Požadavky na certifikáty
PLATÍ PRO:
Azure Stack Edge Pro – GPUAzure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R
Tento článek popisuje požadavky na certifikáty, které musí být splněny, aby bylo možné certifikáty nainstalovat na zařízení Azure Stack Edge Pro. Požadavky se týkají certifikátů PFX, vydávající autority, názvu subjektu certifikátu a alternativního názvu subjektu a podporovaných algoritmů certifikátů.
Certifikační autorita vydávající certifikát
Požadavky na vydávání certifikátů jsou následující:
Certifikáty musí být vydány buď z interní certifikační autority, nebo veřejné certifikační autority.
Použití certifikátů podepsaných svým držitelem není podporováno.
Pole Vystavené certifikátu nesmí být stejné jako pole Vystaveno: s výjimkou certifikátů kořenové certifikační autority.
Algoritmy certifikátů
Vaše zařízení podporuje jenom certifikáty Rivest–Shamir–Adleman (RSA). Certifikáty ECDSA (Elliptic Curve Digital Signature Algorithm) nejsou podporovány.
Certifikáty, které obsahují veřejný klíč RSA, se označují jako certifikáty RSA. Certifikáty obsahující veřejný klíč ECC (Elliptic Curve Cryptographic) se označují jako certifikáty ECDSA (Elliptic Curve Digital Signature Algorithm).
Požadavky na algoritmus certifikátu jsou následující:
Certifikáty musí používat algoritmus klíče RSA.
Podporují se pouze certifikáty RSA s poskytovatelem kryptografických služeb Microsoft RSA/Schannel.
Algoritmus podpisu certifikátu nemůže být SHA1.
Minimální velikost klíče je 4096.
Název subjektu certifikátu a alternativní název subjektu
Certifikáty musí splňovat následující požadavky na název subjektu a alternativní název subjektu:
Můžete použít jeden certifikát pokrývající všechny obory názvů v polích alternativního názvu subjektu certifikátu (SAN). Alternativně můžete pro každý obor názvů použít jednotlivé certifikáty. Oba přístupy vyžadují použití zástupných znaků pro koncové body v případě potřeby, jako je binární velký objekt (blob).
Ujistěte se, že názvy subjektu (běžný název v názvu subjektu) jsou součástí alternativních názvů subjektu v rozšíření alternativního názvu subjektu.
Můžete použít jeden zástupný certifikát pokrývající všechny názvové prostory v polích SAN certifikátu.
Při vytváření certifikátu koncového bodu použijte následující tabulku:
Typ Název subjektu (SN) Alternativní název subjektu (SAN) Příklad názvu subjektu Azure Resource Manager management.<Device name>.<Dns Domain>login.<Device name>.<Dns Domain>management.<Device name>.<Dns Domain>management.mydevice1.microsoftdatabox.comBlob Storage *.blob.<Device name>.<Dns Domain>*.blob.< Device name>.<Dns Domain>*.blob.mydevice1.microsoftdatabox.comMístní uživatelské rozhraní <Device name>.<DnsDomain><Device name>.<DnsDomain>mydevice1.microsoftdatabox.comJeden certifikát s více sítěmi SAN pro oba koncové body <Device name>.<dnsdomain><Device name>.<dnsdomain>login.<Device name>.<Dns Domain>management.<Device name>.<Dns Domain>*.blob.<Device name>.<Dns Domain>mydevice1.microsoftdatabox.comUzel <NodeSerialNo>.<DnsDomain>*.<DnsDomain><NodeSerialNo>.<DnsDomain>mydevice1.microsoftdatabox.comSíť VPN AzureStackEdgeVPNCertificate.<DnsDomain>
* AzureStackEdgeVPNCertificate je pevně zakódovaný.*.<DnsDomain><AzureStackVPN>.<DnsDomain>edgevpncertificate.microsoftdatabox.com
Certifikát PFX
Certifikáty PFX nainstalované na zařízení Azure Stack Edge Pro by měly splňovat následující požadavky:
Když certifikáty získáte od autority SSL, ujistěte se, že získáte úplný podpisový řetězec certifikátů.
Při exportu certifikátu PFX se ujistěte, že jste v případě potřeby vybrali možnost Zahrnout všechny certifikáty do řetězu.
Pro koncový bod, místní uživatelské rozhraní, uzel, VPN a Wi-Fi použijte certifikát PFX, protože pro Azure Stack Edge Pro se vyžadují veřejné i privátní klíče. Privátní klíč musí mít nastavený atribut klíče místního počítače.
Šifrování PFX certifikátu by mělo být 3DES. Toto je výchozí šifrování používané při exportu z klienta Windows 10 nebo úložiště certifikátů Windows Serveru 2016. Další informace týkající se 3DES naleznete v tématu Triple DES.
Soubory PFX certifikátu musí mít platné hodnoty digitálního podpisu a šifrování klíčů v poli Použití klíče.
Soubory PFX certifikátu musí mít hodnoty Ověřování serveru (1.3.6.1.5.5.7.3.1) a Ověřování klienta (1.3.6.1.5.5.7.3.2) v poli Rozšířené použití klíče.
Hesla ke všem souborům PFX certifikátu musí být v době nasazení stejná, pokud používáte nástroj Azure Stack Readiness Checker. Další informace najdete v tématu Vytváření certifikátů pro azure Stack Edge Pro pomocí nástroje Azure Stack Hub Readiness Checker.
Heslo k certifikátu PFX musí být složité heslo. Poznamenejte si toto heslo, protože se používá jako parametr nasazení.
Používejte pouze certifikáty RSA s poskytovatelem kryptografických služeb Microsoft RSA/Schannel.
Další informace naleznete v tématu Export certifikátů PFX s privátním klíčem.
Další kroky
Vytvoření certifikátů pro zařízení
- Prostřednictvím rutin Azure PowerShellu
- Prostřednictvím nástroje Azure Stack Hub Readiness Checker
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro