Řešení běžných potíží s certifikáty PKI služby Azure Stack Hub

Informace v tomto článku vám pomůžou pochopit a vyřešit běžné problémy s certifikáty PKI služby Azure Stack Hub. Problémy můžete zjistit při ověřování certifikátů PKI služby Azure Stack Hub pomocí nástroje Azure Stack Hub Readiness Checker. Nástroj zkontroluje, jestli certifikáty splňují požadavky na infrastrukturu veřejných klíčů při nasazení služby Azure Stack Hub a obměně tajných kódů služby Azure Stack Hub, a pak výsledky zaproprokoluje do souboru report.json.

Seznam CRL PROTOKOLU HTTP – upozornění

Problém – Certifikát v rozšíření CDP neobsahuje seznam HTTP CRL.

Oprava – Jedná se o neblokující problém. Azure Stack vyžaduje pro kontrolu odvolání certifikát http CRL podle požadavků na certifikát infrastruktury veřejných klíčů (PKI) služby Azure Stack Hub. V certifikátu nebyl zjištěn seznam CRL protokolu HTTP. Aby kontrola odvolání certifikátu fungovala, měla by certifikační autorita vydat certifikát s protokolem HTTP CRL v rozšíření CDP.

Seznam CRL HTTP – Selhání

Problém – Nejde se připojit k seznamu HTTP CRL v rozšíření CDP.

Oprava – Jedná se o blokující problém. Azure Stack vyžaduje připojení k seznamu CRL HTTP pro kontrolu odvolání podle postupu publikování portů a adres URL služby Azure Stack Hub (odchozí).

Šifrování PFX

Problém – Šifrování PFX není TripleDES-SHA1.

Oprava – Export souborů PFX pomocí šifrování TripleDES-SHA1 Toto je výchozí šifrování pro všechny klienty Windows 10 při exportu z modulu snap-in certifikátu nebo pomocí nástroje Export-PFXCertificate.

Čtení PFX

Upozornění – Heslo chrání pouze soukromé informace v certifikátu.

Oprava – Exportujte soubory PFX s volitelným nastavením povolit ochranu osobních údajů certifikátu.

Problém – soubor PFX je neplatný.

Oprava – Znovu exportujte certifikát pomocí kroků v tématu Příprava certifikátů PKI služby Azure Stack Hub pro nasazení.

Algoritmus podpisu

Problém – Algoritmus podpisu je SHA1.

Oprava – Pomocí kroků v generování žádostí o podepsání certifikátů služby Azure Stack Hub znovu vygenerujte žádost o podepsání certifikátu (CSR) pomocí podpisového algoritmu SHA256. Pak znovu odešlete csr certifikační autoritě, aby se certifikát znovu vysadil.

Privátní klíč

Problém – privátní klíč chybí nebo neobsahuje atribut místního počítače.

Oprava – Z počítače, který vygeneroval csr, znovu exportujte certifikát pomocí kroků v tématu Příprava certifikátů PKI služby Azure Stack Hub pro nasazení. Mezi tyto kroky patří export z úložiště certifikátů místního počítače.

Řetěz certifikátů

Problém – Řetěz certifikátů není dokončený.

Oprava – Certifikáty by měly obsahovat kompletní řetěz certifikátů. Znovu exportujte certifikát pomocí kroků v tématu Příprava certifikátů PKI služby Azure Stack Hub pro nasazení a pokud je to možné, vyberte možnost Zahrnout všechny certifikáty do cesty k certifikaci.

Názvy DNS

ProblémDNSNameList v certifikátu neobsahuje název koncového bodu služby Azure Stack Hub ani platnou shodu se zástupnými znacemi. Shody zástupných znaků jsou platné pouze pro obor názvů dns, který je nejvíce vlevo. Platí například *.region.domain.com pouze pro portal.region.domain.com, ne *.table.region.domain.com.

Oprava – Pomocí kroků v generování žádostí o podepsání certifikátů služby Azure Stack Hub znovu vygenerujte csr se správnými názvy DNS pro podporu koncových bodů služby Azure Stack Hub. Znovu odešlete csr certifikační autoritě. Pak postupujte podle kroků v tématu Příprava certifikátů PKI služby Azure Stack Hub pro nasazení a exportujte certifikát z počítače, který vygeneroval csr.

Použití klíče

Problém – Při použití klíče chybí digitální podpis nebo šifrování klíče nebo při použití rozšířeného klíče chybí ověřování serveru nebo ověřování klienta.

Oprava – Pomocí kroků v generování žádostí o podepsání certifikátů služby Azure Stack Hub znovu vygenerujte csr se správnými atributy použití klíče. Znovu odešlete csr certifikační autoritě a ověřte, že šablona certifikátu nepřepisuje použití klíče v žádosti.

Velikost klíče

Problém – Velikost klíče je menší než 2048.

Oprava – Pomocí postupu v generování žádostí o podepsání certifikátů služby Azure Stack Hub znovu vygenerujte csr se správnou délkou klíče (2048) a pak znovu odešlete csr certifikační autoritě.

Pořadí řetězu

Problém – pořadí řetězu certifikátů je nesprávné.

Oprava – Znovu exportujte certifikát pomocí kroků v tématu Příprava certifikátů PKI služby Azure Stack Hub pro nasazení a vyberte možnost Zahrnout všechny certifikáty do cesty k certifikaci, pokud je to možné. Ujistěte se, že je pro export vybraný pouze listový certifikát.

Další certifikáty

Problém – balíček PFX obsahuje certifikáty, které nejsou listovým certifikátem ani součástí řetězu certifikátů.

Oprava – Znovu exportujte certifikát pomocí kroků v tématu Příprava certifikátů PKI služby Azure Stack Hub pro nasazení a vyberte možnost Zahrnout všechny certifikáty do cesty k certifikaci, pokud je to možné. Ujistěte se, že je pro export vybraný pouze listový certifikát.

Řešení běžných problémů s balením

Nástroj AzsReadinessChecker obsahuje pomocnou rutinu s názvem Repair-AzsPfxCertificate, která může importovat a pak exportovat soubor PFX a opravit tak běžné problémy s balením, mezi které patří:

  • Šifrování PFX není TripleDES-SHA1.
  • V privátním klíči chybí atribut místního počítače.
  • Řetěz certifikátů je neúplný nebo chybný. Pokud balíček PFX neobsahuje, musí místní počítač obsahovat řetěz certifikátů.
  • Další certifikáty

Repair-AzsPfxCertificate nemůže pomoct , pokud potřebujete vygenerovat nový csr a znovu vygenerovat certifikát.

Požadavky

Na počítači, na kterém je nástroj spuštěný, musí být splněny následující požadavky:

  • Windows 10 nebo Windows Server 2016 s připojením k internetu.

  • PowerShell 5.1 nebo novější. Pokud chcete zkontrolovat svou verzi, spusťte následující rutinu PowerShellu a pak zkontrolujte hlavní a podverzi :

    $PSVersionTable.PSVersion
    
  • Nakonfigurujte PowerShell pro Azure Stack Hub.

  • Stáhněte si nejnovější verzi nástroje pro kontrolu připravenosti služby Azure Stack Hub .

Import a export existujícího souboru PFX

  1. Na počítači, který splňuje požadavky, otevřete příkaz PowerShellu se zvýšenými oprávněními a spuštěním následujícího příkazu nainstalujte kontrolu připravenosti služby Azure Stack Hub:

    Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
    
  2. Na příkazovém řádku PowerShellu spusťte následující rutinu a nastavte heslo PFX. Po zobrazení výzvy zadejte heslo:

    $password = Read-Host -Prompt "Enter password" -AsSecureString
    
  3. Na příkazovém řádku PowerShellu spusťte následující příkaz, který exportuje nový soubor PFX:

    • Pro -PfxPathzadejte cestu k souboru PFX, se kterým pracujete. V následujícím příkladu je .\certificates\ssl.pfxcesta .
    • Pro -ExportPFXPathzadejte umístění a název souboru PFX pro export. V následujícím příkladu je .\certificates\ssl_new.pfxcesta :
    Repair-AzsPfxCertificate -PfxPassword $password -PfxPath .\certificates\ssl.pfx -ExportPFXPath .\certificates\ssl_new.pfx
    
  4. Po dokončení nástroje zkontrolujte úspěch výstupu:

    Repair-AzsPfxCertificate v1.1809.1005.1 started.
    Starting Azure Stack Hub Certificate Import/Export
    Importing PFX .\certificates\ssl.pfx into Local Machine Store
    Exporting certificate to .\certificates\ssl_new.pfx
    Export complete. Removing certificate from the local machine store.
    Removal complete.
    Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
    Repair-AzsPfxCertificate Completed
    

Další kroky