Åtgärda vanliga problem med Azure Stack Hub PKI-certifikat

Informationen i den här artikeln hjälper dig att förstå och lösa vanliga problem med Azure Stack Hub PKI-certifikat. Du kan identifiera problem när du använder Azure Stack Hub för beredskapskontroll för att verifiera Azure Stack Hub PKI-certifikat. Verktyget kontrollerar om certifikaten uppfyller PKI-kraven för en Azure Stack Hub-distribution Azure Stack Hub en hemlig rotation och loggar sedan resultatet i en report.json-fil.

HTTP CRL – varning

Problem – Certifikatet innehåller inte HTTP CRL i CDP-tillägget.

Åtgärda – Det här är ett icke-blockerande problem. Azure Stack kräver HTTP CRL för återkallelsekontroll enligt Azure Stack Hub PKI-certifikatkrav (Public Key Infrastructure). En HTTP-CRL har inte identifierats på certifikatet. För att säkerställa att kontrollen av återkallade certifikat fungerar bör certifikatutfärdaren utfärda ett certifikat med en HTTP CRL i CDP-tillägget.

HTTP CRL – misslyckas

Problem – Det går inte att ansluta till HTTP CRL i CDP-tillägget.

Åtgärda – Det här är ett blockeringsproblem. Azure Stack kräver anslutning till en HTTP-CRL för återkallelsekontroll enligt Publicering av Azure Stack Hub portar och URL:er (utgående).

PFX-kryptering

Problem – PFX-kryptering är inte TripleDES-SHA1.

Korrigering – Exportera PFX-filer med TripleDES-SHA1-kryptering . Det här är standardkryptering för alla Windows 10 klienter vid export från snapin-modulen för certifikat eller med hjälp av Export-PFXCertificate.

Läsa PFX

Varning – Lösenord skyddar endast privat information i certifikatet.

Korrigering – Exportera PFX-filer med den valfria inställningen för Aktivera certifikatsekretess.

Problem – PFX-filen är ogiltig.

Korrigering – Exportera certifikatet på nytt med hjälp av stegen i Förbereda Azure Stack Hub PKI-certifikat för distribution.

Signaturalgoritm

Problem – Signaturalgoritmen är SHA1.

Korrigering – Använd stegen i Azure Stack Hub generering av certifikatsigneringsbegäran för att återskapa certifikatsigneringsbegäran (CSR) med signaturalgoritmen för SHA256. Skicka sedan CSR på nytt till certifikatutfärdaren för att återutskicka certifikatet.

Privat nyckel

Problem – Den privata nyckeln saknas eller innehåller inte attributet för den lokala datorn.

Korrigering – Exportera certifikatet på nytt från den dator som genererade CSR med hjälp av stegen i Förbereda PKI Azure Stack Hub certifikat för distribution. De här stegen omfattar export från certifikatarkivet för den lokala datorn.

Certifikatkedja

Problem – Certifikatkedjan är inte slutförd.

Korrigering – Certifikat ska innehålla en fullständig certifikatkedja. Exportera certifikatet på nytt med hjälp av stegen i Förbereda Azure Stack Hub PKI-certifikat för distribution och välj alternativet Inkludera alla certifikat i certifieringssökvägen om det är möjligt.

DNS-namn

ProblemDNSNameList på certifikatet innehåller inte namnet på Azure Stack Hub tjänstslutpunkt eller en giltig matchning med jokertecken. Matchningar med jokertecken är endast giltiga för dns-namnets vänstra namnområde. är till exempel *.region.domain.com endast giltigt för portal.region.domain.com, inte *.table.region.domain.com.

Korrigering – Använd stegen i skapa Azure Stack Hub certifikat för signeringsbegäran för att återskapa CSR med rätt DNS-namn för att stödja Azure Stack Hub slutpunkter. Skicka CSR på nytt till en certifikatutfärdare. Följ sedan stegen i Förbered Azure Stack Hub PKI-certifikat för distribution för att exportera certifikatet från den dator som genererade CSR.

Nyckelanvändning

Problem – Nyckelanvändningen saknar digital signatur eller nyckelchiffrering, eller förbättrad nyckelanvändning saknar serverautentisering eller klientautentisering.

Korrigering – Använd stegen i Azure Stack Hub generering av certifikatsigneringsbegäran för att återskapa CSR med rätt nyckelanvändningsattribut. Skicka CSR på nytt till certifikatutfärdaren och bekräfta att en certifikatmall inte skriver över nyckelanvändningen i begäran.

Nyckelstorlek

Problem – Nyckelstorleken är mindre än 2048.

Korrigering – Använd stegen i genereringen av signeringsbegäran för Azure Stack Hub certifikat för att återskapa CSR med rätt nyckellängd (2048) och skicka sedan CSR till certifikatutfärdaren igen.

Kedjeordning

Problem – Ordningen på certifikatkedjan är felaktig.

Korrigering – Exportera certifikatet på nytt med hjälp av stegen i Förbereda Azure Stack Hub PKI-certifikat för distribution och välj alternativet Inkludera alla certifikat i certifieringssökvägen om det är möjligt. Se till att endast lövcertifikatet har valts för export.

Andra certifikat

Problem – PFX-paketet innehåller certifikat som inte är lövcertifikatet eller en del av certifikatkedjan.

Korrigering – Exportera certifikatet på nytt med hjälp av stegen i Förbereda Azure Stack Hub PKI-certifikat för distribution och välj alternativet Inkludera alla certifikat i certifieringssökvägen om det är möjligt. Se till att endast lövcertifikatet har valts för export.

Åtgärda vanliga paketeringsproblem

Verktyget AzsReadinessChecker innehåller en hjälp-cmdlet som heter Repair-AzsPfxCertificate, som kan importera och sedan exportera en PFX-fil för att åtgärda vanliga paketeringsproblem, inklusive:

  • PFX-kryptering är inte TripleDES-SHA1.
  • Den privata nyckeln saknar attributet för den lokala datorn.
  • Certifikatkedjan är ofullständig eller fel. Den lokala datorn måste innehålla certifikatkedjan om PFX-paketet inte gör det.
  • Andra certifikat

Repair-AzsPfxCertificate kan inte vara till hjälp om du behöver generera en ny CSR och återutaktivera ett certifikat.

Förutsättningar

Följande krav måste vara uppfyllda på den dator där verktyget körs:

Importera och exportera en befintlig PFX-fil

  1. På en dator som uppfyller kraven öppnar du en upphöjd PowerShell-kommandotolk och kör sedan följande kommando för att installera Azure Stack Hub för beredskapskontroll:

    Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
    
  2. Från PowerShell-prompten kör du följande cmdlet för att ange PFX-lösenordet. Ange lösenordet när du uppmanas att göra följande:

    $password = Read-Host -Prompt "Enter password" -AsSecureString
    
  3. Kör följande kommando från PowerShell-prompten för att exportera en ny PFX-fil:

    • För -PfxPathanger du sökvägen till PFX-filen som du arbetar med. I följande exempel är sökvägen .\certificates\ssl.pfx.
    • För -ExportPFXPathanger du platsen och namnet på PFX-filen för export. I följande exempel är sökvägen .\certificates\ssl_new.pfx:
    Repair-AzsPfxCertificate -PfxPassword $password -PfxPath .\certificates\ssl.pfx -ExportPFXPath .\certificates\ssl_new.pfx
    
  4. När verktyget har slutförts granskar du resultatet för att se om det lyckades:

    Repair-AzsPfxCertificate v1.1809.1005.1 started.
    Starting Azure Stack Hub Certificate Import/Export
    Importing PFX .\certificates\ssl.pfx into Local Machine Store
    Exporting certificate to .\certificates\ssl_new.pfx
    Export complete. Removing certificate from the local machine store.
    Removal complete.
    Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
    Repair-AzsPfxCertificate Completed
    

Nästa steg