Partilhar via


Corrigir problemas comuns dos certificados PKI do Azure Stack Hub

As informações neste artigo ajudam-no a compreender e a resolver problemas comuns com certificados PKI do Azure Stack Hub. Pode detetar problemas ao utilizar a ferramenta Verificador de Preparação do Azure Stack Hub para validar certificados PKI do Azure Stack Hub. A ferramenta verifica se os certificados cumprem os requisitos de PKI de uma implementação do Azure Stack Hub e da rotação de segredos do Azure Stack Hub e, em seguida, regista os resultados num ficheiro report.json.

HTTP CRL - Aviso

Problema – o certificado não contém CRL HTTP na Extensão CDP.

Correção – trata-se de um problema que não está a bloquear. O Azure Stack requer o CRL HTTP para verificação de revogação de acordo com os requisitos de certificado da infraestrutura de chaves públicas (PKI) do Azure Stack Hub. Não foi detetado um CRL HTTP no certificado. Para garantir que a verificação da revogação de certificados funciona, a Autoridade de Certificação deve emitir um certificado com um CRL HTTP na extensão CDP.

HTTP CRL – Falha

Problema – não é possível ligar ao CRL HTTP na Extensão CDP.

Correção – trata-se de um problema de bloqueio. O Azure Stack requer conectividade a um CRL HTTP para verificação de revogação de acordo com a Publicação de Portas e URLs do Azure Stack Hub (saída).

Encriptação PFX

Problema – a encriptação PFX não é TripleDES-SHA1.

Correção – exportar ficheiros PFX com encriptação TripleDES-SHA1 . Esta é a encriptação predefinida para todos os clientes Windows 10 ao exportar do snap-in do certificado ou ao utilizar Export-PFXCertificateo .

Ler PFX

Aviso – a palavra-passe protege apenas as informações privadas no certificado.

Correção – exporte ficheiros PFX com a definição opcional para Ativar a privacidade do certificado.

Problema – ficheiro PFX inválido.

Correção – exporte novamente o certificado com os passos em Preparar certificados PKI do Azure Stack Hub para implementação.

Algoritmo de assinatura

Problema – o algoritmo de assinatura é SHA1.

Correção – utilize os passos na geração de pedidos de assinatura de certificados do Azure Stack Hub para regenerar o pedido de assinatura de certificados (CSR) com o algoritmo de assinatura SHA256. Em seguida, volte a submeter o CSR à autoridade de certificação para reeditar o certificado.

Chave privada

Problema – a chave privada está em falta ou não contém o atributo do computador local.

Correção – no computador que gerou o CSR, exporte novamente o certificado com os passos em Preparar certificados PKI do Azure Stack Hub para implementação. Estes passos incluem a exportação do arquivo de certificados do computador local.

Cadeia de certificados

Problema – a cadeia de certificados não está concluída.

Correção – os certificados devem conter uma cadeia de certificados completa. Exporte novamente o certificado com os passos em Preparar certificados PKI do Azure Stack Hub para implementação e selecione a opção Incluir todos os certificados no caminho de certificação, se possível.

Nomes DNS

Problema – o DNSNameList no certificado não contém o nome do ponto final de serviço do Azure Stack Hub ou uma correspondência de carateres universais válida. As correspondências de carateres universais só são válidas para o espaço de nomes mais à esquerda do nome DNS. Por exemplo, *.region.domain.com só é válido para , não *.table.region.domain.compara portal.region.domain.com.

Correção – utilize os passos na geração de pedidos de assinatura de certificados do Azure Stack Hub para regenerar o CSR com os nomes DNS corretos para suportar pontos finais do Azure Stack Hub. Volte a submeter o CSR a uma autoridade de certificação. Em seguida, siga os passos em Preparar certificados PKI do Azure Stack Hub para implementação para exportar o certificado do computador que gerou o CSR.

Utilização da chave

Problema – a utilização da chave está em falta na assinatura digital ou na cifragem da chave ou a utilização de chave melhorada está em falta na autenticação do servidor ou na autenticação do cliente.

Correção – utilize os passos na geração de pedidos de assinatura de certificados do Azure Stack Hub para regenerar o CSR com os atributos de utilização da chave corretos. Volte a submeter o CSR à autoridade de certificação e confirme que um modelo de certificado não está a substituir a utilização da chave no pedido.

Tamanho da chave

Problema – o tamanho da chave é inferior a 2048.

Correção – utilize os passos na geração de pedidos de assinatura de certificados do Azure Stack Hub para regenerar o CSR com o comprimento de chave correto (2048) e, em seguida, volte a submeter o CSR à autoridade de certificação.

Ordem em cadeia

Problema – a ordem da cadeia de certificados está incorreta.

Correção – exporte novamente o certificado com os passos em Preparar certificados PKI do Azure Stack Hub para implementação e selecione a opção Incluir todos os certificados no caminho de certificação, se possível. Certifique-se de que apenas o certificado de folha está selecionado para exportação.

Outros certificados

Problema – o pacote PFX contém certificados que não são o certificado de folha ou parte da cadeia de certificados.

Correção – exporte novamente o certificado com os passos em Preparar certificados PKI do Azure Stack Hub para implementação e selecione a opção Incluir todos os certificados no caminho de certificação, se possível. Certifique-se de que apenas o certificado de folha está selecionado para exportação.

Corrigir problemas comuns de empacotamento

A ferramenta AzsReadinessChecker contém um cmdlet auxiliar denominado Repair-AzsPfxCertificate, que pode importar e exportar um ficheiro PFX para corrigir problemas comuns de empacotamento, incluindo:

  • A encriptação PFX não é TripleDES-SHA1.
  • Falta o atributo do computador local da chave privada.
  • A cadeia de certificados está incompleta ou errada. O computador local tem de conter a cadeia de certificados se o pacote PFX não o fizer.
  • Outros certificados

Repair-AzsPfxCertificate não pode ajudar se precisar de gerar um novo CSR e voltar a enviar um certificado.

Pré-requisitos

Os seguintes pré-requisitos têm de estar implementados no computador no qual a ferramenta é executada:

Importar e exportar um Ficheiro PFX existente

  1. Num computador que cumpra os pré-requisitos, abra uma linha de comandos elevada do PowerShell e, em seguida, execute o seguinte comando para instalar o verificador de preparação do Azure Stack Hub:

    Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
    
  2. Na linha de comandos do PowerShell, execute o seguinte cmdlet para definir a palavra-passe PFX. Introduza a palavra-passe quando lhe for pedido:

    $password = Read-Host -Prompt "Enter password" -AsSecureString
    
  3. Na linha de comandos do PowerShell, execute o seguinte comando para exportar um novo ficheiro PFX:

    • Para -PfxPath, especifique o caminho para o ficheiro PFX com o qual está a trabalhar. No exemplo seguinte, o caminho é .\certificates\ssl.pfx.
    • Para -ExportPFXPath, especifique a localização e o nome do ficheiro PFX para exportação. No exemplo seguinte, o caminho é .\certificates\ssl_new.pfx:
    Repair-AzsPfxCertificate -PfxPassword $password -PfxPath .\certificates\ssl.pfx -ExportPFXPath .\certificates\ssl_new.pfx
    
  4. Após a conclusão da ferramenta, reveja a saída para obter êxito:

    Repair-AzsPfxCertificate v1.1809.1005.1 started.
    Starting Azure Stack Hub Certificate Import/Export
    Importing PFX .\certificates\ssl.pfx into Local Machine Store
    Exporting certificate to .\certificates\ssl_new.pfx
    Export complete. Removing certificate from the local machine store.
    Removal complete.
    Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
    Repair-AzsPfxCertificate Completed
    

Passos seguintes