .\certificates\ssl_new.pfx
    Export complete. Removing certificate from the local machine store.
    Removal complete.
    Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
    Repair-AzsPfxCertificate Completed
    

Další kroky