Beheben allgemeiner Probleme mit Azure Stack Hub-PKI-Zertifikaten
In diesem Artikel werden allgemeine Probleme mit Azure Stack Hub-PKI-Zertifikaten sowie entsprechende Problemlösungen beschrieben. Sie können Probleme ermitteln, indem Sie das Tool „Azure Stack Hub Readiness Checker“ zur Überprüfung von Azure Stack Hub-PKI-Zertifikaten verwenden. Das Tool überprüft, ob die Zertifikate die PKI-Anforderungen einer Azure Stack Hub-Bereitstellung und einer Azure Stack Hub-Geheimnisrotation erfüllen, und protokolliert die Ergebnisse in einer Datei vom Typ report.json.
HTTP-Zertifikatsperrliste: Warnung
Problem: Zertifikat enthält keine HTTP-Zertifikatsperrliste in der CDP-Erweiterung.
Korrektur: Dies ist kein Blockierproblem. Azure Stack erfordert eine HTTP-Zertifikatsperrliste für die Sperrungsüberprüfung gemäß Zertifikatanforderungen für Azure Stack Hub-PKI (Public Key-Infrastruktur). Eine HTTP-Zertifikatsperrliste wurde im Zertifikat nicht erkannt. Um sicherzustellen, dass die Zertifikatsperrungsüberprüfung funktioniert, sollte die Zertifizierungsstelle ein Zertifikat mit einer HTTP-Zertifikatsperrliste in der CDP-Erweiterung ausstellen.
HTTP-Zertifikatsperrliste: Fehler
Problem: Keine Verbindung mit der HTTP-Zertifikatsperrliste in der CDP-Erweiterung möglich.
Korrektur: Dies ist ein Blockierproblem. Azure Stack erfordert eine Verbindung mit einer HTTP-Zertifikatsperrliste für die Sperrungsüberprüfung gemäß Veröffentlichen von Azure Stack Hub-Ports und -URLs.
PFX-Verschlüsselung
Problem: Bei der PFX-Verschlüsselung handelt es sich nicht um TripleDES-SHA1.
Lösung: Exportieren Sie PFX-Dateien mit der Verschlüsselung TripleDES-SHA1. Dies ist die Standardverschlüsselung für alle Windows 10-Clients, wenn Sie den Export über das Zertifikat-Snap-In oder mithilfe von Export-PFXCertificate
durchführen.
Lesen einer PFX-Datei
Warnung: Ein Kennwort schützt nur persönliche Informationen im Zertifikat.
Lösung: Exportieren Sie PFX-Dateien mit der optionalen Einstellung Zertifikatdatenschutz aktivieren.
Problem: Die PFX-Datei ist ungültig.
Lösung: Exportieren Sie das Zertifikat mithilfe der Schritte unter Vorbereiten von Azure Stack Hub-PKI-Zertifikaten für die Bereitstellung oder Rotation erneut.
Signaturalgorithmus
Problem: Der Signaturalgorithmus ist SHA1.
Lösung: Führen Sie die Schritte unter „Generieren von Zertifikatsignieranforderungen für Azure Stack Hub“ aus, um die Zertifikatsignieranforderung (Certificate Signing Request, CSR) mit dem Signaturalgorithmus SHA256 zu generieren. Senden Sie die CSR dann erneut an die Zertifizierungsstelle, um das Zertifikat neu auszustellen.
Privater Schlüssel
Problem: Der private Schlüssel fehlt oder enthält nicht das Attribut des lokalen Computers.
Lösung: Exportieren Sie über den Computer, mit dem die CSR generiert wurde, das Zertifikat mithilfe der Schritte unter Vorbereiten von Azure Stack Hub-PKI-Zertifikaten für die Bereitstellung oder Rotation erneut. Diese Schritte umfassen das Exportieren aus dem Zertifikatspeicher des lokalen Computers.
Zertifikatkette
Problem: Die Vertrauenskette ist nicht vollständig.
Lösung: Zertifikate müssen eine vollständige Vertrauenskette enthalten. Exportieren Sie das Zertifikat wie unter Vorbereiten von Azure Stack Hub-PKI-Zertifikaten für die Bereitstellung oder Rotation beschrieben erneut, und wählen Sie die Option Wenn möglich, alle Zertifikate im Zertifizierungspfad einbeziehen aus.
DNS-Namen
Problem:DNSNameList für das Zertifikat enthält nicht den Namen des Azure Stack Hub-Dienstendpunkts oder einen gültigen Platzhalter. Platzhalterübereinstimmungen gelten nur für den Namespace der ganz links vom DNS-Namen steht.
*.region.domain.com
gilt beispielsweise nur für portal.region.domain.com
, aber nicht für *.table.region.domain.com
.
Lösung: Führen Sie die Schritte unter „Generieren von Zertifikatsignieranforderungen für Azure Stack Hub“ aus, um die CSR zur Unterstützung von Azure Stack Hub-Endpunkten mit den richtigen DNS-Namen erneut zu generieren. Übermitteln Sie die CSR erneut an eine Zertifizierungsstelle. Führen Sie dann die Schritte unter Vorbereiten von Azure Stack Hub-PKI-Zertifikaten für die Bereitstellung oder Rotation aus, um das Zertifikat über den Computer, mit dem die CSR generiert wurde, zu exportieren.
Schlüsselverwendung
Problem: Bei der Schlüsselverwendung fehlt die digitale Signatur oder Schlüsselverschlüsselung. Oder: Bei der erweiterten Schlüsselverwendung fehlt die Server- oder Clientauthentifizierung.
Lösung: Führen Sie die Schritte unter Generieren von Zertifikatsignieranforderungen für Azure Stack Hub aus, um die CSR mit den richtigen Schlüsselverwendungsattributen erneut zu generieren. Übermitteln Sie die Zertifikatsignieranforderung erneut an die Zertifizierungsstelle, und vergewissern Sie sich, dass die Schlüsselverwendung in der Anforderung nicht durch eine Zertifikatvorlage überschrieben wird.
Schlüsselgröße
Problem: Die Schlüsselgröße ist kleiner als 2.048.
Lösung: Führen Sie die Schritte unter Generieren von Zertifikatsignieranforderungen für Azure Stack Hub aus, um die Zertifikatsignieranforderung mit der richtigen Schlüssellänge (2048) erneut zu generieren, und übermitteln Sie die Zertifikatsignieranforderung anschließend erneut an die Zertifizierungsstelle.
Kettenreihenfolge
Problem: Die Reihenfolge der Vertrauenskette ist falsch.
Lösung: Exportieren Sie das Zertifikat wie unter Vorbereiten von Azure Stack Hub-PKI-Zertifikaten für die Bereitstellung oder Rotation beschrieben erneut, und wählen Sie die Option Wenn möglich, alle Zertifikate im Zertifizierungspfad einbeziehen aus. Stellen Sie sicher, dass nur das untergeordnete Zertifikat für den Export ausgewählt ist.
Andere Zertifikate
Problem: Das PFX-Paket enthält Zertifikate, bei denen es sich nicht um das untergeordnete Zertifikat handelt oder die nicht der Vertrauenskette angehören.
Lösung: Exportieren Sie das Zertifikat wie unter Vorbereiten von Azure Stack Hub-PKI-Zertifikaten für die Bereitstellung oder Rotation beschrieben erneut, und wählen Sie die Option Wenn möglich, alle Zertifikate im Zertifizierungspfad einbeziehen aus. Stellen Sie sicher, dass nur das untergeordnete Zertifikat für den Export ausgewählt ist.
Beheben von häufigen Problemen beim Packen
Das Tool AzsReadinessChecker enthält das Hilfs-Cmdlet Repair-AzsPfxCertificate, mit dem eine PFX-Datei importiert und dann exportiert werden kann, um häufig auftretende Probleme beim Verpacken zu beheben, z. B.:
- Bei der PFX-Verschlüsselung handelt es sich nicht um TripleDES-SHA1.
- Beim privaten Schlüssel fehlt das Attribut des lokalen Computers.
- Die Zertifikatkette ist unvollständig oder falsch. Der lokale Computer muss die Vertrauenskette enthalten, wenn dies beim PFX-Paket nicht der Fall ist.
- Andere Zertifikate
Repair-AzsPfxCertificate hilft Ihnen nicht weiter, wenn Sie eine neue Zertifikatsignieranforderung generieren und ein Zertifikat neu ausstellen müssen.
Voraussetzungen
Auf dem Computer, auf dem das Tool ausgeführt wird, müssen folgende erforderliche Komponenten vorhanden sein:
Windows 10 oder Windows Server 2016 mit Internetkonnektivität
PowerShell 5.1 oder höher Um Ihre Version zu überprüfen, führen Sie das folgende PowerShell-Cmdlet aus, und überprüfen Sie dann die Hauptversion und die Nebenversionen:
$PSVersionTable.PSVersion
Konfigurieren Sie PowerShell für Azure Stack Hub.
Laden Sie die aktuelle Version des Tools Azure Stack Hub Readiness Checker herunter.
Importieren und Exportieren einer vorhandenen PFX-Datei
Öffnen Sie auf einem Computer, der die Voraussetzungen erfüllt, eine PowerShell-Eingabeaufforderung mit erhöhten Rechten, und führen Sie den folgenden Befehl zum Installieren von „Azure Stack Hub Readiness Checker“ aus:
Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
Führen Sie an der PowerShell-Eingabeaufforderung das folgende Cmdlet aus, um das PFX-Kennwort festzulegen. Geben Sie bei Aufforderung das Kennwort ein:
$password = Read-Host -Prompt "Enter password" -AsSecureString
Führen Sie an der PowerShell-Eingabeaufforderung den folgenden Befehl aus, um eine neue PFX-Datei zu exportieren:
- Geben Sie für
-PfxPath
den Pfad zur PFX-Datei an, mit der Sie arbeiten. Im folgenden Beispiel lautet der Pfad.\certificates\ssl.pfx
. - Geben Sie für
-ExportPFXPath
den Speicherort und Namen der zu exportierenden PFX-Datei an. Im folgenden Beispiel lautet der Pfad.\certificates\ssl_new.pfx
:
Repair-AzsPfxCertificate -PfxPassword $password -PfxPath .\certificates\ssl.pfx -ExportPFXPath .\certificates\ssl_new.pfx
- Geben Sie für
Überprüfen Sie, ob die erfolgreiche Durchführung in der Ausgabe angegeben wird, nachdem das Tool den Vorgang abgeschlossen hat:
Repair-AzsPfxCertificate v1.1809.1005.1 started. Starting Azure Stack Hub Certificate Import/Export Importing PFX .\certificates\ssl.pfx into Local Machine Store Exporting certificate to .\certificates\ssl_new.pfx Export complete. Removing certificate from the local machine store. Removal complete. Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log Repair-AzsPfxCertificate Completed