Azure Stack Hub PKI 인증서의 일반적인 문제 해결Fix common issues with Azure Stack Hub PKI certificates

이 문서의 정보는 Azure Stack 허브 PKI 인증서의 일반적인 문제를 이해 하 고 해결 하는 데 도움이 됩니다.The information in this article helps you understand and resolve common issues with Azure Stack Hub PKI certificates. Azure Stack 허브 준비 검사기 도구를 사용 하 여 Azure Stack 허브 PKI 인증서의 유효성을 검사할때 문제를 검색할 수 있습니다.You can discover issues when you use the Azure Stack Hub Readiness Checker tool to validate Azure Stack Hub PKI certificates. 이 도구는 인증서가 Azure Stack 허브 배포 및 Azure Stack 허브 비밀 회전의 PKI 요구 사항을 충족 하는지 확인 한 다음 결과를 report.js파일에기록 합니다.The tool checks if the certificates meet the PKI requirements of an Azure Stack Hub deployment and Azure Stack Hub secret rotation, and then logs the results to a report.json file.

HTTP CRL-경고HTTP CRL - Warning

문제 -인증서에 CDP 확장의 HTTP CRL이 포함 되어 있지 않습니다.Issue - Certificate does not contain HTTP CRL in CDP Extension.

Fix -차단 되지 않는 문제입니다.Fix - This is a non-blocking issue. Azure Stack에는 Azure Stack 허브 PKI (공개 키 인프라) 인증서 요구 사항에 따라 해지 확인을 위한 HTTP CRL이 필요 합니다.Azure Stack requires HTTP CRL for revocation checking as per Azure Stack Hub public key infrastructure (PKI) certificate requirements. 인증서에서 HTTP CRL이 검색 되지 않았습니다.A HTTP CRL was not detected on the certificate. 인증서 해지 확인이 작동 하도록 하려면 인증 기관에서 CDP 확장의 HTTP CRL을 사용 하 여 인증서를 발급 해야 합니다.To ensure certificate revocation checking works, the Certificate Authority should issue a certificate with a HTTP CRL in the CDP extension.

HTTP CRL-실패HTTP CRL - Fail

문제 -CDP 확장의 HTTP CRL에 연결할 수 없습니다.Issue - Cannot connect to HTTP CRL in CDP Extension.

Fix -차단 문제입니다.Fix - This is a blocking issue. Azure Stack Azure Stack 허브 포트 및 url (아웃 바운드)을 게시하는 동안 해지 확인을 위해 HTTP CRL에 연결 해야 합니다.Azure Stack requires connectivity to a HTTP CRL for revocation checking as per Publishing Azure Stack Hub Ports and URLs (outbound).

PFX 암호화PFX Encryption

문제 -PFX 암호화가 TripleDES 않습니다.Issue - PFX encryption isn't TripleDES-SHA1.

Fix - TripleDES 암호화를 사용 하 여 PFX 파일을 내보냅니다.Fix - Export PFX files with TripleDES-SHA1 encryption. 인증서 스냅인에서 내보낼 때 또는을 사용 하 여 모든 Windows 10 클라이언트에 대 한 기본 암호화입니다 Export-PFXCertificate .This is the default encryption for all Windows 10 clients when exporting from certificate snap-in or using Export-PFXCertificate.

PFX 읽기Read PFX

경고 -암호만 인증서의 개인 정보를 보호 합니다.Warning - Password only protects the private information in the certificate.

Fix - 인증서 개인 정보 사용 에 대 한 선택적 설정을 사용 하 여 PFX 파일을 내보냅니다.Fix - Export PFX files with the optional setting for Enable certificate privacy.

문제 -PFX 파일이 잘못 되었습니다.Issue - PFX file invalid.

Fix - 배포에 대 한 Azure Stack 허브 PKI 인증서 준비의 단계를 사용 하 여 인증서를 다시 내보냅니다.Fix - Re-export the certificate using the steps in Prepare Azure Stack Hub PKI certificates for deployment.

서명 알고리즘Signature algorithm

문제 서명 알고리즘이 SHA1입니다.Issue - Signature algorithm is SHA1.

Fix -Azure Stack 허브 인증서 서명 요청 생성의 단계를 사용 하 여 서명 알고리즘이 SHA256 인 CSR (인증서 서명 요청)을 다시 생성 합니다.Fix - Use the steps in Azure Stack Hub certificates signing request generation to regenerate the certificate signing request (CSR) with the signature algorithm of SHA256. 그런 다음 인증서를 다시 발급 하는 인증 기관에 CSR을 다시 제출 합니다.Then resubmit the CSR to the certificate authority to reissue the certificate.

프라이빗 키Private key

문제 -개인 키가 없거나 로컬 컴퓨터 특성을 포함 하지 않습니다.Issue - The private key is missing or doesn't contain the local machine attribute.

Fix -CSR을 생성 한 컴퓨터에서 배포에 대 한 Azure Stack 허브 PKI 인증서 준비의 단계를 사용 하 여 인증서를 다시 내보냅니다.Fix - From the computer that generated the CSR, re-export the certificate using the steps in Prepare Azure Stack Hub PKI certificates for deployment. 이러한 단계에는 로컬 컴퓨터 인증서 저장소에서 내보내기가 포함 됩니다.These steps include exporting from the local machine certificate store.

인증서 체인Certificate chain

문제 -인증서 체인이 완전 하지 않습니다.Issue - Certificate chain isn't complete.

Fix -인증서는 완전 한 인증서 체인을 포함 해야 합니다.Fix - Certificates should contain a complete certificate chain. 배포에 대 한 Azure Stack 허브 PKI 인증서 준비 의 단계를 사용 하 여 인증서를 다시 내보내고 가능 하면 인증 경로에 있는 모든 인증서 포함 옵션을 선택 합니다.Re-export the certificate using the steps in Prepare Azure Stack Hub PKI certificates for deployment and select the option Include all certificates in the certification path if possible.

DNS 이름DNS names

문제 -인증서의 DNSNameList 에 Azure Stack 허브 서비스 끝점 이름 또는 올바른 와일드 카드 일치가 포함 되지 않습니다.Issue - The DNSNameList on the certificate doesn't contain the Azure Stack Hub service endpoint name or a valid wildcard match. 와일드 카드 일치는 DNS 이름의 맨 왼쪽 네임 스페이스에만 유효 합니다.Wildcard matches are only valid for the left-most namespace of the DNS name. 예를 들어 *.region.domain.com 는에만 유효 하 고는 사용할 수 portal.region.domain.com 없습니다 *.table.region.domain.com .For example, *.region.domain.com is only valid for portal.region.domain.com, not *.table.region.domain.com.

Fix -Azure Stack 허브 인증서 서명 요청 생성의 단계를 사용 하 여 Azure Stack 허브 끝점을 지원 하기 위해 올바른 DNS 이름으로 CSR을 다시 생성 합니다.Fix - Use the steps in Azure Stack Hub certificates signing request generation to regenerate the CSR with the correct DNS names to support Azure Stack Hub endpoints. 인증 기관에 CSR을 다시 제출 합니다.Resubmit the CSR to a certificate authority. 그런 다음 배포에 대 한 Azure Stack 허브 PKI 인증서 준비 의 단계에 따라 CSR을 생성 한 컴퓨터에서 인증서를 내보냅니다.Then follow the steps in Prepare Azure Stack Hub PKI certificates for deployment to export the certificate from the machine that generated the CSR.

키 사용Key usage

문제 키 사용에 디지털 서명 또는 키 암호화가 없거나 확장 된 키 사용에 서버 인증 또는 클라이언트 인증이 없습니다.Issue - Key usage is missing digital signature or key encipherment, or enhanced key usage is missing server authentication or client authentication.

Fix - Azure Stack 허브 인증서 서명 요청 생성 의 단계를 사용 하 여 올바른 키 사용 특성으로 CSR을 다시 생성 합니다.Fix - Use the steps in Azure Stack Hub certificates signing request generation to regenerate the CSR with the correct key usage attributes. 인증 기관에 CSR을 다시 제출 하 고 인증서 템플릿이 요청에서 키 사용을 덮어쓰지 않는지 확인 합니다.Resubmit the CSR to the certificate authority and confirm that a certificate template isn't overwriting the key usage in the request.

키 크기Key size

문제 -키 크기가 2048 보다 작습니다.Issue - Key size is smaller than 2048.

Fix - Azure Stack 허브 인증서 서명 요청 생성 의 단계를 사용 하 여 올바른 키 길이로 csr (2048)을 다시 생성 한 다음 인증 기관에 csr을 다시 제출 합니다.Fix - Use the steps in Azure Stack Hub certificates signing request generation to regenerate the CSR with the correct key length (2048), and then resubmit the CSR to the certificate authority.

체인 순서Chain order

문제 -인증서 체인의 순서가 올바르지 않습니다.Issue - The order of the certificate chain is incorrect.

Fix - 배포에 대 한 Azure Stack 허브 PKI 인증서 준비 의 단계를 사용 하 여 인증서를 다시 내보내고 가능 하면 인증 경로에 있는 모든 인증서 포함 옵션을 선택 합니다.Fix - Re-export the certificate using the steps in Prepare Azure Stack Hub PKI certificates for deployment and select the option Include all certificates in the certification path if possible. 내보내기를 위해 리프 인증서만 선택 되어 있는지 확인 합니다.Ensure that only the leaf certificate is selected for export.

기타 인증서Other certificates

문제 -PFX 패키지가 리프 인증서 또는 인증서 체인의 일부가 아닌 인증서를 포함 합니다.Issue - The PFX package contains certificates that aren't the leaf certificate or part of the certificate chain.

수정 - 배포에 대 한 Azure Stack 허브 PKI 인증서 준비의 단계를 사용 하 여 인증서를 다시 내보내고 가능 하면 인증 경로에 있는 모든 인증서 포함 옵션을 선택 합니다.Fix - Re-export the certificate using the steps in Prepare Azure Stack Hub PKI certificates for deployment, and select the option Include all certificates in the certification path if possible. 내보내기를 위해 리프 인증서만 선택 되어 있는지 확인 합니다.Ensure that only the leaf certificate is selected for export.

일반적인 패키징 문제 해결Fix common packaging issues

AzsReadinessChecker 도구에는 다음과 같은 일반적인 패키징 문제를 해결할 수 있도록 PFX 파일을 가져오고 내보낼 수 있는 AzsPfxCertificate 라는 도우미 cmdlet이 포함 되어 있습니다.The AzsReadinessChecker tool contains a helper cmdlet called Repair-AzsPfxCertificate, which can import and then export a PFX file to fix common packaging issues, including:

  • PFX 암호화 가 TripleDES 않습니다.PFX encryption isn't TripleDES-SHA1.
  • 개인 키 에 로컬 컴퓨터 특성이 없습니다.Private key is missing local machine attribute.
  • 인증서 체인이 불완전 하거나 잘못 되었습니다.Certificate chain is incomplete or wrong. PFX 패키지가 아닌 경우 로컬 컴퓨터는 인증서 체인을 포함 해야 합니다.The local machine must contain the certificate chain if the PFX package doesn't.
  • 기타 인증서Other certificates

AzsPfxCertificate 는 새 CSR을 생성 하 고 인증서를 다시 발급 해야 하는 경우에는 도움이 되지 않습니다.Repair-AzsPfxCertificate can't help if you need to generate a new CSR and reissue a certificate.

사전 요구 사항Prerequisites

도구가 실행 되는 컴퓨터에는 다음 필수 구성 요소가 준비 되어 있어야 합니다.The following prerequisites must be in place on the computer on which the tool runs:

기존 PFX 파일 가져오기 및 내보내기Import and export an existing PFX File

  1. 필수 구성 요소를 충족 하는 컴퓨터에서 관리자 권한 PowerShell 프롬프트를 열고 다음 명령을 실행 하 여 Azure Stack 허브 준비 검사기를 설치 합니다.On a computer that meets the prerequisites, open an elevated PowerShell prompt, and then run the following command to install the Azure Stack Hub readiness checker:

    Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
    
  2. PowerShell 프롬프트에서 다음 cmdlet을 실행 하 여 PFX 암호를 설정 합니다.From the PowerShell prompt, run the following cmdlet to set the PFX password. 메시지가 표시 되 면 암호를 입력 합니다.Enter the password when prompted:

    $password = Read-Host -Prompt "Enter password" -AsSecureString
    
  3. PowerShell 프롬프트에서 다음 명령을 실행 하 여 새 PFX 파일을 내보냅니다.From the PowerShell prompt, run the following command to export a new PFX file:

    • -PfxPath에서 작업 하는 PFX 파일의 경로를 지정 합니다.For -PfxPath, specify the path to the PFX file you're working with. 다음 예제에서 경로는 .\certificates\ssl.pfx 입니다.In the following example, the path is .\certificates\ssl.pfx.
    • 에는 -ExportPFXPath 내보낼 PFX 파일의 위치와 이름을 지정 합니다.For -ExportPFXPath, specify the location and name of the PFX file for export. 다음 예제에서 경로는입니다 .\certificates\ssl_new.pfx .In the following example, the path is .\certificates\ssl_new.pfx:
    Repair-AzsPfxCertificate -PfxPassword $password -PfxPath .\certificates\ssl.pfx -ExportPFXPath .\certificates\ssl_new.pfx
    
  4. 도구가 완료 된 후 성공에 대 한 출력을 검토 합니다.After the tool completes, review the output for success:

    Repair-AzsPfxCertificate v1.1809.1005.1 started.
    Starting Azure Stack Hub Certificate Import/Export
    Importing PFX .\certificates\ssl.pfx into Local Machine Store
    Exporting certificate to .\certificates\ssl_new.pfx
    Export complete. Removing certificate from the local machine store.
    Removal complete.
    Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
    Repair-AzsPfxCertificate Completed
    

다음 단계Next steps