Veelvoorkomende problemen met PKI-certificaten van Azure Stack Hub oplossenFix common issues with Azure Stack Hub PKI certificates

De informatie in dit artikel helpt u bij het begrijpen en oplossen van veelvoorkomende problemen met Azure Stack hub PKI-certificaten.The information in this article helps you understand and resolve common issues with Azure Stack Hub PKI certificates. U kunt problemen detecteren wanneer u het hulp programma Azure Stack hub-gereedheids controlepunt gebruikt om Azure stack hub PKI-certificaten te valideren.You can discover issues when you use the Azure Stack Hub Readiness Checker tool to validate Azure Stack Hub PKI certificates. Het hulp programma controleert of de certificaten voldoen aan de PKI-vereisten van een implementatie van een Azure Stack hub en Azure Stack hub-geheim rotatie, waarna de resultaten worden vastgelegd in een report.jsin het bestand.The tool checks if the certificates meet the PKI requirements of an Azure Stack Hub deployment and Azure Stack Hub secret rotation, and then logs the results to a report.json file.

HTTP-CRL-waarschuwingHTTP CRL - Warning

Probleem : het certificaat bevat geen http-CRL in de CDP-extensie.Issue - Certificate does not contain HTTP CRL in CDP Extension.

Fix -dit is een niet-blokkerend probleem.Fix - This is a non-blocking issue. Voor Azure Stack is een HTTP-CRL vereist voor de intrekkings controle volgens de vereisten voor PKI-certificaten (Public Key Infrastructure) van Azure stack hub.Azure Stack requires HTTP CRL for revocation checking as per Azure Stack Hub public key infrastructure (PKI) certificate requirements. Er is geen HTTP-CRL gedetecteerd in het certificaat.A HTTP CRL was not detected on the certificate. Om ervoor te zorgen dat de controle op ingetrokken certificaten werkt, moet de certificerings instantie een certificaat uitgeven met een HTTP-CRL in de CDP-extensie.To ensure certificate revocation checking works, the Certificate Authority should issue a certificate with a HTTP CRL in the CDP extension.

HTTP-CRL-misluktHTTP CRL - Fail

Probleem -kan geen verbinding maken met de http-CRL in de CDP-extensie.Issue - Cannot connect to HTTP CRL in CDP Extension.

Fix -dit probleem wordt geblokkeerd.Fix - This is a blocking issue. Voor Azure Stack is connectiviteit met een HTTP-CRL vereist voor de intrekkings controle via publicatie Azure stack Hub-poorten en-url's (uitgaand).Azure Stack requires connectivity to a HTTP CRL for revocation checking as per Publishing Azure Stack Hub Ports and URLs (outbound).

PFX-versleutelingPFX Encryption

Probleem -pfx-versleuteling is niet TripleDES-SHA1.Issue - PFX encryption isn't TripleDES-SHA1.

Fix : Exporteer pfx-bestanden met TripleDES-SHA1- versleuteling.Fix - Export PFX files with TripleDES-SHA1 encryption. Dit is de standaard versleuteling voor alle Windows 10-clients bij het exporteren vanuit een certificaat module of met Export-PFXCertificate .This is the default encryption for all Windows 10 clients when exporting from certificate snap-in or using Export-PFXCertificate.

PFX lezenRead PFX

Waarschuwing : wacht woord beveiligt alleen de persoonlijke gegevens in het certificaat.Warning - Password only protects the private information in the certificate.

Fix : Exporteer pfx-bestanden met de optionele instelling voor het inschakelen van certificaat-privacy.Fix - Export PFX files with the optional setting for Enable certificate privacy.

Probleem -pfx-bestand is ongeldig.Issue - PFX file invalid.

Herstel : Voer het certificaat opnieuw uit met behulp van de stappen in Azure stack hub PKI-certificaten voorbereiden voor implementatie.Fix - Re-export the certificate using the steps in Prepare Azure Stack Hub PKI certificates for deployment.

Handtekening algoritmeSignature algorithm

Probleem -handtekening ALGORITME is SHA1.Issue - Signature algorithm is SHA1.

Herstellen : gebruik de stappen in azure stack hub-certificaten voor het genereren van de ondertekening van de certificaat aanvraag om de aanvraag voor het ondertekenen van certificaten (CSR) opnieuw te genereren met het handtekening ALGORITME van sha256.Fix - Use the steps in Azure Stack Hub certificates signing request generation to regenerate the certificate signing request (CSR) with the signature algorithm of SHA256. Dien vervolgens de CSR opnieuw in bij de certificerings instantie om het certificaat opnieuw te verlenen.Then resubmit the CSR to the certificate authority to reissue the certificate.

Persoonlijke sleutelPrivate key

Probleem -de persoonlijke sleutel ontbreekt of bevat het kenmerk lokale machine niet.Issue - The private key is missing or doesn't contain the local machine attribute.

Fix -van de computer die de CSR heeft gegenereerd, exporteert u het certificaat opnieuw met behulp van de stappen in Azure stack hub PKI-certificaten voorbereiden voor implementatie.Fix - From the computer that generated the CSR, re-export the certificate using the steps in Prepare Azure Stack Hub PKI certificates for deployment. Deze stappen omvatten het exporteren vanuit het certificaat archief van de lokale computer.These steps include exporting from the local machine certificate store.

Certificaat ketenCertificate chain

Probleem : certificaat keten is niet voltooid.Issue - Certificate chain isn't complete.

Fix : certificaten moeten een volledige certificaat keten bevatten.Fix - Certificates should contain a complete certificate chain. Exporteer het certificaat opnieuw met behulp van de stappen in voor bereiding van Azure stack hub PKI-certificaten voor implementatie en selecteer de optie alle certificaten in het certificeringspad, indien mogelijk, toevoegen.Re-export the certificate using the steps in Prepare Azure Stack Hub PKI certificates for deployment and select the option Include all certificates in the certification path if possible.

DNS-namenDNS names

Probleem -de DNSNameList in het certificaat bevat niet de naam van het Azure stack hub-service-eind punt of een geldige overeenkomst voor joker tekens.Issue - The DNSNameList on the certificate doesn't contain the Azure Stack Hub service endpoint name or a valid wildcard match. Joker tekens zijn alleen geldig voor de meest linkse naam ruimte van de DNS-naam.Wildcard matches are only valid for the left-most namespace of the DNS name. *.region.domain.comIs bijvoorbeeld alleen geldig voor portal.region.domain.com , niet *.table.region.domain.com .For example, *.region.domain.com is only valid for portal.region.domain.com, not *.table.region.domain.com.

Herstellen : gebruik de stappen in azure stack hub-certificaten voor het genereren van de certificaat aanvraag voor het opnieuw genereren van de CSR met de juiste DNS-namen ter ondersteuning van Azure stack hub-eind punten.Fix - Use the steps in Azure Stack Hub certificates signing request generation to regenerate the CSR with the correct DNS names to support Azure Stack Hub endpoints. Verzend de CSR opnieuw naar een certificerings instantie.Resubmit the CSR to a certificate authority. Volg vervolgens de stappen in Azure stack hub PKI-certificaten voorbereiden voor implementatie om het certificaat te exporteren van de computer die de CSR heeft gegenereerd.Then follow the steps in Prepare Azure Stack Hub PKI certificates for deployment to export the certificate from the machine that generated the CSR.

Sleutel gebruikKey usage

Er ontbreekt een digitale hand tekening of sleutel codering in het gebruik van de probleem sleutel, of de Enhanced Key Usage heeft geen server verificatie of client verificatie.Issue - Key usage is missing digital signature or key encipherment, or enhanced key usage is missing server authentication or client authentication.

Herstellen : gebruik de stappen in Azure stack hub-certificaten voor het genereren van de aanvraag voor het ondertekenen van de CSR met de juiste kenmerken voor sleutel gebruik.Fix - Use the steps in Azure Stack Hub certificates signing request generation to regenerate the CSR with the correct key usage attributes. Verzend de CSR opnieuw naar de certificerings instantie en bevestig dat het sleutel gebruik in de aanvraag niet wordt overschreven door een certificaat sjabloon.Resubmit the CSR to the certificate authority and confirm that a certificate template isn't overwriting the key usage in the request.

SleutelgrootteKey size

Probleem : sleutel grootte is kleiner dan 2048.Issue - Key size is smaller than 2048.

Herstellen : gebruik de stappen in Azure stack hub-certificaten voor het genereren van het ondertekenen van de CSR met de juiste sleutel lengte (2048) en verzend de CSR vervolgens opnieuw naar de certificerings instantie.Fix - Use the steps in Azure Stack Hub certificates signing request generation to regenerate the CSR with the correct key length (2048), and then resubmit the CSR to the certificate authority.

Keten volgordeChain order

Probleem -de volg orde van de certificaat keten is onjuist.Issue - The order of the certificate chain is incorrect.

Herstel : Voer het certificaat opnieuw uit met behulp van de stappen in voorbereiden van Azure stack hub PKI-certificaten voor implementatie en selecteer de optie alle certificaten in het certificeringspad, indien mogelijk, toevoegen.Fix - Re-export the certificate using the steps in Prepare Azure Stack Hub PKI certificates for deployment and select the option Include all certificates in the certification path if possible. Zorg ervoor dat alleen het Leaf-certificaat is geselecteerd voor het exporteren.Ensure that only the leaf certificate is selected for export.

Andere certificatenOther certificates

Probleem -het pfx-pakket bevat certificaten die niet het Leaf-certificaat zijn of deel uitmaken van de certificaat keten.Issue - The PFX package contains certificates that aren't the leaf certificate or part of the certificate chain.

Herstel : Voer het certificaat opnieuw uit met behulp van de stappen in voorbereiden van Azure stack hub PKI-certificaten voor implementatieen selecteer de optie alle certificaten in het certificeringspad, indien mogelijk, toevoegen.Fix - Re-export the certificate using the steps in Prepare Azure Stack Hub PKI certificates for deployment, and select the option Include all certificates in the certification path if possible. Zorg ervoor dat alleen het Leaf-certificaat is geselecteerd voor het exporteren.Ensure that only the leaf certificate is selected for export.

Veelvoorkomende problemen met pakketten oplossenFix common packaging issues

Het hulp programma AzsReadinessChecker bevat een helper -cmdlet Repair-AzsPfxCertificate, waarmee u een pfx-bestand kunt importeren en vervolgens exporteren om veelvoorkomende problemen met het pakket op te lossen, waaronder:The AzsReadinessChecker tool contains a helper cmdlet called Repair-AzsPfxCertificate, which can import and then export a PFX file to fix common packaging issues, including:

  • PFX-versleuteling is niet TripleDES-SHA1.PFX encryption isn't TripleDES-SHA1.
  • Er ontbreekt een kenmerk van de lokale computer in de persoonlijke sleutel .Private key is missing local machine attribute.
  • De certificaat keten is onvolledig of onjuist.Certificate chain is incomplete or wrong. De lokale machine moet de certificaat keten bevatten als het PFX-pakket niet aanwezig is.The local machine must contain the certificate chain if the PFX package doesn't.
  • Andere certificatenOther certificates

Repair-AzsPfxCertificate kan niet helpen als u een nieuwe CSR wilt genereren en een certificaat opnieuw wilt uitgeven.Repair-AzsPfxCertificate can't help if you need to generate a new CSR and reissue a certificate.

VereistenPrerequisites

De volgende vereisten moeten aanwezig zijn op de computer waarop het hulp programma wordt uitgevoerd:The following prerequisites must be in place on the computer on which the tool runs:

Een bestaand PFX-bestand importeren en exporterenImport and export an existing PFX File

  1. Open een Power shell-prompt met verhoogde bevoegdheid op een computer die voldoet aan de vereisten en voer de volgende opdracht uit om de Azure Stack hub-gereedheids controleprogramma te installeren:On a computer that meets the prerequisites, open an elevated PowerShell prompt, and then run the following command to install the Azure Stack Hub readiness checker:

    Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
    
  2. Voer de volgende cmdlet uit vanaf de Power shell-prompt om het PFX-wacht woord in te stellen.From the PowerShell prompt, run the following cmdlet to set the PFX password. Voer het wacht woord in wanneer u hierom wordt gevraagd:Enter the password when prompted:

    $password = Read-Host -Prompt "Enter password" -AsSecureString
    
  3. Voer de volgende opdracht uit vanaf de Power shell-prompt om een nieuw PFX-bestand te exporteren:From the PowerShell prompt, run the following command to export a new PFX file:

    • -PfxPathGeef voor het pad op naar het pfx-bestand waarmee u wilt werken.For -PfxPath, specify the path to the PFX file you're working with. In het volgende voor beeld is het pad .\certificates\ssl.pfx .In the following example, the path is .\certificates\ssl.pfx.
    • -ExportPFXPathGeef voor de locatie en de naam van het pfx-bestand op dat u wilt exporteren.For -ExportPFXPath, specify the location and name of the PFX file for export. In het volgende voor beeld is het pad .\certificates\ssl_new.pfx :In the following example, the path is .\certificates\ssl_new.pfx:
    Repair-AzsPfxCertificate -PfxPassword $password -PfxPath .\certificates\ssl.pfx -ExportPFXPath .\certificates\ssl_new.pfx
    
  4. Nadat het hulp programma is voltooid, controleert u de uitvoer voor geslaagde pogingen:After the tool completes, review the output for success:

    Repair-AzsPfxCertificate v1.1809.1005.1 started.
    Starting Azure Stack Hub Certificate Import/Export
    Importing PFX .\certificates\ssl.pfx into Local Machine Store
    Exporting certificate to .\certificates\ssl_new.pfx
    Export complete. Removing certificate from the local machine store.
    Removal complete.
    Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
    Repair-AzsPfxCertificate Completed
    

Volgende stappenNext steps