Corrigir problemas comuns com certificados PKI de Hub de Azure StackFix common issues with Azure Stack Hub PKI certificates

As informações neste artigo ajudam você a entender e resolver problemas comuns com certificados PKI de Hub Azure Stack.The information in this article helps you understand and resolve common issues with Azure Stack Hub PKI certificates. Você pode descobrir problemas ao usar a ferramenta Verificador de preparação do Hub Azure Stack para validar Azure Stack certificados PKI do Hub.You can discover issues when you use the Azure Stack Hub Readiness Checker tool to validate Azure Stack Hub PKI certificates. A ferramenta verifica se os certificados atendem aos requisitos de PKI de uma implantação de Hub de Azure Stack e Azure Stack rotação de segredo de Hub e, em seguida, registra os resultados em um report.jsno arquivo.The tool checks if the certificates meet the PKI requirements of an Azure Stack Hub deployment and Azure Stack Hub secret rotation, and then logs the results to a report.json file.

CRL de HTTP-avisoHTTP CRL - Warning

O certificado de emissão não contém a CRL http na extensão de CDP.Issue - Certificate does not contain HTTP CRL in CDP Extension.

Corrigir – este é um problema sem bloqueio.Fix - This is a non-blocking issue. Azure Stack requer CRL HTTP para verificação de revogação de acordo com os requisitos de certificado PKI (infraestrutura de chave pública) de Hub Azure Stack.Azure Stack requires HTTP CRL for revocation checking as per Azure Stack Hub public key infrastructure (PKI) certificate requirements. Uma CRL HTTP não foi detectada no certificado.A HTTP CRL was not detected on the certificate. Para garantir que a verificação de revogação de certificado funcione, a autoridade de certificação deve emitir um certificado com uma CRL HTTP na extensão de CDP.To ensure certificate revocation checking works, the Certificate Authority should issue a certificate with a HTTP CRL in the CDP extension.

CRL HTTP-falhaHTTP CRL - Fail

Problema -não é possível se conectar à CRL http na extensão de CDP.Issue - Cannot connect to HTTP CRL in CDP Extension.

Corrigir – esse é um problema de bloqueio.Fix - This is a blocking issue. Azure Stack requer conectividade com uma CRL HTTP para verificação de revogação, de acordo com a publicação Azure Stack portas do Hub e URLs (de saída).Azure Stack requires connectivity to a HTTP CRL for revocation checking as per Publishing Azure Stack Hub Ports and URLs (outbound).

Criptografia PFXPFX Encryption

O problema -a criptografia pfx não é TripleDES-SHA1.Issue - PFX encryption isn't TripleDES-SHA1.

Corrigir -exportar arquivos pfx com criptografia TripleDES-SHA1 .Fix - Export PFX files with TripleDES-SHA1 encryption. Essa é a criptografia padrão para todos os clientes do Windows 10 ao exportar do snap-in de certificado ou usando o Export-PFXCertificate .This is the default encryption for all Windows 10 clients when exporting from certificate snap-in or using Export-PFXCertificate.

Ler PFXRead PFX

Aviso -a senha protege somente as informações particulares no certificado.Warning - Password only protects the private information in the certificate.

Fix -exportar arquivos pfx com a configuração opcional para habilitar a privacidade do certificado.Fix - Export PFX files with the optional setting for Enable certificate privacy.

Problema -arquivo PFX inválido.Issue - PFX file invalid.

Corrigir – exporte novamente o certificado usando as etapas em preparar certificados PKI de Hub Azure Stack para implantação.Fix - Re-export the certificate using the steps in Prepare Azure Stack Hub PKI certificates for deployment.

Algoritmo de assinaturaSignature algorithm

O algoritmo de assinatura de problema é SHA1.Issue - Signature algorithm is SHA1.

Correção – use as etapas em Azure Stack geração de solicitação de assinatura de certificados de Hub para regenerar a CSR (solicitação de assinatura de certificado) com o algoritmo de assinatura de SHA256.Fix - Use the steps in Azure Stack Hub certificates signing request generation to regenerate the certificate signing request (CSR) with the signature algorithm of SHA256. Em seguida, reenvie o CSR para a autoridade de certificação para enviar o certificado novamente.Then resubmit the CSR to the certificate authority to reissue the certificate.

Chave privadaPrivate key

Problema -a chave privada está ausente ou não contém o atributo da máquina local.Issue - The private key is missing or doesn't contain the local machine attribute.

Correção -do computador que gerou o CSR, exporte novamente o certificado usando as etapas em preparar certificados PKI de Hub de Azure Stack para implantação.Fix - From the computer that generated the CSR, re-export the certificate using the steps in Prepare Azure Stack Hub PKI certificates for deployment. Essas etapas incluem a exportação do repositório de certificados do computador local.These steps include exporting from the local machine certificate store.

Cadeia de certificadosCertificate chain

O problema -a cadeia de certificados não está completa.Issue - Certificate chain isn't complete.

Correção -os certificados devem conter uma cadeia de certificados completa.Fix - Certificates should contain a complete certificate chain. Exporte novamente o certificado usando as etapas em preparar certificados PKI de Hub Azure Stack para implantação e selecione a opção incluir todos os certificados no caminho de certificação, se possível.Re-export the certificate using the steps in Prepare Azure Stack Hub PKI certificates for deployment and select the option Include all certificates in the certification path if possible.

Nomes DNSDNS names

Problema -o DNSNameList no certificado não contém o nome do ponto de extremidade de serviço do Hub Azure Stack ou uma correspondência de curinga válida.Issue - The DNSNameList on the certificate doesn't contain the Azure Stack Hub service endpoint name or a valid wildcard match. As correspondências de curinga são válidas somente para o namespace mais à esquerda do nome DNS.Wildcard matches are only valid for the left-most namespace of the DNS name. Por exemplo, *.region.domain.com é válido apenas para portal.region.domain.com , não *.table.region.domain.com .For example, *.region.domain.com is only valid for portal.region.domain.com, not *.table.region.domain.com.

Corrigir -use as etapas em Azure Stack geração de solicitação de assinatura de certificados de Hub para regenerar o CSR com os nomes DNS corretos para dar suporte a pontos de extremidade de Hub Azure Stack.Fix - Use the steps in Azure Stack Hub certificates signing request generation to regenerate the CSR with the correct DNS names to support Azure Stack Hub endpoints. Reenvie o CSR para uma autoridade de certificação.Resubmit the CSR to a certificate authority. Em seguida, siga as etapas em preparar certificados PKI de Hub de Azure Stack para implantação para exportar o certificado do computador que gerou o CSR.Then follow the steps in Prepare Azure Stack Hub PKI certificates for deployment to export the certificate from the machine that generated the CSR.

Uso de chaveKey usage

O uso da chave de problema não tem assinatura digital ou codificação de chave ou o uso avançado de chave não tem autenticação de servidor ou autenticação de cliente.Issue - Key usage is missing digital signature or key encipherment, or enhanced key usage is missing server authentication or client authentication.

Correção – use as etapas em Azure Stack geração de solicitação de assinatura de certificados de Hub para regenerar o CSR com os atributos de uso de chave corretos.Fix - Use the steps in Azure Stack Hub certificates signing request generation to regenerate the CSR with the correct key usage attributes. Reenvie o CSR para a autoridade de certificação e confirme se um modelo de certificado não está substituindo o uso da chave na solicitação.Resubmit the CSR to the certificate authority and confirm that a certificate template isn't overwriting the key usage in the request.

Tamanho da chaveKey size

O tamanho da chave de emissão é menor que 2048.Issue - Key size is smaller than 2048.

Correção – use as etapas em Azure Stack geração de solicitação de assinatura de certificados de Hub para regenerar o CSR com o comprimento de chave correto (2048) e, em seguida, envie novamente o CSR para a autoridade de certificação.Fix - Use the steps in Azure Stack Hub certificates signing request generation to regenerate the CSR with the correct key length (2048), and then resubmit the CSR to the certificate authority.

Ordem da cadeiaChain order

Problema -a ordem da cadeia de certificados está incorreta.Issue - The order of the certificate chain is incorrect.

Corrigir – exporte novamente o certificado usando as etapas em preparar certificados PKI de Hub Azure Stack para implantação e selecione a opção incluir todos os certificados no caminho de certificação, se possível.Fix - Re-export the certificate using the steps in Prepare Azure Stack Hub PKI certificates for deployment and select the option Include all certificates in the certification path if possible. Certifique-se de que apenas o certificado de folha seja selecionado para exportação.Ensure that only the leaf certificate is selected for export.

Outros certificadosOther certificates

Problema -o pacote PFX contém certificados que não são o certificado folha ou parte da cadeia de certificados.Issue - The PFX package contains certificates that aren't the leaf certificate or part of the certificate chain.

Corrigir – exporte novamente o certificado usando as etapas em preparar certificados PKI de Hub Azure Stack para implantaçãoe selecione a opção incluir todos os certificados no caminho de certificação, se possível.Fix - Re-export the certificate using the steps in Prepare Azure Stack Hub PKI certificates for deployment, and select the option Include all certificates in the certification path if possible. Certifique-se de que apenas o certificado de folha seja selecionado para exportação.Ensure that only the leaf certificate is selected for export.

Corrigir problemas comuns de empacotamentoFix common packaging issues

A ferramenta AzsReadinessChecker contém um cmdlet auxiliar chamado Repair-AzsPfxCertificate, que pode importar e exportar um arquivo PFX para corrigir problemas comuns de empacotamento, incluindo:The AzsReadinessChecker tool contains a helper cmdlet called Repair-AzsPfxCertificate, which can import and then export a PFX file to fix common packaging issues, including:

  • A criptografia pfx não é TripleDES-SHA1.PFX encryption isn't TripleDES-SHA1.
  • A chave privada não tem o atributo de computador local.Private key is missing local machine attribute.
  • A cadeia de certificados está incompleta ou incorreta.Certificate chain is incomplete or wrong. O computador local deve conter a cadeia de certificados se o pacote PFX não.The local machine must contain the certificate chain if the PFX package doesn't.
  • Outros certificadosOther certificates

Repair-AzsPfxCertificate não poderá ajudar se você precisar gerar um novo CSR e emitir novamente um certificado.Repair-AzsPfxCertificate can't help if you need to generate a new CSR and reissue a certificate.

Pré-requisitosPrerequisites

Os seguintes pré-requisitos devem estar em vigor no computador em que a ferramenta é executada:The following prerequisites must be in place on the computer on which the tool runs:

Importar e exportar um arquivo PFX existenteImport and export an existing PFX File

  1. Em um computador que atenda aos pré-requisitos, abra um prompt do PowerShell com privilégios elevados e execute o seguinte comando para instalar o Azure Stack verificador de preparação do Hub:On a computer that meets the prerequisites, open an elevated PowerShell prompt, and then run the following command to install the Azure Stack Hub readiness checker:

    Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
    
  2. No prompt do PowerShell, execute o cmdlet a seguir para definir a senha PFX.From the PowerShell prompt, run the following cmdlet to set the PFX password. Digite a senha quando solicitado:Enter the password when prompted:

    $password = Read-Host -Prompt "Enter password" -AsSecureString
    
  3. No prompt do PowerShell, execute o seguinte comando para exportar um novo arquivo PFX:From the PowerShell prompt, run the following command to export a new PFX file:

    • Para -PfxPath , especifique o caminho para o arquivo PFX com o qual você está trabalhando.For -PfxPath, specify the path to the PFX file you're working with. No exemplo a seguir, o caminho é .\certificates\ssl.pfx .In the following example, the path is .\certificates\ssl.pfx.
    • Para -ExportPFXPath , especifique o local e o nome do arquivo PFX para exportação.For -ExportPFXPath, specify the location and name of the PFX file for export. No exemplo a seguir, o caminho é .\certificates\ssl_new.pfx :In the following example, the path is .\certificates\ssl_new.pfx:
    Repair-AzsPfxCertificate -PfxPassword $password -PfxPath .\certificates\ssl.pfx -ExportPFXPath .\certificates\ssl_new.pfx
    
  4. Após a conclusão da ferramenta, examine a saída para obter êxito:After the tool completes, review the output for success:

    Repair-AzsPfxCertificate v1.1809.1005.1 started.
    Starting Azure Stack Hub Certificate Import/Export
    Importing PFX .\certificates\ssl.pfx into Local Machine Store
    Exporting certificate to .\certificates\ssl_new.pfx
    Export complete. Removing certificate from the local machine store.
    Removal complete.
    Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
    Repair-AzsPfxCertificate Completed
    

Próximas etapasNext steps