Azure Stack Hub PKI sertifikalarıyla ilgili yaygın sorunları gidermeFix common issues with Azure Stack Hub PKI certificates

Bu makaledeki bilgiler Azure Stack hub PKI sertifikalarıyla ilgili yaygın sorunları anlamanıza ve çözmenize yardımcı olur.The information in this article helps you understand and resolve common issues with Azure Stack Hub PKI certificates. Azure Stack hub PKI sertifikalarını doğrulamakIçin Azure Stack hub hazırlık Denetleyicisi aracını kullandığınızda sorunları bulabilirsiniz.You can discover issues when you use the Azure Stack Hub Readiness Checker tool to validate Azure Stack Hub PKI certificates. Araç, sertifikaların bir Azure Stack hub dağıtımı ve Azure Stack hub gizli anahtarı için PKI gereksinimlerini karşılayıp karşılamadığını denetler ve sonra sonuçları dosyada birreport.jsgünlüğe kaydeder.The tool checks if the certificates meet the PKI requirements of an Azure Stack Hub deployment and Azure Stack Hub secret rotation, and then logs the results to a report.json file.

HTTP CRL-uyarıHTTP CRL - Warning

Sorun -sertifika CDP uzantısında http CRL 'yi içermiyor.Issue - Certificate does not contain HTTP CRL in CDP Extension.

Çözüm -bu engelleyici olmayan bir sorundur.Fix - This is a non-blocking issue. Azure Stack, Azure Stack hub ortak anahtar altyapısı (PKI) sertifika gereksinimlerinegöre iptal denetımı IÇIN http CRL gerektirir.Azure Stack requires HTTP CRL for revocation checking as per Azure Stack Hub public key infrastructure (PKI) certificate requirements. Sertifikada bir HTTP CRL 'SI algılanmadı.A HTTP CRL was not detected on the certificate. Sertifika iptal denetiminin çalıştığından emin olmak için, sertifika yetkilisi CDP uzantısında bir HTTP CRL 'si olan bir sertifika vermesi gerekir.To ensure certificate revocation checking works, the Certificate Authority should issue a certificate with a HTTP CRL in the CDP extension.

HTTP CRL-başarısızHTTP CRL - Fail

Sorun -CDP UZANTıSıNDA http CRL 'ye bağlanılamıyor.Issue - Cannot connect to HTTP CRL in CDP Extension.

Çözüm -bu engelleyici bir sorundur.Fix - This is a blocking issue. Azure Stack , Azure Stack hub bağlantı noktaları ve URL 'ler (giden) yayımlamayagöre iptal denetimi IÇIN BIR http CRL bağlantısı gerektirir.Azure Stack requires connectivity to a HTTP CRL for revocation checking as per Publishing Azure Stack Hub Ports and URLs (outbound).

PFX şifrelemesiPFX Encryption

Sorun -PFX şifrelemesi Üçlü DEĞILDIR-SHA1.Issue - PFX encryption isn't TripleDES-SHA1.

Onarma -PFX dosyalarını TRIPLEDES-SHA1 şifrelemesi ile dışarı aktarın.Fix - Export PFX files with TripleDES-SHA1 encryption. Bu, Sertifika ek bileşeninden veya kullanılarak dışarı aktarılırken tüm Windows 10 istemcileri için varsayılan şifrelemedir Export-PFXCertificate .This is the default encryption for all Windows 10 clients when exporting from certificate snap-in or using Export-PFXCertificate.

PFX okuRead PFX

Uyarı -parola yalnızca sertifikadaki özel bilgileri korur.Warning - Password only protects the private information in the certificate.

Onarma -PFX dosyalarını, sertifika gizliliğini etkinleştir için isteğe bağlı ayarı ile dışarı aktarın.Fix - Export PFX files with the optional setting for Enable certificate privacy.

Sorun -pfx dosyası geçersiz.Issue - PFX file invalid.

Dağıtım IÇIN Azure Stack hub PKI sertifikalarını hazırlamabölümündeki adımları kullanarak sertifikayı yeniden dışarı aktarın.Fix - Re-export the certificate using the steps in Prepare Azure Stack Hub PKI certificates for deployment.

İmza algoritmasıSignature algorithm

Sorun -Imza algoritması SHA1.Issue - Signature algorithm is SHA1.

Düzelme -sertifika imzalama isteği 'NI (CSR) SHA256 imza algoritmayla yeniden oluşturmak Için Azure Stack hub sertifikaları imzalama isteği oluşturma ' daki adımları kullanın.Fix - Use the steps in Azure Stack Hub certificates signing request generation to regenerate the certificate signing request (CSR) with the signature algorithm of SHA256. Ardından, sertifikayı yeniden göndermek için CSR 'yi sertifika yetkilisine yeniden gönderin.Then resubmit the CSR to the certificate authority to reissue the certificate.

Özel anahtarPrivate key

Sorun -özel anahtar eksik veya yerel makine özniteliğini içermiyor.Issue - The private key is missing or doesn't contain the local machine attribute.

Çözüm -CSR 'yi oluşturan bilgisayardan, dağıtım IÇIN Azure Stack merkezi PKI sertifikalarını hazırlamabölümündeki adımları kullanarak sertifikayı yeniden dışarı aktarın.Fix - From the computer that generated the CSR, re-export the certificate using the steps in Prepare Azure Stack Hub PKI certificates for deployment. Bu adımlar yerel makine sertifika deposundan dışarı aktarmayı içerir.These steps include exporting from the local machine certificate store.

Sertifika zinciriCertificate chain

Sorun -sertifika zinciri tamamlanmadı.Issue - Certificate chain isn't complete.

Onarma -sertifikaların tam bir sertifika zinciri içermesi gerekir.Fix - Certificates should contain a complete certificate chain. Dağıtım için Azure Stack hub PKI sertifikalarını hazırlama bölümündeki adımları kullanarak sertifikayı yeniden dışarı aktarın ve Mümkünse sertifika yolundaki tüm sertifikaları Ekle seçeneğini belirleyin.Re-export the certificate using the steps in Prepare Azure Stack Hub PKI certificates for deployment and select the option Include all certificates in the certification path if possible.

DNS adlarıDNS names

Sorun -sertifikadaki Dnsnamelist , Azure Stack hub hizmeti uç noktası adı veya geçerli bir joker karakter eşleşmesi içermiyor.Issue - The DNSNameList on the certificate doesn't contain the Azure Stack Hub service endpoint name or a valid wildcard match. Joker karakter eşleşmeleri yalnızca, DNS adının sol üst ad alanı için geçerlidir.Wildcard matches are only valid for the left-most namespace of the DNS name. Örneğin, *.region.domain.com yalnızca için geçerlidir portal.region.domain.com *.table.region.domain.com .For example, *.region.domain.com is only valid for portal.region.domain.com, not *.table.region.domain.com.

Düzeltme -Azure Stack hub uç noktalarını desteklemek üzere CSR 'YI doğru DNS adlarıyla yeniden oluşturmak Için Azure Stack hub sertifikaları imzalama isteği oluşturma ' daki adımları kullanın.Fix - Use the steps in Azure Stack Hub certificates signing request generation to regenerate the CSR with the correct DNS names to support Azure Stack Hub endpoints. CSR 'yi bir sertifika yetkilisine yeniden gönderin.Resubmit the CSR to a certificate authority. Ardından, sertifikayı CSR 'yi oluşturan makineden dışarı aktarmak için dağıtım için Azure Stack hub PKI sertifikalarını hazırlama bölümündeki adımları uygulayın.Then follow the steps in Prepare Azure Stack Hub PKI certificates for deployment to export the certificate from the machine that generated the CSR.

Anahtar kullanımıKey usage

Sorun -anahtar kullanımında dijital imza veya anahtar şifrelemesi eksik ya da Gelişmiş anahtar kullanımında sunucu kimlik doğrulaması veya istemci kimlik doğrulaması eksik.Issue - Key usage is missing digital signature or key encipherment, or enhanced key usage is missing server authentication or client authentication.

Düzeltme - Azure Stack hub sertifikaları imzalama isteği oluşturma ' daki adımları kullanarak CSR 'yi doğru anahtar kullanımı öznitelikleriyle yeniden oluşturun.Fix - Use the steps in Azure Stack Hub certificates signing request generation to regenerate the CSR with the correct key usage attributes. CSR 'yi sertifika yetkilisine yeniden gönderin ve bir sertifika şablonunun istekteki anahtar kullanımının üzerine yazılmıyor olduğunu onaylayın.Resubmit the CSR to the certificate authority and confirm that a certificate template isn't overwriting the key usage in the request.

Anahtar boyutuKey size

Sorun -anahtar boyutu 2048 ' den küçük.Issue - Key size is smaller than 2048.

Düzeltme - Azure Stack hub sertifikaları imzalama isteği oluşturma ' daki adımları kullanarak CSR 'yi doğru anahtar uzunluğuyla yeniden oluşturun (2048) ve ardından CSR 'yi sertifika yetkilisine yeniden gönderin.Fix - Use the steps in Azure Stack Hub certificates signing request generation to regenerate the CSR with the correct key length (2048), and then resubmit the CSR to the certificate authority.

Zincir sırasıChain order

Sorun -Sertifika zincirinin sırası yanlış.Issue - The order of the certificate chain is incorrect.

Dağıtım IÇIN Azure Stack hub PKI sertifikalarını hazırlama bölümündeki adımları kullanarak sertifikayı yeniden dışarı aktarın ve Mümkünse sertifika yolundaki tüm sertifikaları Ekle seçeneğini belirleyin.Fix - Re-export the certificate using the steps in Prepare Azure Stack Hub PKI certificates for deployment and select the option Include all certificates in the certification path if possible. Dışarı aktarma için yalnızca yaprak sertifikanın seçildiğinden emin olun.Ensure that only the leaf certificate is selected for export.

Diğer sertifikalarOther certificates

Sorun -PFX paketi, yaprak sertifikası veya Sertifika zincirinin bir parçası olmayan sertifikalar içeriyor.Issue - The PFX package contains certificates that aren't the leaf certificate or part of the certificate chain.

Dağıtım IÇIN Azure Stack hub PKI sertifikalarını hazırlamabölümündeki adımları kullanarak sertifikayı yeniden dışarı aktarın ve Mümkünse sertifika yolundaki tüm sertifikaları Ekle seçeneğini belirleyin.Fix - Re-export the certificate using the steps in Prepare Azure Stack Hub PKI certificates for deployment, and select the option Include all certificates in the certification path if possible. Dışarı aktarma için yalnızca yaprak sertifikanın seçildiğinden emin olun.Ensure that only the leaf certificate is selected for export.

Yaygın paketleme sorunlarını gidermeFix common packaging issues

Azsreadinesschecker Aracı, bir PFX dosyasını içeri aktarıp daha sonra ortak paketleme sorunlarını gidermek IÇIN bir PFX dosyasını içeri aktarıp dışarı aktarabilen Repair-AzsPfxCertificate adlı bir yardımcı cmdlet içerir:The AzsReadinessChecker tool contains a helper cmdlet called Repair-AzsPfxCertificate, which can import and then export a PFX file to fix common packaging issues, including:

  • PFX şifrelemesi TripleDES-SHA1 değildir.PFX encryption isn't TripleDES-SHA1.
  • Özel anahtarda yerel makine özniteliği eksik.Private key is missing local machine attribute.
  • Sertifika zinciri eksik veya yanlış.Certificate chain is incomplete or wrong. PFX paketi değilse yerel makinenin sertifika zincirini içermesi gerekir.The local machine must contain the certificate chain if the PFX package doesn't.
  • Diğer sertifikalarOther certificates

Yeni bir CSR oluşturmanız ve sertifikayı yeniden oluşturmanız gerekiyorsa, Repair-AzsPfxCertificate yardımcı olamaz.Repair-AzsPfxCertificate can't help if you need to generate a new CSR and reissue a certificate.

Ön koşullarPrerequisites

Aşağıdaki önkoşulların, aracın çalıştığı bilgisayarda olması gerekir:The following prerequisites must be in place on the computer on which the tool runs:

  • Internet bağlantısı ile Windows 10 veya Windows Server 2016.Windows 10 or Windows Server 2016, with internet connectivity.

  • PowerShell 5,1 veya sonraki bir sürümü.PowerShell 5.1 or later. Sürümünüzü denetlemek için aşağıdaki PowerShell cmdlet 'ini çalıştırın ve ardından birincil ve İkincil sürümleri gözden geçirin:To check your version, run the following PowerShell cmdlet and then review the Major and Minor versions:

    $PSVersionTable.PSVersion
    
  • Azure Stack hub 'ı Için PowerShell'i yapılandırın.Configure PowerShell for Azure Stack Hub.

  • Azure Stack hub hazırlık denetleyicisi aracının en son sürümünü indirin.Download the latest version of the Azure Stack Hub readiness checker tool.

Mevcut bir PFX dosyasını içeri ve dışarı aktarmaImport and export an existing PFX File

  1. Önkoşulları karşılayan bir bilgisayarda, yükseltilmiş bir PowerShell istemi açın ve ardından Azure Stack hub hazırlık denetleyicisi 'ni yüklemek için aşağıdaki komutu çalıştırın:On a computer that meets the prerequisites, open an elevated PowerShell prompt, and then run the following command to install the Azure Stack Hub readiness checker:

    Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
    
  2. PowerShell komut isteminde, PFX parolasını ayarlamak için aşağıdaki cmdlet 'i çalıştırın.From the PowerShell prompt, run the following cmdlet to set the PFX password. İstendiğinde parolayı girin:Enter the password when prompted:

    $password = Read-Host -Prompt "Enter password" -AsSecureString
    
  3. PowerShell komut isteminde, yeni bir PFX dosyasını dışarı aktarmak için aşağıdaki komutu çalıştırın:From the PowerShell prompt, run the following command to export a new PFX file:

    • İçin -PfxPath , üzerinde ÇALıŞTıĞıNıZ PFX dosyasının yolunu belirtin.For -PfxPath, specify the path to the PFX file you're working with. Aşağıdaki örnekte yol olur .\certificates\ssl.pfx .In the following example, the path is .\certificates\ssl.pfx.
    • İçin -ExportPFXPath , dışarı aktarma IÇIN PFX dosyasının konumunu ve adını belirtin.For -ExportPFXPath, specify the location and name of the PFX file for export. Aşağıdaki örnekte yol şu şekilde olur .\certificates\ssl_new.pfx :In the following example, the path is .\certificates\ssl_new.pfx:
    Repair-AzsPfxCertificate -PfxPassword $password -PfxPath .\certificates\ssl.pfx -ExportPFXPath .\certificates\ssl_new.pfx
    
  4. Araç tamamlandıktan sonra, başarı için çıktıyı gözden geçirin:After the tool completes, review the output for success:

    Repair-AzsPfxCertificate v1.1809.1005.1 started.
    Starting Azure Stack Hub Certificate Import/Export
    Importing PFX .\certificates\ssl.pfx into Local Machine Store
    Exporting certificate to .\certificates\ssl_new.pfx
    Export complete. Removing certificate from the local machine store.
    Removal complete.
    Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
    Repair-AzsPfxCertificate Completed
    

Sonraki adımlarNext steps