Az Azure Stack Hub PKI-tanúsítványok gyakori problémáinak kijavításaFix common issues with Azure Stack Hub PKI certificates

Az ebben a cikkben található információk segítséget nyújt a Azure Stack hub PKI-tanúsítványokkal kapcsolatos gyakori problémák megismerésében és megoldásában.The information in this article helps you understand and resolve common issues with Azure Stack Hub PKI certificates. Felderítheti a problémákat, amikor az Azure Stack hub Readiness-ellenőrző eszközt használja a Azure stack hub PKI-tanúsítványok ellenőrzéséhez.You can discover issues when you use the Azure Stack Hub Readiness Checker tool to validate Azure Stack Hub PKI certificates. Az eszköz ellenőrzi, hogy a tanúsítványok megfelelnek-e az Azure Stack hub központi telepítésének PKI-követelményeinek, és Azure Stack hub titkos elforgatását, majd az eredményeket egy report.jsfájlbanaplózza.The tool checks if the certificates meet the PKI requirements of an Azure Stack Hub deployment and Azure Stack Hub secret rotation, and then logs the results to a report.json file.

HTTP CRL – figyelmeztetésHTTP CRL - Warning

Probléma – a tanúsítvány nem tartalmazza a CDP-bővítményben a http CRL-t.Issue - Certificate does not contain HTTP CRL in CDP Extension.

Javítás – ez egy nem blokkoló probléma.Fix - This is a non-blocking issue. Azure Stack a visszavonási ellenőrzéshez szükséges HTTP CRL -t igényel Azure stack hub nyilvánoskulcs-infrastruktúra (PKI) tanúsítványának követelményeiszerint.Azure Stack requires HTTP CRL for revocation checking as per Azure Stack Hub public key infrastructure (PKI) certificate requirements. Nem észlelhető HTTP CRL a tanúsítványon.A HTTP CRL was not detected on the certificate. A tanúsítvány-visszavonási ellenőrzés működésének biztosításához a hitelesítésszolgáltatónak egy HTTP CRL-sel rendelkező tanúsítványt kell kiállítania a CDP-bővítményben.To ensure certificate revocation checking works, the Certificate Authority should issue a certificate with a HTTP CRL in the CDP extension.

HTTP CRL – sikertelenHTTP CRL - Fail

Probléma – nem lehet csatlakozni a http CRL-hez a CDP-bővítményben.Issue - Cannot connect to HTTP CRL in CDP Extension.

Javítás – ez egy blokkolási probléma.Fix - This is a blocking issue. Azure Stack a visszavonási ellenőrzéshez egy HTTP CRL-hez való kapcsolódás szükséges a közzétételi Azure stack hub-portok és URL-címek (kimenő)szerint.Azure Stack requires connectivity to a HTTP CRL for revocation checking as per Publishing Azure Stack Hub Ports and URLs (outbound).

PFX-titkosításPFX Encryption

Probléma – a pfx titkosítás nem TRIPLEDES – SHA1.Issue - PFX encryption isn't TripleDES-SHA1.

A PFX-fájlok TripleDES-SHA1 titkosítással való exportálásának javítása .Fix - Export PFX files with TripleDES-SHA1 encryption. Ez az alapértelmezett titkosítás minden Windows 10-ügyfél esetében a tanúsítvány beépülő modulból vagy a használatával történő exportáláskor Export-PFXCertificate .This is the default encryption for all Windows 10 clients when exporting from certificate snap-in or using Export-PFXCertificate.

PFX olvasásaRead PFX

Figyelmeztetés – a jelszó csak a tanúsítványban található személyes adatokat védi.Warning - Password only protects the private information in the certificate.

Javítsa a pfx-fájlok exportálását a tanúsítvány- Adatvédelem engedélyezésének opcionális beállításával.Fix - Export PFX files with the optional setting for Enable certificate privacy.

Probléma – a pfx-fájl érvénytelen.Issue - PFX file invalid.

Javítsa újra a tanúsítványt a Azure stack hub PKI-tanúsítványok előkészítése az üzembe helyezéshezcímű cikkben ismertetett lépések segítségével.Fix - Re-export the certificate using the steps in Prepare Azure Stack Hub PKI certificates for deployment.

Aláírási algoritmusSignature algorithm

Probléma – az aláírási algoritmus SHA1.Issue - Signature algorithm is SHA1.

Javítás – a sha256 aláírási algoritmusával a tanúsítvány-aláírási kérelem (CSR) újbóli létrehozásához használja a Azure stack hub-tanúsítványok aláírási kérelmének létrehozásához szükséges lépéseket.Fix - Use the steps in Azure Stack Hub certificates signing request generation to regenerate the certificate signing request (CSR) with the signature algorithm of SHA256. Ezután küldje el újra a CSR-t a hitelesítésszolgáltatónak a tanúsítvány újbóli kikibocsátásához.Then resubmit the CSR to the certificate authority to reissue the certificate.

Titkos kulcsPrivate key

Probléma – a titkos kulcs hiányzik, vagy nem tartalmazza a helyi gép attribútumát.Issue - The private key is missing or doesn't contain the local machine attribute.

Javítás – az a számítógép, amely a CSR-t generálta, majd exportálja újra a tanúsítványt a Azure stack hub PKI-tanúsítványok előkészítése az üzembe helyezéshezcímű cikkben ismertetett lépések segítségével.Fix - From the computer that generated the CSR, re-export the certificate using the steps in Prepare Azure Stack Hub PKI certificates for deployment. Ezek a lépések a helyi számítógép tanúsítványtárolóból történő exportálást is tartalmazzák.These steps include exporting from the local machine certificate store.

TanúsítványláncCertificate chain

Probléma – a tanúsítványlánc nem fejeződött be.Issue - Certificate chain isn't complete.

Javítás – a tanúsítványoknak teljes tanúsítványláncot kell tartalmazniuk.Fix - Certificates should contain a complete certificate chain. Exportálja újra a tanúsítványt a Azure stack hub PKI-tanúsítványok előkészítése a központi telepítésre című témakör lépéseit követve, és jelölje be az összes tanúsítvány belefoglalása a tanúsítási útvonalba lehetőséget, ha lehetséges.Re-export the certificate using the steps in Prepare Azure Stack Hub PKI certificates for deployment and select the option Include all certificates in the certification path if possible.

DNS-nevekDNS names

Probléma – a tanúsítvány DNSNameList nem tartalmazza az Azure stack hub szolgáltatás végpontjának nevét vagy egy érvényes helyettesítő karaktert.Issue - The DNSNameList on the certificate doesn't contain the Azure Stack Hub service endpoint name or a valid wildcard match. A helyettesítő karakteres egyezések csak a DNS-név bal szélső névterére érvényesek.Wildcard matches are only valid for the left-most namespace of the DNS name. Például a *.region.domain.com csak a esetében érvényes portal.region.domain.com , nem *.table.region.domain.com .For example, *.region.domain.com is only valid for portal.region.domain.com, not *.table.region.domain.com.

Javítás – a Azure stack hub-tanúsítványok aláírási kérelmének létrehozásával újragenerálja a CSR-t a megfelelő DNS-nevekkel a Azure stack hub-végpontok támogatásához.Fix - Use the steps in Azure Stack Hub certificates signing request generation to regenerate the CSR with the correct DNS names to support Azure Stack Hub endpoints. Küldje el újra a CSR-t egy hitelesítésszolgáltatótól.Resubmit the CSR to a certificate authority. Ezután kövesse az Azure stack hub PKI-tanúsítványok előkészítése az üzembe helyezéshez című témakör lépéseit, és exportálja a tanúsítványt a CSR-t létrehozó gépről.Then follow the steps in Prepare Azure Stack Hub PKI certificates for deployment to export the certificate from the machine that generated the CSR.

KulcshasználatKey usage

Probléma – a kulcshasználat hiányzik a digitális aláírás vagy a kulcs titkosítási, vagy a kibővített kulcshasználat hiányzik a kiszolgálói hitelesítés vagy az ügyfél-hitelesítés.Issue - Key usage is missing digital signature or key encipherment, or enhanced key usage is missing server authentication or client authentication.

Javítás – az Azure stack hub-tanúsítványok aláírási kérelmének létrehozása című témakör lépéseit követve újra generálja a CSR-t a helyes kulcshasználat attribútumokkal.Fix - Use the steps in Azure Stack Hub certificates signing request generation to regenerate the CSR with the correct key usage attributes. Küldje el újra a CSR-t a hitelesítésszolgáltatóhoz, és győződjön meg arról, hogy a tanúsítványsablon nem írja felül a kérelemben szereplő kulcshasználat felülírását.Resubmit the CSR to the certificate authority and confirm that a certificate template isn't overwriting the key usage in the request.

Kulcs méreteKey size

Probléma – a kulcs mérete kisebb, mint 2048.Issue - Key size is smaller than 2048.

Javítás – a Azure stack hub-tanúsítványok aláírási kérelmének létrehozásához szükséges lépéseket követve újra generálja a CSR-t a megfelelő kulcs hosszával (2048), majd küldje el újra a CSR-t a hitelesítésszolgáltatóhoz.Fix - Use the steps in Azure Stack Hub certificates signing request generation to regenerate the CSR with the correct key length (2048), and then resubmit the CSR to the certificate authority.

Lánc sorrendjeChain order

Probléma – a tanúsítványlánc sorrendje helytelen.Issue - The order of the certificate chain is incorrect.

Javítsa újra a tanúsítványt a Azure stack hub PKI-tanúsítványok előkészítése a központi telepítéshez című témakör lépéseit követve, és jelölje be az összes tanúsítvány belefoglalása a tanúsítási útvonalba lehetőséget, ha lehetséges.Fix - Re-export the certificate using the steps in Prepare Azure Stack Hub PKI certificates for deployment and select the option Include all certificates in the certification path if possible. Győződjön meg arról, hogy csak a levél tanúsítvány van kiválasztva exportáláshoz.Ensure that only the leaf certificate is selected for export.

Egyéb tanúsítványokOther certificates

Probléma – a pfx-csomag olyan tanúsítványokat tartalmaz, amelyek nem a levél tanúsítványát vagy a tanúsítványlánc részét képezik.Issue - The PFX package contains certificates that aren't the leaf certificate or part of the certificate chain.

Javítsa újra a tanúsítványt a Azure stack hub PKI-tanúsítványok előkészítése a központi telepítéshezcímű témakör lépéseit követve, és jelölje be az összes tanúsítvány belefoglalása a tanúsítási útvonalba lehetőséget, ha lehetséges.Fix - Re-export the certificate using the steps in Prepare Azure Stack Hub PKI certificates for deployment, and select the option Include all certificates in the certification path if possible. Győződjön meg arról, hogy csak a levél tanúsítvány van kiválasztva exportáláshoz.Ensure that only the leaf certificate is selected for export.

Gyakori csomagolási problémák elhárításaFix common packaging issues

A AzsReadinessChecker eszköz tartalmaz egy Repair-AzsPfxCertificate nevű segítő parancsmagot, amely importálhatja, majd exportálhatja a pfx-fájlt a gyakori csomagolási problémák megoldására, beleértve a következőket:The AzsReadinessChecker tool contains a helper cmdlet called Repair-AzsPfxCertificate, which can import and then export a PFX file to fix common packaging issues, including:

  • A pfx-titkosítás nem TRIPLEDES-SHA1.PFX encryption isn't TripleDES-SHA1.
  • A titkos kulcsból hiányzik a helyi gép attribútuma.Private key is missing local machine attribute.
  • A tanúsítványlánc nem fejeződött be vagy helytelen.Certificate chain is incomplete or wrong. Ha a PFX-csomag nem, a helyi gépnek tartalmaznia kell a tanúsítványláncot.The local machine must contain the certificate chain if the PFX package doesn't.
  • Egyéb tanúsítványokOther certificates

A Repair-AzsPfxCertificate nem tud segíteni, ha új CSR-t kell létrehoznia, és újra ki kell állítania egy tanúsítványt.Repair-AzsPfxCertificate can't help if you need to generate a new CSR and reissue a certificate.

ElőfeltételekPrerequisites

A következő előfeltételeket kell megadnia azon a számítógépen, amelyen az eszköz fut:The following prerequisites must be in place on the computer on which the tool runs:

  • Windows 10 vagy Windows Server 2016, internetkapcsolattal.Windows 10 or Windows Server 2016, with internet connectivity.

  • PowerShell 5,1 vagy újabb.PowerShell 5.1 or later. A verzió ellenőrzéséhez futtassa a következő PowerShell-parancsmagot, majd tekintse át a -és alverziókat:To check your version, run the following PowerShell cmdlet and then review the Major and Minor versions:

    $PSVersionTable.PSVersion
    
  • Konfigurálja a powershellt Azure stack hubhoz.Configure PowerShell for Azure Stack Hub.

  • Töltse le az Azure stack hub Readiness-ellenőrző eszköz legújabb verzióját.Download the latest version of the Azure Stack Hub readiness checker tool.

Meglévő PFX-fájl importálása és exportálásaImport and export an existing PFX File

  1. Nyisson meg egy rendszergazda jogú PowerShell-parancssort az előfeltételeket teljesítő számítógépeken, majd futtassa a következő parancsot az Azure Stack hub Readiness-ellenőrző telepítéséhez:On a computer that meets the prerequisites, open an elevated PowerShell prompt, and then run the following command to install the Azure Stack Hub readiness checker:

    Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
    
  2. A PowerShell-parancssorból futtassa a következő parancsmagot a PFX-jelszó megadásához.From the PowerShell prompt, run the following cmdlet to set the PFX password. Ha a rendszer kéri, adja meg a jelszót:Enter the password when prompted:

    $password = Read-Host -Prompt "Enter password" -AsSecureString
    
  3. A PowerShell-parancssorból futtassa a következő parancsot egy új PFX-fájl exportálásához:From the PowerShell prompt, run the following command to export a new PFX file:

    • A esetében -PfxPath itt adhatja meg a pfx-fájl elérési útját.For -PfxPath, specify the path to the PFX file you're working with. Az alábbi példában az elérési út a következő: .\certificates\ssl.pfx .In the following example, the path is .\certificates\ssl.pfx.
    • A (z) esetében -ExportPFXPath adja meg az EXPORTÁLANDÓ pfx-fájl helyét és nevét.For -ExportPFXPath, specify the location and name of the PFX file for export. Az alábbi példában az elérési út a következő .\certificates\ssl_new.pfx :In the following example, the path is .\certificates\ssl_new.pfx:
    Repair-AzsPfxCertificate -PfxPassword $password -PfxPath .\certificates\ssl.pfx -ExportPFXPath .\certificates\ssl_new.pfx
    
  4. Az eszköz befejeződése után tekintse át a sikeres kimenetet:After the tool completes, review the output for success:

    Repair-AzsPfxCertificate v1.1809.1005.1 started.
    Starting Azure Stack Hub Certificate Import/Export
    Importing PFX .\certificates\ssl.pfx into Local Machine Store
    Exporting certificate to .\certificates\ssl_new.pfx
    Export complete. Removing certificate from the local machine store.
    Removal complete.
    Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
    Repair-AzsPfxCertificate Completed
    

További lépésekNext steps