Rozwiązywanie typowych problemów z certyfikatami infrastruktury kluczy publicznych usługi Azure Stack HubFix common issues with Azure Stack Hub PKI certificates

Informacje przedstawione w tym artykule ułatwiają zrozumienie i rozwiązywanie typowych problemów z certyfikatami PKI centrum Azure Stack.The information in this article helps you understand and resolve common issues with Azure Stack Hub PKI certificates. Problemy można wykryć w przypadku używania narzędzia sprawdzania gotowości centrum Azure Stack do sprawdzania poprawności certyfikatów centrum Azure Stack Hub.You can discover issues when you use the Azure Stack Hub Readiness Checker tool to validate Azure Stack Hub PKI certificates. Narzędzie sprawdza, czy certyfikaty spełniają wymagania dotyczące infrastruktury kluczy publicznych wdrożenia centrum Azure Stack i Azure Stack, a następnie rejestruje wyniki w report.jspliku.The tool checks if the certificates meet the PKI requirements of an Azure Stack Hub deployment and Azure Stack Hub secret rotation, and then logs the results to a report.json file.

Lista CRL protokołu HTTP — ostrzeżenieHTTP CRL - Warning

Problem — certyfikat nie zawiera listy CRL protokołu HTTP w rozszerzeniu CDP.Issue - Certificate does not contain HTTP CRL in CDP Extension.

Naprawa — ten problem nie jest blokowany.Fix - This is a non-blocking issue. Azure Stack wymaga, aby protokół HTTP CRL miał sprawdzanie odwołań zgodnie z wymaganiami dotyczącymi certyfikatów infrastruktury kluczy publicznych (PKI) Azure Stack centrum.Azure Stack requires HTTP CRL for revocation checking as per Azure Stack Hub public key infrastructure (PKI) certificate requirements. Nie wykryto listy CRL protokołu HTTP dla certyfikatu.A HTTP CRL was not detected on the certificate. Aby upewnić się, że sprawdzanie odwołań certyfikatów działa, urząd certyfikacji powinien wydać certyfikat z listą CRL protokołu HTTP w rozszerzeniu CDP.To ensure certificate revocation checking works, the Certificate Authority should issue a certificate with a HTTP CRL in the CDP extension.

Lista CRL protokołu HTTP — niepowodzenieHTTP CRL - Fail

Problem — nie można nawiązać połączenia z listą CRL protokołu HTTP w rozszerzeniu CDP.Issue - Cannot connect to HTTP CRL in CDP Extension.

Naprawa — problem z blokowaniem.Fix - This is a blocking issue. Azure Stack wymaga łączności z listą CRL protokołu HTTP na potrzeby sprawdzania odwołania jako do opublikowania Azure Stack porty i adresy URL (wychodzące) centrum.Azure Stack requires connectivity to a HTTP CRL for revocation checking as per Publishing Azure Stack Hub Ports and URLs (outbound).

Szyfrowanie PFXPFX Encryption

Problem — szyfrowanie PFX nie jest TripleDES-SHA1.Issue - PFX encryption isn't TripleDES-SHA1.

Naprawa — eksportowanie plików PFX przy użyciu szyfrowania TripleDES-SHA1 .Fix - Export PFX files with TripleDES-SHA1 encryption. Jest to domyślne szyfrowanie dla wszystkich klientów systemu Windows 10 podczas eksportowania z przystawki certyfikatów lub przy użyciu programu Export-PFXCertificate .This is the default encryption for all Windows 10 clients when exporting from certificate snap-in or using Export-PFXCertificate.

Odczytaj PFXRead PFX

Ostrzeżenie — hasło chroni tylko informacje prywatne w certyfikacie.Warning - Password only protects the private information in the certificate.

Naprawa — eksportowanie plików PFX z ustawieniem opcjonalnym dla włączania prywatności certyfikatu.Fix - Export PFX files with the optional setting for Enable certificate privacy.

Problem — nieprawidłowy plik PFX.Issue - PFX file invalid.

Napraw — Wyeksportuj certyfikat, wykonując kroki z sekcji przygotowanie Azure Stack centrum PKI certyfikaty do wdrożenia.Fix - Re-export the certificate using the steps in Prepare Azure Stack Hub PKI certificates for deployment.

Algorytm podpisuSignature algorithm

Algorytm wydawania podpisów to SHA1.Issue - Signature algorithm is SHA1.

Poprawka — wykonaj kroki opisane w Azure Stack generacja żądania podpisania certyfikatu centrum, aby ponownie wygenerować żądanie podpisania certyfikatów (CSR) z algorytmem sygnatury SHA256.Fix - Use the steps in Azure Stack Hub certificates signing request generation to regenerate the certificate signing request (CSR) with the signature algorithm of SHA256. Następnie prześlij ponownie CSR do urzędu certyfikacji, aby ponownie wydać certyfikat.Then resubmit the CSR to the certificate authority to reissue the certificate.

Klucz prywatnyPrivate key

Problem — brak klucza prywatnego lub nie zawiera on atrybutu komputera lokalnego.Issue - The private key is missing or doesn't contain the local machine attribute.

Poprawka — z komputera, który wygenerował plik CSR, należy ponownie wyeksportować certyfikat, wykonując kroki opisane w temacie przygotowanie Azure Stack centrum PKI certyfikaty do wdrożenia.Fix - From the computer that generated the CSR, re-export the certificate using the steps in Prepare Azure Stack Hub PKI certificates for deployment. Te kroki obejmują Eksportowanie z magazynu certyfikatów komputera lokalnego.These steps include exporting from the local machine certificate store.

Łańcuch certyfikatówCertificate chain

Problem — łańcuch certyfikatów nie został ukończony.Issue - Certificate chain isn't complete.

Poprawka — certyfikaty powinny zawierać kompletny łańcuch certyfikatów.Fix - Certificates should contain a complete certificate chain. Wyeksportuj certyfikat, wykonując kroki z sekcji przygotowanie Azure Stack centrum PKI certyfikaty do wdrożenia , a następnie wybierz opcję Dołącz wszystkie certyfikaty do ścieżki certyfikacji, jeśli jest to możliwe.Re-export the certificate using the steps in Prepare Azure Stack Hub PKI certificates for deployment and select the option Include all certificates in the certification path if possible.

Nazwy DNSDNS names

ProblemDNSNameList na certyfikacie nie zawiera nazwy punktu końcowego usługi centrum Azure Stack lub prawidłowego dopasowania z symbolami wieloznacznymi.Issue - The DNSNameList on the certificate doesn't contain the Azure Stack Hub service endpoint name or a valid wildcard match. Dopasowania z symbolami wieloznacznymi są prawidłowe tylko dla przestrzeni nazw nazwy DNS znajdującej się po lewej stronie.Wildcard matches are only valid for the left-most namespace of the DNS name. Na przykład, *.region.domain.com jest prawidłowy tylko dla portal.region.domain.com , nie *.table.region.domain.com .For example, *.region.domain.com is only valid for portal.region.domain.com, not *.table.region.domain.com.

Poprawka — wykonaj kroki opisane w Azure Stack generacja żądania podpisania certyfikatu centrum, aby ponownie wygenerować CSR z prawidłowymi nazwami DNS w celu obsługi punktów końcowych centrum Azure Stack.Fix - Use the steps in Azure Stack Hub certificates signing request generation to regenerate the CSR with the correct DNS names to support Azure Stack Hub endpoints. Prześlij ponownie CSR do urzędu certyfikacji.Resubmit the CSR to a certificate authority. Następnie postępuj zgodnie z instrukcjami w temacie przygotowanie Azure Stack centrum PKI certyfikaty do wdrożenia w celu wyeksportowania certyfikatu z komputera, który wygenerował CSR.Then follow the steps in Prepare Azure Stack Hub PKI certificates for deployment to export the certificate from the machine that generated the CSR.

Użycie kluczaKey usage

Problem — użycie klucza nie ma podpisu cyfrowego lub szyfrowania klucza lub ulepszone użycie klucza nie ma uwierzytelniania serwera lub uwierzytelniania klienta.Issue - Key usage is missing digital signature or key encipherment, or enhanced key usage is missing server authentication or client authentication.

Poprawka — wykonaj kroki opisane w Azure Stack generacja żądania podpisania certyfikatu centrum , aby ponownie wygenerować CSR przy użyciu prawidłowych atrybutów użycia klucza.Fix - Use the steps in Azure Stack Hub certificates signing request generation to regenerate the CSR with the correct key usage attributes. Prześlij ponownie CSR do urzędu certyfikacji i upewnij się, że szablon certyfikatu nie zastąpił użycia klucza w żądaniu.Resubmit the CSR to the certificate authority and confirm that a certificate template isn't overwriting the key usage in the request.

Rozmiar kluczaKey size

Problem — rozmiar klucza jest mniejszy niż 2048.Issue - Key size is smaller than 2048.

Poprawka — wykonaj kroki opisane w Azure Stack generacja żądania podpisania certyfikatu centrum , aby ponownie wygenerować CSR o prawidłowej długości klucza (2048), a następnie ponownie przesłać CSR do urzędu certyfikacji.Fix - Use the steps in Azure Stack Hub certificates signing request generation to regenerate the CSR with the correct key length (2048), and then resubmit the CSR to the certificate authority.

Kolejność łańcuchaChain order

Problem — kolejność łańcucha certyfikatów jest niepoprawna.Issue - The order of the certificate chain is incorrect.

Napraw — Wyeksportuj certyfikat, wykonując kroki z sekcji przygotowanie Azure Stack centrum PKI certyfikaty do wdrożenia , a następnie wybierz opcję Dołącz wszystkie certyfikaty ze ścieżki certyfikacji, jeśli jest to możliwe.Fix - Re-export the certificate using the steps in Prepare Azure Stack Hub PKI certificates for deployment and select the option Include all certificates in the certification path if possible. Upewnij się, że tylko certyfikat liścia został wybrany do eksportu.Ensure that only the leaf certificate is selected for export.

Inne certyfikatyOther certificates

Problem — pakiet PFX zawiera certyfikaty, które nie są certyfikatem liścia lub częścią łańcucha certyfikatów.Issue - The PFX package contains certificates that aren't the leaf certificate or part of the certificate chain.

Napraw — Wyeksportuj certyfikat, wykonując kroki z sekcji przygotowanie Azure Stack centrum PKI certyfikaty do wdrożenia, a następnie wybierz opcję Dołącz wszystkie certyfikaty do ścieżki certyfikacji, jeśli jest to możliwe.Fix - Re-export the certificate using the steps in Prepare Azure Stack Hub PKI certificates for deployment, and select the option Include all certificates in the certification path if possible. Upewnij się, że tylko certyfikat liścia został wybrany do eksportu.Ensure that only the leaf certificate is selected for export.

Rozwiązywanie typowych problemów dotyczących pakietówFix common packaging issues

Narzędzie AzsReadinessChecker zawiera polecenie cmdlet pomocnika o nazwie Repair-AzsPfxCertificate, które może importować i eksportować plik PFX w celu rozwiązania typowych problemów z pakietami, w tym:The AzsReadinessChecker tool contains a helper cmdlet called Repair-AzsPfxCertificate, which can import and then export a PFX file to fix common packaging issues, including:

  • Szyfrowanie PFX nie jest TripleDES-SHA1.PFX encryption isn't TripleDES-SHA1.
  • Brak atrybutu Local Machine w kluczu prywatnym .Private key is missing local machine attribute.
  • Łańcuch certyfikatów jest niekompletny lub nieprawidłowy.Certificate chain is incomplete or wrong. Jeśli pakiet PFX nie jest obsługiwany, komputer lokalny musi zawierać łańcuch certyfikatów.The local machine must contain the certificate chain if the PFX package doesn't.
  • Inne certyfikatyOther certificates

Repair-AzsPfxCertificate nie może pomóc, jeśli konieczne jest wygenerowanie nowego CSR i ponowne wystawienie certyfikatu.Repair-AzsPfxCertificate can't help if you need to generate a new CSR and reissue a certificate.

Wymagania wstępnePrerequisites

Na komputerze, na którym jest uruchamiane narzędzie, muszą być spełnione następujące wymagania wstępne:The following prerequisites must be in place on the computer on which the tool runs:

  • Windows 10 lub Windows Server 2016 z łącznością z Internetem.Windows 10 or Windows Server 2016, with internet connectivity.

  • Program PowerShell 5,1 lub nowszy.PowerShell 5.1 or later. Aby sprawdzić wersję, uruchom następujące polecenie cmdlet programu PowerShell, a następnie zapoznaj się z wersjami główna i pomocnicza :To check your version, run the following PowerShell cmdlet and then review the Major and Minor versions:

    $PSVersionTable.PSVersion
    
  • Skonfiguruj program PowerShell dla Azure Stack Hub.Configure PowerShell for Azure Stack Hub.

  • Pobierz najnowszą wersję narzędzia sprawdzania gotowości centrum Azure Stack .Download the latest version of the Azure Stack Hub readiness checker tool.

Importowanie i eksportowanie istniejącego pliku PFXImport and export an existing PFX File

  1. Na komputerze, który spełnia wymagania wstępne, Otwórz wiersz polecenia programu PowerShell z podwyższonym poziomem uprawnień, a następnie uruchom następujące polecenie, aby zainstalować narzędzie do sprawdzania gotowości centrum Azure Stack:On a computer that meets the prerequisites, open an elevated PowerShell prompt, and then run the following command to install the Azure Stack Hub readiness checker:

    Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
    
  2. W wierszu polecenia programu PowerShell uruchom następujące polecenie cmdlet, aby ustawić hasło PFX.From the PowerShell prompt, run the following cmdlet to set the PFX password. Wprowadź hasło po wyświetleniu monitu:Enter the password when prompted:

    $password = Read-Host -Prompt "Enter password" -AsSecureString
    
  3. W wierszu polecenia programu PowerShell uruchom następujące polecenie, aby wyeksportować nowy plik PFX:From the PowerShell prompt, run the following command to export a new PFX file:

    • W polu -PfxPath Określ ścieżkę do pliku PFX, z którym pracujesz.For -PfxPath, specify the path to the PFX file you're working with. W poniższym przykładzie ścieżka ma wartość .\certificates\ssl.pfx .In the following example, the path is .\certificates\ssl.pfx.
    • W polu -ExportPFXPath Określ lokalizację i nazwę pliku PFX do wyeksportowania.For -ExportPFXPath, specify the location and name of the PFX file for export. W poniższym przykładzie ścieżką jest .\certificates\ssl_new.pfx :In the following example, the path is .\certificates\ssl_new.pfx:
    Repair-AzsPfxCertificate -PfxPassword $password -PfxPath .\certificates\ssl.pfx -ExportPFXPath .\certificates\ssl_new.pfx
    
  4. Po zakończeniu działania narzędzia Przejrzyj dane wyjściowe, aby uzyskać sukces:After the tool completes, review the output for success:

    Repair-AzsPfxCertificate v1.1809.1005.1 started.
    Starting Azure Stack Hub Certificate Import/Export
    Importing PFX .\certificates\ssl.pfx into Local Machine Store
    Exporting certificate to .\certificates\ssl_new.pfx
    Export complete. Removing certificate from the local machine store.
    Removal complete.
    Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
    Repair-AzsPfxCertificate Completed
    

Następne krokiNext steps