Åtgärda vanliga problem med Azure Stack Hub PKI-certifikatFix common issues with Azure Stack Hub PKI certificates

Informationen i den här artikeln hjälper dig att förstå och lösa vanliga problem med Azure Stack hubb-PKI-certifikat.The information in this article helps you understand and resolve common issues with Azure Stack Hub PKI certificates. Du kan identifiera problem när du använder verktyget Azure Stack Hub readiness Checker för att verifiera Azure Stack Hub PKI-certifikat.You can discover issues when you use the Azure Stack Hub Readiness Checker tool to validate Azure Stack Hub PKI certificates. Verktyget kontrollerar om certifikaten uppfyller PKI-kraven för en Azure Stack Hub-distribution och Azure Stack Hub Secret, och loggar sedan resultatet till en report.jsi filen.The tool checks if the certificates meet the PKI requirements of an Azure Stack Hub deployment and Azure Stack Hub secret rotation, and then logs the results to a report.json file.

HTTP CRL-varningHTTP CRL - Warning

Issue -certifikatet innehåller inte http-CRL i CDP-tillägget.Issue - Certificate does not contain HTTP CRL in CDP Extension.

Fix – det här är ett icke-blockerande problem.Fix - This is a non-blocking issue. Azure Stack kräver HTTP-CRL för återkallnings kontroll enligt certifikat kraven för PKI (Public Key Infrastructure) enligt följande Azure Stack Hub.Azure Stack requires HTTP CRL for revocation checking as per Azure Stack Hub public key infrastructure (PKI) certificate requirements. Det gick inte att identifiera någon HTTP-CRL i certifikatet.A HTTP CRL was not detected on the certificate. För att säkerställa att certifikat återkallnings kontrollen fungerar bör certifikat utfärdaren utfärda ett certifikat med en HTTP-CRL i CDP-tillägget.To ensure certificate revocation checking works, the Certificate Authority should issue a certificate with a HTTP CRL in the CDP extension.

HTTP-CRL-misslyckadHTTP CRL - Fail

Problem -det går inte att ansluta till http CRL i CDP-tillägg.Issue - Cannot connect to HTTP CRL in CDP Extension.

Fix – detta är ett spärrnings problem.Fix - This is a blocking issue. Azure Stack kräver anslutning till en HTTP-CRL för återkallnings kontroll enligt publicering Azure Stack Hub-portar och URL: er (utgående).Azure Stack requires connectivity to a HTTP CRL for revocation checking as per Publishing Azure Stack Hub Ports and URLs (outbound).

PFX-krypteringPFX Encryption

Issue -PFX-kryptering är inte TRIPLEDES-SHA1.Issue - PFX encryption isn't TripleDES-SHA1.

Korrigera – exportera PFX-filer med TripleDES-SHA1- kryptering.Fix - Export PFX files with TripleDES-SHA1 encryption. Detta är standard krypteringen för alla Windows 10-klienter när du exporterar från snapin-modulen certifikat eller använder Export-PFXCertificate .This is the default encryption for all Windows 10 clients when exporting from certificate snap-in or using Export-PFXCertificate.

Läsa PFXRead PFX

Varning – lösen ord skyddar bara privat information i certifikatet.Warning - Password only protects the private information in the certificate.

Fix – exportera PFX-filer med den valfria inställningen för att aktivera certifikat sekretess.Fix - Export PFX files with the optional setting for Enable certificate privacy.

Issue -PFX-filen är ogiltig.Issue - PFX file invalid.

Åtgärda – exportera certifikatet på nytt med hjälp av stegen i förbereda Azure Stack Hub PKI-certifikat för distribution.Fix - Re-export the certificate using the steps in Prepare Azure Stack Hub PKI certificates for deployment.

SignaturalgoritmSignature algorithm

Issue -SIGNERINGSALGORITMEN är SHA1.Issue - Signature algorithm is SHA1.

Fix – Använd stegen i Azure Stack hubb certifikat för signerings förfrågan för att återskapa certifikat signerings förfrågan (CSR) med SIGNERINGSALGORITMEN för SHA256.Fix - Use the steps in Azure Stack Hub certificates signing request generation to regenerate the certificate signing request (CSR) with the signature algorithm of SHA256. Skicka sedan in CSR till certifikat utfärdaren för att utfärda certifikatet på nytt.Then resubmit the CSR to the certificate authority to reissue the certificate.

Privat nyckelPrivate key

Problem – den privata nyckeln saknas eller innehåller inte attributet Local Machine.Issue - The private key is missing or doesn't contain the local machine attribute.

Lös – från den dator som skapade CSR, exportera certifikatet på nytt med hjälp av stegen i förbereda Azure Stack hubb-PKI-certifikat för distribution.Fix - From the computer that generated the CSR, re-export the certificate using the steps in Prepare Azure Stack Hub PKI certificates for deployment. Dessa steg omfattar att exportera från den lokala datorns certifikat arkiv.These steps include exporting from the local machine certificate store.

Certifikat kedjaCertificate chain

Utfärdare certifikat kedjan har inte slutförts.Issue - Certificate chain isn't complete.

Fix -certifikat ska innehålla en fullständig certifikat kedja.Fix - Certificates should contain a complete certificate chain. Exportera certifikatet på nytt med hjälp av stegen i förbereda Azure Stack Hub PKI-certifikat för distribution och välj alternativet Inkludera alla certifikat i certifierings Sök vägen om det är möjligt.Re-export the certificate using the steps in Prepare Azure Stack Hub PKI certificates for deployment and select the option Include all certificates in the certification path if possible.

DNS-namnDNS names

ProblemDNSNameList på certifikatet innehåller inte namnet på slut punkten för Azure Stack Hub-tjänsten eller en giltig matchning av jokertecken.Issue - The DNSNameList on the certificate doesn't contain the Azure Stack Hub service endpoint name or a valid wildcard match. Matchning av jokertecken är endast giltigt för namn området längst till vänster i DNS-namnet.Wildcard matches are only valid for the left-most namespace of the DNS name. Är till exempel *.region.domain.com endast giltigt för portal.region.domain.com , inte *.table.region.domain.com .For example, *.region.domain.com is only valid for portal.region.domain.com, not *.table.region.domain.com.

Fix – Använd stegen i Azure Stack hubb certifikat för signerings förfrågan för att återskapa CSR med rätt DNS-namn för att stödja Azure Stack Hub-slutpunkter.Fix - Use the steps in Azure Stack Hub certificates signing request generation to regenerate the CSR with the correct DNS names to support Azure Stack Hub endpoints. Skicka in CSR till en certifikat utfärdare.Resubmit the CSR to a certificate authority. Följ sedan stegen i förbereda Azure Stack hubb-PKI-certifikat för distribution för att exportera certifikatet från den dator som skapade CSR.Then follow the steps in Prepare Azure Stack Hub PKI certificates for deployment to export the certificate from the machine that generated the CSR.

Nyckel användningKey usage

Problem – nyckel användningen saknar digital signatur eller nyckelchiffrering, eller så saknar den förbättrade nyckel användningen serverautentisering eller klientautentisering.Issue - Key usage is missing digital signature or key encipherment, or enhanced key usage is missing server authentication or client authentication.

Fix – Använd stegen i Azure Stack hubb certifikat för signerings förfrågan för att återskapa CSR med rätt attribut för nyckel användning.Fix - Use the steps in Azure Stack Hub certificates signing request generation to regenerate the CSR with the correct key usage attributes. Skicka in CSR till certifikat utfärdaren igen och bekräfta att en certifikatmall inte skriver över nyckel användningen i begäran.Resubmit the CSR to the certificate authority and confirm that a certificate template isn't overwriting the key usage in the request.

Nyckel storlekKey size

Issue -nyckel storleken är mindre än 2048.Issue - Key size is smaller than 2048.

Fix – Använd stegen i Azure Stack hubb certifikat för signerings förfrågan för att återskapa CSR med rätt nyckel längd (2048) och skicka sedan in CSR till certifikat utfärdaren.Fix - Use the steps in Azure Stack Hub certificates signing request generation to regenerate the CSR with the correct key length (2048), and then resubmit the CSR to the certificate authority.

Kedje ordningChain order

Problem – certifikat kedjans ordning är felaktig.Issue - The order of the certificate chain is incorrect.

Åtgärda -exportera certifikatet på nytt med hjälp av stegen i förbereda Azure Stack Hub PKI-certifikat för distribution och välj alternativet Inkludera alla certifikat i certifierings Sök vägen om det är möjligt.Fix - Re-export the certificate using the steps in Prepare Azure Stack Hub PKI certificates for deployment and select the option Include all certificates in the certification path if possible. Se till att endast löv certifikatet har valts för export.Ensure that only the leaf certificate is selected for export.

Andra certifikatOther certificates

Problem – PFX-paketet innehåller certifikat som inte är löv certifikat eller delar av certifikat kedjan.Issue - The PFX package contains certificates that aren't the leaf certificate or part of the certificate chain.

Åtgärda -exportera certifikatet på nytt med hjälp av stegen i förbereda Azure Stack Hub PKI-certifikat för distributionoch välj alternativet Inkludera alla certifikat i certifierings Sök vägen om det är möjligt.Fix - Re-export the certificate using the steps in Prepare Azure Stack Hub PKI certificates for deployment, and select the option Include all certificates in the certification path if possible. Se till att endast löv certifikatet har valts för export.Ensure that only the leaf certificate is selected for export.

Åtgärda vanliga problem med paketeringFix common packaging issues

Verktyget AzsReadinessChecker innehåller en hjälp-cmdlet som kallas Repair-AzsPfxCertificate, som kan importera och exportera en PFX-fil för att åtgärda vanliga paketerings problem, inklusive:The AzsReadinessChecker tool contains a helper cmdlet called Repair-AzsPfxCertificate, which can import and then export a PFX file to fix common packaging issues, including:

  • PFX-kryptering är inte TRIPLEDES-SHA1.PFX encryption isn't TripleDES-SHA1.
  • Den privata nyckeln saknar attribut för lokal dator.Private key is missing local machine attribute.
  • Certifikat kedjan är ofullständig eller felaktig.Certificate chain is incomplete or wrong. Den lokala datorn måste innehålla certifikat kedjan om PFX-paketet inte är det.The local machine must contain the certificate chain if the PFX package doesn't.
  • Andra certifikatOther certificates

Repair-AzsPfxCertificate kan inte hjälpa dig om du behöver skapa en ny CSR och utfärda ett certifikat igen.Repair-AzsPfxCertificate can't help if you need to generate a new CSR and reissue a certificate.

FörutsättningarPrerequisites

Följande krav måste vara uppfyllda på den dator där verktyget körs:The following prerequisites must be in place on the computer on which the tool runs:

  • Windows 10 eller Windows Server 2016 med Internet anslutning.Windows 10 or Windows Server 2016, with internet connectivity.

  • PowerShell 5,1 eller senare.PowerShell 5.1 or later. Kontrol lera din version genom att köra följande PowerShell-cmdlet och granska de större och lägre versionerna:To check your version, run the following PowerShell cmdlet and then review the Major and Minor versions:

    $PSVersionTable.PSVersion
    
  • Konfigurera PowerShell för Azure Stack Hub.Configure PowerShell for Azure Stack Hub.

  • Ladda ned den senaste versionen av verktyget för Azure Stack Hub readiness Checker .Download the latest version of the Azure Stack Hub readiness checker tool.

Importera och exportera en befintlig PFX-filImport and export an existing PFX File

  1. På en dator som uppfyller kraven öppnar du en upphöjd PowerShell-kommandotolk och kör sedan följande kommando för att installera Azure Stack Hub readiness-kontrollen:On a computer that meets the prerequisites, open an elevated PowerShell prompt, and then run the following command to install the Azure Stack Hub readiness checker:

    Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
    
  2. Kör följande cmdlet från PowerShell-prompten för att ange PFX-lösenordet.From the PowerShell prompt, run the following cmdlet to set the PFX password. Ange lösen ordet när du uppmanas till det:Enter the password when prompted:

    $password = Read-Host -Prompt "Enter password" -AsSecureString
    
  3. Kör följande kommando från PowerShell-prompten för att exportera en ny PFX-fil:From the PowerShell prompt, run the following command to export a new PFX file:

    • För -PfxPath anger du sökvägen till PFX-filen som du arbetar med.For -PfxPath, specify the path to the PFX file you're working with. I följande exempel är sökvägen .\certificates\ssl.pfx .In the following example, the path is .\certificates\ssl.pfx.
    • För -ExportPFXPath anger du plats och namn för PFX-filen för export.For -ExportPFXPath, specify the location and name of the PFX file for export. I följande exempel är sökvägen .\certificates\ssl_new.pfx :In the following example, the path is .\certificates\ssl_new.pfx:
    Repair-AzsPfxCertificate -PfxPassword $password -PfxPath .\certificates\ssl.pfx -ExportPFXPath .\certificates\ssl_new.pfx
    
  4. När verktyget har slutförts granskar du resultatet för att lyckas:After the tool completes, review the output for success:

    Repair-AzsPfxCertificate v1.1809.1005.1 started.
    Starting Azure Stack Hub Certificate Import/Export
    Importing PFX .\certificates\ssl.pfx into Local Machine Store
    Exporting certificate to .\certificates\ssl_new.pfx
    Export complete. Removing certificate from the local machine store.
    Removal complete.
    Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
    Repair-AzsPfxCertificate Completed
    

Nästa stegNext steps