Azure Stack Hub PKI 인증서의 일반적인 문제 해결

이 문서의 정보는 Azure Stack Hub PKI 인증서와 관련된 일반적인 문제를 이해하고 resolve 데 도움이 됩니다. Azure Stack Hub 준비 검사기 도구를 사용하여 Azure Stack Hub PKI 인증서의 유효성을 검사할 때 문제를 검색할 수 있습니다. 이 도구는 인증서가 Azure Stack Hub 배포 및 Azure Stack Hub 비밀 회전의 PKI 요구 사항을 충족하는지 확인한 다음, 결과를 report.json 파일에 기록합니다.

HTTP CRL - 경고

문제 - 인증서에 CDP 확장의 HTTP CRL이 포함되어 있지 않습니다.

수정 - 차단되지 않는 문제입니다. Azure Stack에는 Azure Stack Hub PKI(공개 키 인프라) 인증서 요구 사항에 따라 해지 검사를 위해 HTTP CRL이 필요합니다. 인증서에서 HTTP CRL이 검색되지 않았습니다. 인증서 해지 확인이 작동하는지 확인하려면 인증 기관에서 CDP 확장에서 HTTP CRL을 사용하여 인증서를 발급해야 합니다.

HTTP CRL - 실패

문제 - CDP 확장에서 HTTP CRL에 연결할 수 없습니다.

수정 - 차단 문제입니다. Azure Stack은 Azure Stack Hub 포트 및 URL 게시(아웃바운드)에 따라 해지 확인을 위해 HTTP CRL에 연결해야 합니다.

PFX 암호화

문제 - PFX 암호화는 TripleDES-SHA1이 아닙니다.

수정 - TripleDES-SHA1 암호화를 사용하여 PFX 파일 내보내기 인증서 스냅인에서 내보내거나 를 사용할 Export-PFXCertificate때 모든 Windows 10 클라이언트에 대한 기본 암호화입니다.

PFX 읽기

경고 - 암호는 인증서의 개인 정보만 보호합니다.

수정 - 인증서 개인 정보 사용의 선택적 설정을 사용하여 PFX 파일을 내보냅니다.

문제 - PFX 파일이 잘못되었습니다.

수정 -배포를 위해 Azure Stack Hub PKI 인증서 준비의 단계를 사용하여 인증서를 다시 내보냅니다.

서명 알고리즘

문제 - 서명 알고리즘은 SHA1입니다.

수정 - AZURE Stack Hub 인증서 서명 요청 생성의 단계를 사용하여 SHA256의 서명 알고리즘을 사용하여 CSR(인증서 서명 요청)을 다시 생성합니다. 그런 다음, 인증 기관에 CSR을 다시 제출하여 인증서를 다시 발급합니다.

프라이빗 키

문제 - 프라이빗 키가 없거나 로컬 컴퓨터 특성을 포함하지 않습니다.

수정 - CSR을 생성한 컴퓨터에서 배포를 위해 Azure Stack Hub PKI 인증서 준비의 단계를 사용하여 인증서를 다시 내보냅니다. 이러한 단계에는 로컬 컴퓨터 인증서 저장소에서 내보내기가 포함됩니다.

인증서 체인

문제 - 인증서 체인이 완료되지 않았습니다.

수정 - 인증서에는 전체 인증서 체인이 포함되어야 합니다. 배포를 위해 Azure Stack Hub PKI 인증서 준비의 단계를 사용하여 인증서를 다시 내보내고 가능한 경우 인증 경로에 모든 인증서 포함 옵션을 선택합니다.

DNS 이름

문제 - 인증서의 DNSNameList 에 Azure Stack Hub 서비스 엔드포인트 이름 또는 유효한 와일드카드 일치 항목이 포함되어 있지 않습니다. 와일드카드 일치는 DNS 이름의 가장 왼쪽 네임스페이스에만 유효합니다. 예를 들어 는 *.region.domain.com 가 아닌 *.table.region.domain.com에portal.region.domain.com만 유효합니다.

수정 - Azure Stack Hub 인증서 서명 요청 생성의 단계를 사용하여 올바른 DNS 이름으로 CSR을 다시 생성하여 Azure Stack Hub 엔드포인트를 지원합니다. 인증 기관에 CSR을 다시 제출합니다. 그런 다음 배포를 위해 Azure Stack Hub PKI 인증서 준비 의 단계에 따라 CSR을 생성한 컴퓨터에서 인증서를 내보냅니다.

키 사용

문제 - 키 사용량에 디지털 서명 또는 키 암호화가 없거나 향상된 키 사용이 서버 인증 또는 클라이언트 인증이 누락되었습니다.

수정 - Azure Stack Hub 인증서 서명 요청 생성 의 단계를 사용하여 올바른 키 사용 특성으로 CSR을 다시 생성합니다. CSR을 인증 기관에 다시 제출하고 인증서 템플릿이 요청의 키 사용을 덮어쓰지 않는지 확인합니다.

키 크기

문제 - 키 크기가 2048보다 작습니다.

수정 - Azure Stack Hub 인증서 서명 요청 생성 의 단계를 사용하여 올바른 키 길이(2048)로 CSR을 다시 생성한 다음, CSR을 인증 기관에 다시 제출합니다.

체인 순서

문제 - 인증서 체인의 순서가 잘못되었습니다.

수정 -배포를 위해 Azure Stack Hub PKI 인증서 준비 의 단계를 사용하여 인증서를 다시 내보내고 가능한 경우 인증 경로에 모든 인증서 포함 옵션을 선택합니다. 리프 인증서만 내보내기용으로 선택되어 있는지 확인합니다.

기타 인증서

문제 - PFX 패키지에는 리프 인증서 또는 인증서 체인의 일부가 아닌 인증서가 포함되어 있습니다.

수정 - 배포를 위해 Azure Stack Hub PKI 인증서 준비의 단계를 사용하여 인증서를 다시 내보내고 가능한 경우 인증 경로에 모든 인증서 포함 옵션을 선택합니다. 리프 인증서만 내보내기용으로 선택되어 있는지 확인합니다.

일반적인 패키징 문제 해결

AzsReadinessChecker 도구에는 Repair-AzsPfxCertificate라는 도우미 cmdlet이 포함되어 있습니다. 이 cmdlet은 PFX 파일을 가져온 다음 내보내서 다음과 같은 일반적인 패키징 문제를 해결할 수 있습니다.

• PFX 암호화 는 TripleDES-SHA1이 아닙니다.
• 프라이빗 키 에 로컬 컴퓨터 특성이 없습니다.
• 인증서 체인 이 불완전하거나 잘못되었습니다. PFX 패키지가 없는 경우 로컬 컴퓨터에 인증서 체인이 포함되어야 합니다.
• 기타 인증서

Repair-AzsPfxCertificate 는 새 CSR을 생성하고 인증서를 다시 발급해야 하는 경우 도움이 되지 않습니다.

사전 요구 사항

도구가 실행되는 컴퓨터에는 다음 필수 구성 요소가 있어야 합니다.

• 인터넷 연결이 있는 Windows 10 또는 Windows Server 2016.

• PowerShell 5.1 이상. 버전을 검사 다음 PowerShell cmdlet을 실행한 다음 주 및 부 버전을 검토합니다.

  $PSVersionTable.PSVersion
  

• Azure Stack Hub용 PowerShell을 구성합니다.

• 최신 버전의 Azure Stack Hub 준비 검사기 도구를 다운로드합니다.

기존 PFX 파일 가져오기 및 내보내기

1. 필수 구성 요소를 충족하는 컴퓨터에서 관리자 권한 PowerShell 프롬프트를 연 다음 다음 명령을 실행하여 Azure Stack Hub 준비 검사기를 설치합니다.

   Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
   

2. PowerShell 프롬프트에서 다음 cmdlet을 실행하여 PFX 암호를 설정합니다. 메시지가 표시되면 암호를 입력합니다.

   $password = Read-Host -Prompt "Enter password" -AsSecureString
   

3. PowerShell 프롬프트에서 다음 명령을 실행하여 새 PFX 파일을 내보냅니다.

   • 의 경우 -PfxPath작업 중인 PFX 파일의 경로를 지정합니다. 다음 예제에서 경로는 입니다 .\certificates\ssl.pfx.
   • 의 경우 -ExportPFXPath내보낼 PFX 파일의 위치와 이름을 지정합니다. 다음 예제에서 경로는 입니다 .\certificates\ssl_new.pfx.

   Repair-AzsPfxCertificate -PfxPassword $password -PfxPath .\certificates\ssl.pfx -ExportPFXPath .\certificates\ssl_new.pfx
   

4. 도구가 완료되면 출력을 검토하여 성공합니다.

   Repair-AzsPfxCertificate v1.1809.1005.1 started.
   Starting Azure Stack Hub Certificate Import/Export
   Importing PFX .\certificates\ssl.pfx into Local Machine Store
   Exporting certificate to .\certificates\ssl_new.pfx
   Export complete. Removing certificate from the local machine store.
   Removal complete.
   Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
   Repair-AzsPfxCertificate Completed
   

다음 단계

• Azure Stack Hub 보안에 대해 자세히 알아보기