Requisitos de certificado

Artigo
06/01/2023

APLICA-SE A: Yes for Pro GPU SKU Azure Stack Edge Pro - GPU Yes for Pro 2 SKU Azure Stack Edge Pro 2 Yes for Pro R SKU Azure Stack Edge Pro R Azure Stack Edge Mini R Yes for Mini R SKU

Este artigo descreve os requisitos de certificado que devem ser atendidos para que os certificados possam ser instalados em seu dispositivo do Azure Stack Edge Pro. Os requisitos estão relacionados a: certificados PFX, autoridade de emissão, nome da entidade do certificado e nome alternativo da entidade e algoritmos de certificado com suporte.

Autoridade de emissão de certificado

Os requisitos de emissão de certificado são os seguinte:

Os certificados devem ser emitidos de uma autoridade de certificação interna ou de uma autoridade de certificação pública.
Não há suporte para o uso de certificados autoassinados.
O campo Emitido para: do certificado não deve ser o mesmo que o campo Emitido por:, exceto para certificados de AC raiz.

Algoritmos de certificado

Somente os certificados RSA (Rivest–Shamir–Adleman) são compatíveis com seu dispositivo. Certificados ECDSA (Algoritmo de Assinatura Digital de Curva Elíptica) não são compatíveis.

Os certificados que contêm uma chave pública RSA são chamados de certificados RSA. Certificados que contêm uma chave pública ECC (Criptografia de Curva Elíptica) são chamados de certificados ECDSA (Algoritmo de Assinatura Digital de Curva Elíptica).

Os requisitos de algoritmo do certificado são os seguintes:

Os certificados devem usar o algoritmo de chave RSA.
Há suporte apenas para certificados com RSA/Schannel Cryptographic Provider da Microsoft.
O algoritmo de assinatura do certificado não pode ser SHA1.
O tamanho mínimo da chave é 4096.

Nome da entidade do certificado e nome alternativo da entidade

Os certificados devem atender aos seguintes requisitos de nome da entidade e nome alternativo da entidade:

Você pode usar um único certificado que abrange todos os namespaces nos campos SAN (Nome Alternativo da Entidade) do certificado. Como alternativa, você pode usar certificados individuais para cada um dos namespaces. Ambas as abordagens exigem o uso de curingas para pontos de extremidade quando necessário, como blob (objeto binário grande).
Verifique se os nomes de entidade (nome comum no nome da entidade) fazem parte dos nomes alternativos de entidade na extensão de nome alternativo da entidade.
Você pode usar um único certificado curinga que abrange todos os espaços de nome nos campos SAN do certificado.

Use a tabela a seguir ao criar um certificado de ponto de extremidade:

Tipo	Nome da entidade (SN)	Nome alternativo da entidade (SAN)	Exemplo de nome da entidade
Azure Resource Manager	`management.<Device name>.<Dns Domain>`	`login.<Device name>.<Dns Domain>` `management.<Device name>.<Dns Domain>`	`management.mydevice1.microsoftdatabox.com`
Armazenamento de blobs	`*.blob.<Device name>.<Dns Domain>`	`*.blob.< Device name>.<Dns Domain>`	`*.blob.mydevice1.microsoftdatabox.com`
IU local	`<Device name>.<DnsDomain>`	`<Device name>.<DnsDomain>`	`mydevice1.microsoftdatabox.com`
Certificado único de várias SANs para ambos os pontos de extremidade	`<Device name>.<dnsdomain>`	`<Device name>.<dnsdomain>` `login.<Device name>.<Dns Domain>` `management.<Device name>.<Dns Domain>` `*.blob.<Device name>.<Dns Domain>`	`mydevice1.microsoftdatabox.com`
Nó	`<NodeSerialNo>.<DnsDomain>`	`*.<DnsDomain>` `<NodeSerialNo>.<DnsDomain>`	`mydevice1.microsoftdatabox.com`
VPN	`AzureStackEdgeVPNCertificate.<DnsDomain>` * O AzureStackEdgeVPNCertificate é embutido em código.	`*.<DnsDomain>` `<AzureStackVPN>.<DnsDomain>`	`edgevpncertificate.microsoftdatabox.com`

Certificado PFX

Os certificados PFX instalados em seu dispositivo do Azure Stack Edge Pro devem atender aos seguintes requisitos:

Quando você receber seus certificados da autoridade SSL, obtenha a cadeia de assinatura completa para os certificados.
Ao exportar um certificado PFX, verifique se selecionou a opção Incluir todos os certificados na cadeia, se possível.
Use um certificado PFX para ponto de extremidade, IU local, nó, VPN e Wi-Fi, pois as chaves públicas e privadas são necessárias para o Azure Stack Edge Pro. A chave privada deve ter o atributo de chave do computador local definido.
A Criptografia PFX do certificado deve ser 3DES. Essa é a criptografia padrão usada ao exportar de um cliente Windows 10 ou um repositório de certificados do Windows Server 2016. Para obter mais informações relacionadas ao 3DES, confira Triplo DES.
Os arquivos PFX do certificado devem ter valores válidos de Assinatura Digital e KeyEncipherment no campo Uso de Chave.
Os arquivos PFX do certificado devem ter os valores de Autenticação de Servidor (1.3.6.1.5.5.7.3.1) e Autenticação de Cliente (1.3.6.1.5.5.7.3.2) no campo Uso Avançado de Chave.
As senhas para todos os arquivos PFX do certificado devem ser as mesmas no momento da implantação se você estiver usando a Ferramenta de Verificação de Preparação do Azure Stack. Para obter mais informações, confira Criar certificados para o Azure Stack Edge Pro usando a Ferramenta de Verificação de Preparação do Azure Stack Hub.
A senha do certificado PFX deve ser uma senha complexa. Anote essa senha porque ela é usada como um parâmetro de implantação.
Use somente certificados RSA com o provedor RSA/Schannel Cryptographic da Microsoft.

Para obter mais informações, veja Exportar certificados PFX com chave privada.

Próximas etapas

Criar certificados para seu dispositivo
- Usando cmdlets do Azure PowerShell
- Usando a Ferramenta de Verificação de Preparação do Azure Stack Hub.