Veelvoorkomende problemen met PKI-certificaten van Azure Stack Hub oplossen
De informatie in dit artikel helpt u bij het begrijpen en oplossen van veelvoorkomende problemen met Azure Stack Hub PKI-certificaten. U kunt problemen ontdekken wanneer u het hulpprogramma Azure Stack Hub gereedheidscontrole gebruikt om de PKI Azure Stack Hub certificaten te valideren. Het hulpprogramma controleert of de certificaten voldoen aan de PKI-vereisten van een Azure Stack Hub-implementatie en Azure Stack Hub geheimrotatie en registreert de resultaten vervolgens in een report.json-bestand.
HTTP CRL - Waarschuwing
Probleem : het certificaat bevat geen HTTP CRL in de CDP-extensie.
Oplossing : dit is een niet-blokkerend probleem. Azure Stack vereist HTTP CRL voor intrekkingscontrole volgens Azure Stack Hub PKI-certificaatvereisten (Public Key Infrastructure). Er is geen HTTP-CRL gedetecteerd op het certificaat. Om ervoor te zorgen dat de controle van certificaatintrekken werkt, moet de certificeringsinstantie een certificaat met een HTTP-CRL in de CDP-extensie uitgeven.
HTTP CRL - Mislukt
Probleem : kan geen verbinding maken met HTTP CRL in CDP-extensie.
Oplossing : dit is een blokkeringsprobleem. Azure Stack is connectiviteit met een HTTP-CRL vereist voor het intrekken van intrekkingscontrole volgens Azure Stack Hub poorten en URL's (uitgaand) publiceren.
PFX-versleuteling
Probleem : PFX-versleuteling is geen TripleDES-SHA1.
Oplossing : PFX-bestanden exporteren met TripleDES-SHA1-versleuteling . Dit is de standaardversleuteling voor alle Windows 10 clients bij het exporteren vanuit de certificaat-module of met behulp van Export-PFXCertificate.
PFX lezen
Waarschuwing : met het wachtwoord worden alleen de persoonlijke gegevens in het certificaat beveiligd.
Oplossing : PFX-bestanden exporteren met de optionele instelling voor Certificaat privacy inschakelen.
Probleem : PFX-bestand is ongeldig.
Oplossing : exporteer het certificaat opnieuw met behulp van de stappen in Azure Stack Hub PKI-certificaten voorbereiden voor implementatie.
Handtekeningalgoritme
Probleem : handtekeningalgoritme is SHA1.
Oplossing : gebruik de stappen in Azure Stack Hub voor het genereren van een aanvraag voor ondertekening van certificaten om de aanvraag voor certificaat-ondertekening (CSR) opnieuw te genereren met het handtekeningalgoritme SHA256. Dien de CSR vervolgens opnieuw in bij de certificeringsinstantie om het certificaat opnieuw uit te geven.
Persoonlijke sleutel
Probleem : de persoonlijke sleutel ontbreekt of bevat niet het kenmerk van de lokale computer.
Oplossing : exporteer het certificaat opnieuw vanaf de computer die de CSR heeft gegenereerd met behulp van de stappen in Prepare Azure Stack Hub PKI certificates for deployment (PKI-certificaten voorbereiden voor implementatie). Deze stappen omvatten het exporteren vanuit het certificaatopslag van de lokale computer.
Certificaatketen
Probleem : de certificaatketen is niet voltooid.
Oplossing : certificaten moeten een volledige certificaatketen bevatten. Exporteert het certificaat opnieuw met behulp van de stappen in PKI Azure Stack Hub voorbereiden voor implementatie en selecteer indien mogelijk de optie Alle certificaten in het certificeringspad opnemen.
DNS-namen
Probleem : de DNSNameList op het certificaat bevat niet de naam Azure Stack Hub service-eindpunt of een geldige overeenkomst met jokertekens. Jokertekens zijn alleen geldig voor de meest linkse naamruimte van de DNS-naam. is bijvoorbeeld alleen *.region.domain.com geldig voor portal.region.domain.com, niet *.table.region.domain.com.
Oplossing : gebruik de stappen in Azure Stack Hub voor het genereren van de aanvraag voor ondertekening van certificaten om de CSR opnieuw te genereren met de juiste DNS-namen ter ondersteuning van Azure Stack Hub eindpunten. De CSR opnieuw bij een certificeringsinstantie inzenden. Volg vervolgens de stappen in PKI Azure Stack Hub voorbereiden voor implementatie om het certificaat te exporteren van de computer die de CSR heeft gegenereerd.
Sleutelgebruik
Probleem : er ontbreekt een digitale handtekening of sleutelcodeversleuteling in het sleutelgebruik, of bij uitgebreid sleutelgebruik ontbreekt serververificatie of clientverificatie.
Oplossing : gebruik de stappen in het Azure Stack Hub van certificaten voor het genereren van ondertekeningsaanvraag om de CSR opnieuw te genereren met de juiste kenmerken voor sleutelgebruik. Ubmit the CSR to the certificate authority (Csr opnieuw indienen bij de certificeringsinstantie) en controleer of een certificaatsjabloon het sleutelgebruik in de aanvraag niet overschrijft.
Sleutelgrootte
Probleem : de sleutelgrootte is kleiner dan 2048.
Oplossing : gebruik de stappen in Azure Stack Hub het genereren van een aanvraag voor ondertekening van certificaten om de CSR opnieuw te genereren met de juiste sleutellengte (2048) en de CSR vervolgens opnieuw bij de certificeringsinstantie in te voeren.
Ketenorder
Probleem : de volgorde van de certificaatketen is onjuist.
Oplossing : exporteer het certificaat opnieuw met behulp van de stappen in PKI Azure Stack Hub voorbereiden voor implementatie en selecteer indien mogelijk de optie Alle certificaten in het certificeringspad opnemen. Zorg ervoor dat alleen het leaf-certificaat is geselecteerd voor export.
Andere certificaten
Probleem : het PFX-pakket bevat certificaten die niet het leaf-certificaat of deel uitmaken van de certificaatketen.
Oplossing : exporteer het certificaat opnieuw met behulp van de stappen in Azure Stack Hub PKI-certificaten voorbereiden voor implementatie en selecteer indien mogelijk de optie Alle certificaten opnemen in het certificeringspad. Zorg ervoor dat alleen het leaf-certificaat is geselecteerd voor export.
Veelvoorkomende problemen met verpakking oplossen
Het hulpprogramma AzsReadinessChecker bevat een helper-cmdlet met de naam Repair-AzsPfxCertificate, die een PFX-bestand kan importeren en exporteren om veelvoorkomende problemen met verpakking op te lossen, waaronder:
- PFX-versleuteling is geen TripleDES-SHA1.
- Er ontbreekt een kenmerk van de lokale computer in de persoonlijke sleutel.
- De certificaatketen is onvolledig of onjuist. De lokale computer moet de certificaatketen bevatten als het PFX-pakket dat niet doet.
- Andere certificaten
Repair-AzsPfxCertificate kan niet helpen als u een nieuwe CSR moet genereren en een certificaat opnieuw moet uitgeven.
Vereisten
De volgende vereisten moeten zijn geĆÆnstalleerd op de computer waarop het hulpprogramma wordt uitgevoerd:
Windows 10 of Windows Server 2016, met internetverbinding.
PowerShell 5.1 of hoger. Als u uw versie wilt controleren, moet u de volgende PowerShell-cmdlet uitvoeren en vervolgens de hoofd- en secundaire versies bekijken:
$PSVersionTable.PSVersionDownload de nieuwste versie van het hulpprogramma Azure Stack Hub gereedheidscontrole .
Een bestaand PFX-bestand importeren en exporteren
Open op een computer die voldoet aan de vereisten een PowerShell-prompt met verhoogde bevoegdheid en voer vervolgens de volgende opdracht uit om de gereedheidscontrole Azure Stack Hub installeren:
Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrereleaseVoer vanuit de PowerShell-prompt de volgende cmdlet uit om het PFX-wachtwoord in te stellen. Voer het wachtwoord in wanneer u hier om wordt gevraagd:
$password = Read-Host -Prompt "Enter password" -AsSecureStringVoer vanuit de PowerShell-prompt de volgende opdracht uit om een nieuw PFX-bestand te exporteren:
- Geef
-PfxPathvoor het pad op naar het PFX-bestand waar u mee werkt. In het volgende voorbeeld is het pad.\certificates\ssl.pfx. - Geef
-ExportPFXPathvoor de locatie en naam op van het PFX-bestand dat moet worden geƫxporteerd. In het volgende voorbeeld is het pad.\certificates\ssl_new.pfx:
Repair-AzsPfxCertificate -PfxPassword $password -PfxPath .\certificates\ssl.pfx -ExportPFXPath .\certificates\ssl_new.pfx- Geef
Nadat het hulpprogramma is voltooid, controleert u de uitvoer op geslaagd:
Repair-AzsPfxCertificate v1.1809.1005.1 started. Starting Azure Stack Hub Certificate Import/Export Importing PFX .\certificates\ssl.pfx into Local Machine Store Exporting certificate to .\certificates\ssl_new.pfx Export complete. Removing certificate from the local machine store. Removal complete. Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log Repair-AzsPfxCertificate Completed