Corriger les problèmes courants liés aux certificats PKI Azure Stack Hub
Les informations contenues dans cet article vous aideront à comprendre et à résoudre les problèmes courants liés aux certificats PKI Azure Stack Hub. Lorsque vous utilisez l’outil Azure Stack Hub Readiness Checker pour valider les certificats PKI Azure Stack Hub, vous constaterez peut-être la présence de problèmes. L’outil vérifie si les certificats répondent aux exigences PKI d’un déploiement Azure Stack Hub et respectent la rotation des secrets Azure Stack Hub, puis il journalise les résultats dans un fichier report.json.
Liste de révocation de certificats HTTP - Avertissement
Problème : Le certificat ne contient pas de liste de révocation de certificats HTTP dans l’extension CDP.
Correction : Il ne s’agit pas d’un problème bloquant. Azure Stack exige une liste de révocation de certificats HTTP pour vérifier la révocation, conformément aux conditions de certificat d’infrastructure à clé publique (PKI) d’Azure Stack Hub. Aucune liste de révocation de certificats HTTP n’a été détectée sur le certificat. Pour garantir le bon fonctionnement de la vérification de la révocation de certificats, l’autorité de certification doit émettre un certificat avec une liste de révocation de certificats HTTP dans l’extension CDP.
Liste de révocation de certificats HTTP - Échec
Problème : Impossible de se connecter à la liste de révocation de certificats HTTP dans l’extension CDP.
Correction : Il s’agit d’un problème bloquant. Azure Stack exige une connectivité à une liste de révocation de certificats HTTP pour vérifier la révocation, conformément à Publication des ports et URL Azure Stack Hub (trafic sortant).
Chiffrement PFX
Problème – Le chiffrement PFX n’est pas TripleDES-SHA1.
Correction – Exportez les fichiers PFX avec le chiffrement TripleDES-SHA1. Il s’agit du chiffrement par défaut pour tous les clients Windows 10 lors de l’exportation à partir du composant logiciel enfichable Certificat ou à l’aide de Export-PFXCertificate.
Lecture du fichier PFX
Avertissement : Le mot de passe protège uniquement les informations privées dans le certificat.
Correction – Exportez les fichiers PFX avec le paramètre facultatif Activer la confidentialité de certificat.
Problème – Le fichier PFX n’est pas valide.
Correction – Réexportez le certificat en suivant les étapes de la procédure Préparer des certificats PKI Azure Stack Hub pour le déploiement.
Algorithme de signature
Problème – L’algorithme de signature est SHA1.
Correction – Suivez les étapes de la procédure de génération d’une demande de signature de certificat (CSR) Azure Stack Hub pour regénérer la demande avec l’algorithme de signature SHA256. Ensuite, resoumettez la demande de signature de certificat à l’autorité de certification pour réémettre le certificat.
Clé privée
Problème – La clé privée est manquante ou ne contient pas l’attribut d’ordinateur Local.
Correction – Sur l’ordinateur qui a généré la demande CSR, réexportez le certificat en suivant les étapes de la procédure Préparer des certificats PKI Azure Stack Hub pour le déploiement. Ces étapes incluent l’exportation du certificat à partir du magasin de certificats de l’ordinateur local.
Chaîne d’approbation
Problème – La chaîne d’approbation n’est pas complète.
Correction – Les certificats doivent contenir une chaîne d’approbation complète. Réexportez le certificat en suivant les étapes de la procédure Préparer des certificats PKI Azure Stack Hub pour le déploiement, puis sélectionnez l’option Inclure tous les certificats dans le chemin d’accès de certification si possible.
Noms DNS
Problème – La liste DNSNameList sur le certificat ne contient pas le nom du point de terminaison du service Azure Stack Hub, ni de correspondance avec un caractère générique valide. Les correspondances avec un caractère générique ne sont valides que pour l’espace de noms situé à l’extrême gauche du nom DNS. Par exemple, *.region.domain.com est uniquement valide pour portal.region.domain.com, et non *.table.region.domain.com.
Correction – Suivez les étapes de la procédure de génération d’une demande de signature de certificat Azure Stack Hub pour regénérer la demande avec les noms DNS corrects, afin de prendre en charge les points de terminaison Azure Stack Hub. Soumettez à nouveau la demande CSR à une autorité de certification. Ensuite, suivez les étapes de la procédure Préparer des certificats PKI Azure Stack Hub pour le déploiement afin d’exporter le certificat à partir de la machine qui a généré la demande CSR.
Utilisation de la clé
Problème – La signature numérique ou le chiffrement de clé ne figure pas dans l’utilisation de la clé, ou l’authentification du serveur ou du client ne figure pas dans l’utilisation améliorée de la clé.
Correction – Suivez les étapes de la procédure Génération d’une demande de signature de certificat Azure Stack Hub pour regénérer la demande CSR avec les attributs corrects d’utilisation de la clé. Resoumettez la demande de signature de certificat à l’autorité de certification, puis vérifiez qu’aucun modèle de certificat ne remplace l’utilisation de la clé dans la demande.
Taille de la clé
Problème – La taille de la clé est inférieure à 2048.
Correction – Suivez les étapes de la procédure Génération d’une demande de signature de certificat Azure Stack Hub pour regénérer la demande de signature de certificat (CSR) avec la bonne longueur de clé (2048), puis resoumettez la demande CSR à l’autorité de certification.
Ordre de la chaîne
Problème – L’ordre de la chaîne d’approbation est incorrect.
Correction – Réexportez le certificat en suivant les étapes de la procédure Préparer des certificats PKI Azure Stack Hub pour le déploiement, puis sélectionnez l’option Inclure tous les certificats dans le chemin d’accès de certification si possible. Vérifiez que seul le certificat feuille est sélectionné pour l’exportation.
Autres certificats
Problème – Le package PFX contient des certificats qui ne sont pas le certificat feuille ou qui ne font pas partie de la chaîne d’approbation.
Correction – Réexportez le certificat en suivant les étapes de la procédure Préparer des certificats PKI Azure Stack Hub pour le déploiement, puis sélectionnez l’option Inclure tous les certificats dans le chemin d’accès de certification si possible. Vérifiez que seul le certificat feuille est sélectionné pour l’exportation.
Résoudre les problèmes courants de packaging
L’outil AzsReadinessChecker inclut une l’applet de commande d’assistance, appelée Repair-AzsPfxCertificate, capable d’importer puis exporter un fichier PFX afin de réparer les problèmes de package courants, comme :
- Le chiffrement PFX n’est pas TripleDES-SHA1.
- La clé privée n’a pas d’attribut d’ordinateur Local.
- Chaîne d’approbation incomplète ou incorrecte. L’ordinateur local doit contenir la chaîne d’approbation si elle n’est pas présente dans le package PFX.
- Autres certificats
Repair-AzsPfxCertificate n’est d’aucune utilité si vous devez générer une nouvelle demande CSR et réémettre un certificat.
Conditions préalables requises
L’ordinateur sur lequel l’outil s’exécute doit répondre aux prérequis suivants :
Windows 10 ou Windows Server 2016, avec connectivité à Internet.
PowerShell 5.1 ou ultérieur. Pour vérifier votre version, exécutez l’applet de commande PowerShell suivante, puis examinez les versions Major et Minor :
$PSVersionTable.PSVersionConfigurez PowerShell pour Azure Stack Hub.
Téléchargez la dernière version de l’outil Azure Stack Hub Readiness Checker.
Importer et exporter un fichier PFX
Sur un ordinateur qui répond aux prérequis, ouvrez une invite PowerShell avec privilège élevé, puis exécutez la commande suivante pour installer l’outil Azure Stack Hub Readiness Checker :
Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrereleaseÀ l’invite PowerShell, exécutez l’applet de commande suivante pour définir le mot de passe PFX. Entrez le mot de passe quand vous y êtes invité :
$password = Read-Host -Prompt "Enter password" -AsSecureStringÀ l’invite PowerShell, exécutez la commande suivante pour exporter un nouveau fichier PFX :
- Pour
-PfxPath, spécifiez le chemin du fichier PFX que vous utilisez. Dans l’exemple suivant, le chemin est.\certificates\ssl.pfx. - Pour
-ExportPFXPath, spécifiez l’emplacement et le nom du fichier PFX à exporter. Dans l’exemple suivant, le chemin est.\certificates\ssl_new.pfx:
Repair-AzsPfxCertificate -PfxPassword $password -PfxPath .\certificates\ssl.pfx -ExportPFXPath .\certificates\ssl_new.pfx- Pour
Au terme de l’exécution de l’outil, examinez la sortie pour voir si l’opération a réussi :
Repair-AzsPfxCertificate v1.1809.1005.1 started. Starting Azure Stack Hub Certificate Import/Export Importing PFX .\certificates\ssl.pfx into Local Machine Store Exporting certificate to .\certificates\ssl_new.pfx Export complete. Removing certificate from the local machine store. Removal complete. Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log Repair-AzsPfxCertificate Completed
Étapes suivantes
Commentaires
Bientôt disponible : Tout au long de l’année 2024, nous abandonnerons progressivement le mécanisme de retour d’information GitHub Issues pour le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour