Tanúsítványkövetelmények

  • Cikk

ÉRVÉNYES:Yes for Pro GPU SKUAzure Stack Edge Pro – GPUYes for Pro 2 SKUAzure Stack Edge Pro 2Yes for Pro R SKUAzure Stack Edge Pro RYes for Mini R SKUAzure Stack Edge Mini R

Ez a cikk azokat a tanúsítványkövetelményeket ismerteti, amelyeket teljesítenie kell ahhoz, hogy a tanúsítványok telepíthetők legyenek az Azure Stack Edge Pro-eszközön. A követelmények a PFX-tanúsítványokhoz, a kiállító hatósághoz, a tanúsítvány tulajdonosának nevéhez és a tulajdonos alternatív nevéhez, valamint a támogatott tanúsítványalgoritmusokhoz kapcsolódnak.

Tanúsítványkibocsátó hatóság

A tanúsítványkibocsátó követelmények a következők:

  • A tanúsítványokat belső vagy nyilvános hitelesítésszolgáltatótól kell kiállítani.

  • Az önaláírt tanúsítványok használata nem támogatott.

  • A tanúsítvány Kiállítása: mezője nem lehet ugyanaz, mint a Kiállító: mezővel, kivéve a legfelső szintű hitelesítésszolgáltatói tanúsítványokat.

Tanúsítványalgoritmusok

Az eszköz csak a Rivest–Shamir–Adleman (RSA) tanúsítványokat támogatja. Az ECDSA-tanúsítványok nem támogatottak.

Az RSA nyilvános kulcsot tartalmazó tanúsítványokat RSA-tanúsítványoknak nevezzük. Az elliptikus görbe titkosítási (ECC) nyilvános kulcsát tartalmazó tanúsítványokat ECDSA (Elliptikus görbe digitális aláírási algoritmus) tanúsítványoknak nevezzük.

A tanúsítványalgoritmus követelményei a következők:

  • A tanúsítványoknak az RSA-kulcsalgoritmust kell használniuk.

  • Csak a Microsoft RSA/Schannel titkosítási szolgáltatóval rendelkező RSA-tanúsítványok támogatottak.

  • A tanúsítvány-aláírási algoritmus nem lehet SHA1.

  • A kulcs minimális mérete 4096.

Tanúsítvány tulajdonosának neve és tulajdonos alternatív neve

A tanúsítványoknak meg kell felelniük a következő tulajdonosnévre és a tulajdonos alternatív nevének követelményeinek:

  • Használhat egyetlen tanúsítványt, amely a tanúsítvány Tulajdonos alternatív neve (SAN) mezőiben található összes névteret lefedi. Másik lehetőségként az egyes névterekhez külön tanúsítványokat is használhat. Mindkét megközelítéshez szükség esetén helyettesítő kártyákat kell használni a végpontokhoz, például bináris nagy objektumokat (Blob).

  • Győződjön meg arról, hogy a tulajdonosnevek (a tulajdonosnévben szereplő köznapi név) a tulajdonos alternatív neveinek részét képezik a tulajdonos alternatív névkiterjesztésében.

  • Használhat egyetlen helyettesítő tanúsítványt, amely a tanúsítvány SAN-mezőinek összes névterét lefedi.

  • Végponttanúsítvány létrehozásakor használja az alábbi táblázatot:

    Type Tulajdonos neve (SN) Tulajdonos alternatív neve (SAN) Példa tulajdonosnévre
    Azure Resource Manager management.<Device name>.<Dns Domain> login.<Device name>.<Dns Domain>
    management.<Device name>.<Dns Domain>    		 management.mydevice1.microsoftdatabox.com
    Blob storage *.blob.<Device name>.<Dns Domain> *.blob.< Device name>.<Dns Domain> *.blob.mydevice1.microsoftdatabox.com
    Helyi felhasználói felület <Device name>.<DnsDomain> <Device name>.<DnsDomain> mydevice1.microsoftdatabox.com
    Több-SAN egyetlen tanúsítvány mindkét végponthoz <Device name>.<dnsdomain> <Device name>.<dnsdomain>
    login.<Device name>.<Dns Domain>
    management.<Device name>.<Dns Domain>
    *.blob.<Device name>.<Dns Domain>    		 mydevice1.microsoftdatabox.com
    Csomópont <NodeSerialNo>.<DnsDomain> *.<DnsDomain>

    <NodeSerialNo>.<DnsDomain>    		 mydevice1.microsoftdatabox.com
    VPN AzureStackEdgeVPNCertificate.<DnsDomain>

    * Az AzureStackEdgeVPNCertificate kódolt.    		 *.<DnsDomain>

    <AzureStackVPN>.<DnsDomain>    		 edgevpncertificate.microsoftdatabox.com

PFX-tanúsítvány

Az Azure Stack Edge Pro-eszközön telepített PFX-tanúsítványoknak meg kell felelniük a következő követelményeknek:

  • Amikor lekéri a tanúsítványokat az SSL-szolgáltatótól, győződjön meg arról, hogy megkapja a tanúsítványok teljes aláírási láncát.

  • PFX-tanúsítvány exportálásakor lehetőség esetén győződjön meg arról, hogy az Összes tanúsítvány belefoglalása a láncba lehetőséget választotta.

  • Használjon PFX-tanúsítványt a végponthoz, a helyi felhasználói felülethez, a csomóponthoz, a VPN-hez és a Wi-Fi-hez, mivel mind a nyilvános, mind a privát kulcsok szükségesek az Azure Stack Edge Pro-hoz. A titkos kulcsnak rendelkeznie kell a helyi gépkulcs attribútumával.

  • A tanúsítvány PFX-titkosításának 3DES-nek kell lennie. Ez az alapértelmezett titkosítás a Windows 10-ügyfélből vagy a Windows Server 2016 tanúsítványtárolóból való exportáláskor. A 3DES-sel kapcsolatos további információkért lásd a Triple DES-t.

  • A tanúsítvány PFX-fájljainak érvényes digitális aláírási és keyencipherment értékekkel kell rendelkezniük a Kulcshasználat mezőben.

  • A tanúsítvány PFX-fájljainak rendelkezniük kell a Kiszolgálóhitelesítés (1.3.6.1.5.5.7.3.1) és az Ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2) értékekkel a Bővített kulcshasználatmezőben.

  • Az Azure Stack Felkészültség-ellenőrző eszköz használata esetén az üzembe helyezéskor az összes tanúsítvány PFX-fájljának jelszavainak meg kell egyeznie. További információ: Tanúsítványok létrehozása az Azure Stack Edge Pro-hoz az Azure Stack Hub Felkészültség-ellenőrző eszközzel.

  • A PFX tanúsítvány jelszavának összetett jelszónak kell lennie. Jegyezze fel ezt a jelszót, mert üzembehelyezési paraméterként használják.

  • Csak RSA-tanúsítványokat használjon a Microsoft RSA/Schannel titkosítási szolgáltatónál.

További információ: PFX-tanúsítványok exportálása titkos kulccsal.

Következő lépések

  • Tanúsítványok létrehozása az eszközhöz

    • Azure PowerShell-parancsmagok használatával
    • Az Azure Stack Hub Felkészültség-ellenőrző eszközének használatával.