Az Azure Stack Hub PKI-tanúsítványok gyakori problémáinak kijavítása

Az ebben a cikkben található információk segítenek a PKI-tanúsítványok gyakori problémáinak Azure Stack Hub megoldásában. Felderítheti a hibákat, amikor a Azure Stack Hub-készenlét-ellenőrző eszközzel ellenőrzi a PKI Azure Stack Hub tanúsítványokat. Az eszköz ellenőrzi, hogy a tanúsítványok megfelelnek-e a Azure Stack Hub üzemelő példány PKI-követelményeinek és Azure Stack Hub titkos adatok rotációja során, majd az eredményeket egy report.json fájlbanaplózza.

HTTP CRL – Figyelmeztetés

Probléma – A tanúsítvány nem tartalmaz HTTP CRL-t a CDP-bővítményben.

Javítás – Ez egy nem blokkoló probléma. Azure Stack a visszavont tanúsítványok ellenőrzéséhez HTTP CRL szükséges a nyilvános Azure Stack Hub infrastruktúra (PKI) tanúsítványkövetelményei alapján. A rendszer nem észlelt HTTP CRL-t a tanúsítványon. A tanúsítvány-visszavonás ellenőrzésének biztosításához a hitelesítésszolgáltatónak ki kell adnunk egy HTTP CRL-t tartalmazó tanúsítványt a CDP-bővítményben.

HTTP CRL – Sikertelen

Probléma – Nem lehet csatlakozni a HTTP CRL-hez a CDP-bővítményben.

Javítás – Ez egy blokkolási probléma. Azure Stack http CRL-hez való csatlakozásra van szükség a visszavonás ellenőrzéséhez a következő szerint: Közzététel Azure Stack Hub portok és URL-címek (kimenő).

PFX-titkosítás

Probléma – A PFX-titkosítás nem TripleDES-SHA1.

Javítás – PFX-fájlok exportálása HáromszorosDES-SHA1 titkosítással. Ez az alapértelmezett titkosítás minden Windows 10 ügyfél számára a tanúsítvány beépülő modulból való exportáláskor vagy a Export-PFXCertificate használatával.

PFX olvasása

Figyelmeztetés – A jelszó csak a tanúsítványban lévő személyes adatokat védi.

Javítás – PFX-fájlok exportálása a tanúsítványvédelem engedélyezésére vonatkozó opcionális beállítással.

Probléma – A PFX-fájl érvénytelen.

Javítás – Exportálja újra a tanúsítványt a PKI Azure Stack Hub tanúsítványok központi telepítéshez való előkészítését.

Aláírási algoritmus

Probléma – Az aláírási algoritmus SHA1.

Javítás – A tanúsítvány-aláírási kérelem Azure Stack Hub lépéseit követve hozza létre újra a tanúsítvány-aláírási kérelmet (CSR) az SHA256 aláírási algoritmussal. Ezután a tanúsítvány újrakikiadása érdekében újrakértesítjük a CSR-t a hitelesítésszolgáltatónak.

Titkos kulcs

Probléma – A titkos kulcs hiányzik vagy nem tartalmazza a helyi gép attribútumát.

Javítás – A CSR-t generáló számítógépről exportálja újra a tanúsítványt a PKI-tanúsítványok telepítésének Azure Stack Hub lépéseit követve. Ilyen lépés például az exportálás a helyi gép tanúsítványtárolójában.

Tanúsítványlánc

Probléma – A tanúsítványlánc nem fejeződött be.

Javítás – A tanúsítványoknak teljes tanúsítványláncot kell tartalmaznak. Exportálja újra a tanúsítványt a Azure Stack Hub PKI-tanúsítványok előkészítése a telepítéshez lépéseit követve, és jelölje be Az összes tanúsítványt is foglalja bele a tanúsítvány elérési útján jelölőnégyzetet, ha lehetséges.

DNS-nevek

Probléma – A tanúsítvány DNSNameList listája nem tartalmazza a Azure Stack Hub szolgáltatásvégpont nevét vagy egy érvényes helyettesítő karakter egyezését. A helyettesítő karakteres egyezések csak a DNS-név bal oldali legtöbb névterében érvényesek. A például *.region.domain.com csak a esetén portal.region.domain.com érvényes, a következőre *.table.region.domain.com nem: .

Javítás – A tanúsítvány-aláírási kérelem Azure Stack Hub lépéseit követve hozza létre újra a CSR-t a megfelelő DNS-névvel a Azure Stack Hub támogatásához. A CSR-t újra el kell látnia egy hitelesítésszolgáltatónál. Ezután a PKI-tanúsítványok központi telepítésre való előkészítését Azure Stack Hub kövesse a tanúsítvány exportálását a CSR-t generáló gépről.

Kulcshasználat

Probléma – A kulcshasználatból hiányzik a digitális aláírás vagy a kulcstetű, vagy a kibővített kulcshasználat hiányzik a kiszolgáló- vagy ügyfél-hitelesítésből.

Javítás – A tanúsítvány-aláírási kérelem Azure Stack Hub lépéseit követve hozza létre újra a CSR-t a megfelelő kulcshasználati attribútumokkal. Kérje újra a CSR-t a hitelesítésszolgáltatónak, és győződjön meg arról, hogy a tanúsítványsablon nem felülírja a kérelem kulcshasználatát.

Kulcsméret

Probléma – A kulcs mérete kisebb, mint 2048.

Javítás – A Azure Stack Hub tanúsítvány-aláírási kérelem generálásának lépéseit követve hozza létre újra a CSR-t a megfelelő kulcshosszúság (2048) érdekében, majd a CSR-t újrakérvényesítje a hitelesítésszolgáltatónak.

Láncrend

Probléma – A tanúsítványlánc sorrendje helytelen.

Javítás – Exportálja újra a tanúsítványt a Azure Stack Hub PKI-tanúsítványok előkészítése központi telepítéshez lépéseit követve, és jelölje be a Minden tanúsítvány be legyen foglalva a tanúsítvány elérési útján jelölőnégyzetet, ha lehetséges. Győződjön meg arról, hogy csak a levél tanúsítványa van kiválasztva exportálásra.

Egyéb tanúsítványok

Probléma – A PFX-csomag olyan tanúsítványokat tartalmaz, amelyek nem a levéltanúsítvány vagy a tanúsítványlánc részei.

Javítás – Exportálja újra a tanúsítványt a Azure Stack Hub PKI-tanúsítványokelőkészítése központi telepítéshez lépéseit követve, majd jelölje be a Minden tanúsítvány be legyen foglalva a tanúsítvány elérési útján jelölőnégyzetet, ha lehetséges. Győződjön meg arról, hogy csak a levél tanúsítványa van kiválasztva exportálásra.

A csomagolással kapcsolatos gyakori problémák megoldása

Az AzsReadinessChecker eszköz tartalmaz egy Repair-AzsPfxCertificatenevű segítő parancsmagot, amely képes importálni és exportálni egy PFX-fájlt a gyakori csomagolási problémák kijavítása érdekében, például:

  • A PFX-titkosítás nem TripleDES-SHA1.
  • A titkos kulcsból hiányzik a helyi gép attribútuma.
  • A tanúsítványlánc hiányos vagy hibás. A helyi gépnek tartalmaznia kell a tanúsítványláncot, ha a PFX-csomag nem.
  • Egyéb tanúsítványok

A Repair-AzsPfxCertificate nem tud segíteni, ha új CSR-t kell létrehoznia, és újra ki kell adnunk egy tanúsítványt.

Előfeltételek

A következő előfeltételeknek kell megfeleltetve a számítógépen, amelyen az eszköz fut:

Meglévő PFX-fájl importálása és exportálása

  1. Az előfeltételeknek megfelelő számítógépen nyisson meg egy rendszergazda jogú PowerShell-parancssort, majd futtassa a következő parancsot a Azure Stack Hub-ellenőrző telepítéséhez:

    Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
    
  2. A PowerShell-parancssorban futtassa a következő parancsmagot a PFX-jelszó beállításához. Amikor a rendszer kéri, adja meg a jelszót:

    $password = Read-Host -Prompt "Enter password" -AsSecureString
    
  3. A PowerShell-parancssorban futtassa a következő parancsot egy új PFX-fájl exportáláshoz:

    • A esetén adja meg annak a PFX-fájlnak az elérési -PfxPath útját, amelynél dolgozik. A következő példában az elérési út .\certificates\ssl.pfx a következő: .
    • A fájlhoz adja meg az exportálni kívánt -ExportPFXPath PFX-fájl helyét és nevét. A következő példában az elérési út .\certificates\ssl_new.pfx a következő:
    Repair-AzsPfxCertificate -PfxPassword $password -PfxPath .\certificates\ssl.pfx -ExportPFXPath .\certificates\ssl_new.pfx
    
  4. Az eszköz befejeződik, és ellenőrizze, hogy a kimenet sikeres-e:

    Repair-AzsPfxCertificate v1.1809.1005.1 started.
    Starting Azure Stack Hub Certificate Import/Export
    Importing PFX .\certificates\ssl.pfx into Local Machine Store
    Exporting certificate to .\certificates\ssl_new.pfx
    Export complete. Removing certificate from the local machine store.
    Removal complete.
    Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
    Repair-AzsPfxCertificate Completed
    

Következő lépések