Rozwiązywanie typowych problemów z certyfikatami infrastruktury kluczy publicznych usługi Azure Stack Hub
Informacje zawarte w tym artykule pomagają zrozumieć i rozwiązać typowe problemy z certyfikatami infrastruktury kluczy publicznych usługi Azure Stack Hub. Problemy mogą wystąpić podczas korzystania z narzędzia do sprawdzania gotowości usługi Azure Stack Hub do weryfikowania certyfikatów infrastruktury kluczy publicznych usługi Azure Stack Hub. Narzędzie sprawdza, czy certyfikaty spełniają wymagania infrastruktury kluczy publicznych wdrożenia usługi Azure Stack Hub i rotacji wpisów tajnych usługi Azure Stack Hub, a następnie rejestruje wyniki w pliku report.json.
Lista CRL protokołu HTTP — ostrzeżenie
Problem — certyfikat nie zawiera listy CRL PROTOKOŁU HTTP w rozszerzeniu CDP.
Poprawka — jest to problem, który nie blokuje. Usługa Azure Stack wymaga listy CRL protokołu HTTP na potrzeby sprawdzania odwołania zgodnie z wymaganiami dotyczącymi certyfikatu infrastruktury kluczy publicznych (PKI) usługi Azure Stack Hub. Na certyfikacie nie wykryto listy CRL protokołu HTTP. Aby upewnić się, że sprawdzanie odwołania certyfikatów działa, urząd certyfikacji powinien wydać certyfikat z listą CRL PROTOKOŁU HTTP w rozszerzeniu CDP.
Lista CRL PROTOKOŁU HTTP — niepowodzenie
Problem — nie można nawiązać połączenia z listą CRL PROTOKOŁU HTTP w rozszerzeniu CDP.
Rozwiązanie — jest to problem z blokowaniem. Usługa Azure Stack wymaga łączności z listą CRL PROTOKOŁU HTTP w celu sprawdzenia odwołania zgodnie z danymi dotyczącymi publikowania portów i adresów URL usługi Azure Stack Hub (wychodzących).
Szyfrowanie PFX
Problem — szyfrowanie PFX nie jest algorytmem TripleDES-SHA1.
Poprawka — eksportowanie plików PFX za pomocą szyfrowania TripleDES-SHA1 . Jest to domyślne szyfrowanie dla wszystkich klientów Windows 10 podczas eksportowania z przystawki certyfikatu lub przy użyciu polecenia Export-PFXCertificate.
Odczytywanie pliku PFX
Ostrzeżenie — hasło chroni tylko informacje prywatne w certyfikacie.
Poprawka — wyeksportuj pliki PFX z opcjonalnym ustawieniem Włącz prywatność certyfikatu.
Problem — nieprawidłowy plik PFX.
Poprawka — wyeksportuj ponownie certyfikat, wykonując kroki opisane w temacie Przygotowywanie certyfikatów PKI usługi Azure Stack Hub do wdrożenia.
Algorytm podpisu
Problem — algorytm podpisu to SHA1.
Poprawka — wykonaj kroki generowania żądania podpisania certyfikatów usługi Azure Stack Hub, aby ponownie wygenerować żądanie podpisania certyfikatu (CSR) przy użyciu algorytmu podpisu SHA256. Następnie ponownie prześlij żądanie CSR do urzędu certyfikacji w celu ponownego zainicjowania certyfikatu.
Klucz prywatny
Problem — brakuje klucza prywatnego lub nie zawiera atrybutu komputera lokalnego.
Poprawka — na komputerze, który wygenerował żądanie CSR, wyeksportuj ponownie certyfikat, wykonując kroki opisane w temacie Przygotowywanie certyfikatów infrastruktury kluczy publicznych usługi Azure Stack Hub do wdrożenia. Te kroki obejmują eksportowanie z magazynu certyfikatów komputera lokalnego.
Łańcuch certyfikatów
Problem — łańcuch certyfikatów nie został ukończony.
Poprawka — certyfikaty powinny zawierać pełny łańcuch certyfikatów. Wyeksportuj ponownie certyfikat, wykonując kroki opisane w artykule Przygotowywanie certyfikatów PKI usługi Azure Stack Hub do wdrożenia i wybierz opcję Uwzględnij wszystkie certyfikaty w ścieżce certyfikacji, jeśli to możliwe.
Nazwy DNS
Problem — lista DNSNameList w certyfikacie nie zawiera nazwy punktu końcowego usługi Azure Stack Hub ani prawidłowego dopasowania symboli wieloznacznych. Dopasowania symboli wieloznacznych są prawidłowe tylko dla lewej przestrzeni nazw DNS. Na przykład *.region.domain.com parametr jest prawidłowy tylko dla portal.region.domain.comelementu , a nie *.table.region.domain.com.
Poprawka — wykonaj kroki generowania żądania podpisania certyfikatów usługi Azure Stack Hub, aby ponownie wygenerować żądanie CSR przy użyciu poprawnych nazw DNS do obsługi punktów końcowych usługi Azure Stack Hub. Prześlij ponownie żądanie CSR do urzędu certyfikacji. Następnie wykonaj kroki opisane w temacie Przygotowywanie certyfikatów PKI usługi Azure Stack Hub do wdrożenia w celu wyeksportowania certyfikatu z maszyny, która wygenerowała żądanie CSR.
Użycie klucza
Problem — brakuje podpisu cyfrowego lub szyfrowania klucza lub ulepszonego użycia klucza brakuje uwierzytelniania serwera lub uwierzytelniania klienta.
Poprawka — wykonaj kroki generowania żądania podpisania certyfikatów usługi Azure Stack Hub , aby ponownie wygenerować żądanie CSR z odpowiednimi atrybutami użycia klucza. Prześlij ponownie żądanie CSR do urzędu certyfikacji i upewnij się, że szablon certyfikatu nie przesłania użycia klucza w żądaniu.
Rozmiar klucza
Problem — rozmiar klucza jest mniejszy niż 2048.
Poprawka — wykonaj kroki generowania żądania podpisania certyfikatów usługi Azure Stack Hub , aby ponownie wygenerować żądanie CSR z prawidłową długością klucza (2048), a następnie ponownie prześlij żądanie CSR do urzędu certyfikacji.
Kolejność łańcucha
Problem — kolejność łańcucha certyfikatów jest niepoprawna.
Poprawka — wyeksportuj ponownie certyfikat, wykonując kroki opisane w artykule Przygotowywanie certyfikatów PKI usługi Azure Stack Hub do wdrożenia i wybierz opcję Uwzględnij wszystkie certyfikaty w ścieżce certyfikacji, jeśli to możliwe. Upewnij się, że do eksportu wybrano tylko certyfikat liścia.
Inne certyfikaty
Problem — pakiet PFX zawiera certyfikaty, które nie są certyfikatem liścia ani częścią łańcucha certyfikatów.
Poprawka — wyeksportuj ponownie certyfikat, wykonując kroki opisane w temacie Przygotowywanie certyfikatów PKI usługi Azure Stack Hub do wdrożenia, a następnie wybierz opcję Uwzględnij wszystkie certyfikaty w ścieżce certyfikacji, jeśli to możliwe. Upewnij się, że do eksportu wybrano tylko certyfikat liścia.
Rozwiązywanie typowych problemów z pakowaniem
Narzędzie AzsReadinessChecker zawiera polecenie cmdlet pomocnika o nazwie Repair-AzsPfxCertificate, które może importować, a następnie eksportować plik PFX, aby rozwiązać typowe problemy z pakowaniem, w tym:
- Szyfrowanie PFX nie jest algorytmem TripleDES-SHA1.
- W kluczu prywatnym brakuje atrybutu komputera lokalnego.
- Łańcuch certyfikatów jest niekompletny lub nieprawidłowy. Komputer lokalny musi zawierać łańcuch certyfikatów, jeśli pakiet PFX nie jest.
- Inne certyfikaty
Repair-AzsPfxCertificate nie może pomóc, jeśli musisz wygenerować nowy żądanie CSR i ponownie zainicjować certyfikat.
Wymagania wstępne
Na komputerze, na którym działa narzędzie, należy spełnić następujące wymagania wstępne:
Windows 10 lub Windows Server 2016 z łącznością z Internetem.
Program PowerShell 5.1 lub nowszy. Aby sprawdzić wersję, uruchom następujące polecenie cmdlet programu PowerShell, a następnie przejrzyj wersje główne i pomocnicze :
$PSVersionTable.PSVersionKonfigurowanie programu PowerShell dla usługi Azure Stack Hub.
Pobierz najnowszą wersję narzędzia do sprawdzania gotowości usługi Azure Stack Hub .
Importowanie i eksportowanie istniejącego pliku PFX
Na komputerze spełniającym wymagania wstępne otwórz wiersz programu PowerShell z podwyższonym poziomem uprawnień, a następnie uruchom następujące polecenie, aby zainstalować narzędzie sprawdzania gotowości usługi Azure Stack Hub:
Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrereleaseW wierszu polecenia programu PowerShell uruchom następujące polecenie cmdlet, aby ustawić hasło PFX. Po wyświetleniu monitu wprowadź hasło:
$password = Read-Host -Prompt "Enter password" -AsSecureStringW wierszu polecenia programu PowerShell uruchom następujące polecenie, aby wyeksportować nowy plik PFX:
- W polu
-PfxPathokreśl ścieżkę do pliku PFX, z którym pracujesz. W poniższym przykładzie ścieżka to.\certificates\ssl.pfx. - W polu
-ExportPFXPathokreśl lokalizację i nazwę pliku PFX do wyeksportowania. W poniższym przykładzie ścieżka to.\certificates\ssl_new.pfx:
Repair-AzsPfxCertificate -PfxPassword $password -PfxPath .\certificates\ssl.pfx -ExportPFXPath .\certificates\ssl_new.pfx- W polu
Po zakończeniu działania narzędzia przejrzyj dane wyjściowe pod kątem powodzenia:
Repair-AzsPfxCertificate v1.1809.1005.1 started. Starting Azure Stack Hub Certificate Import/Export Importing PFX .\certificates\ssl.pfx into Local Machine Store Exporting certificate to .\certificates\ssl_new.pfx Export complete. Removing certificate from the local machine store. Removal complete. Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log Repair-AzsPfxCertificate Completed
Następne kroki
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla