Tanúsítványkövetelmények
ÉRVÉNYES:Azure Stack Edge Pro – GPUAzure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R
Ez a cikk azokat a tanúsítványkövetelményeket ismerteti, amelyeket teljesítenie kell ahhoz, hogy a tanúsítványok telepíthetők legyenek az Azure Stack Edge Pro-eszközön. A követelmények a PFX-tanúsítványokhoz, a kiállító hatósághoz, a tanúsítvány tulajdonosának nevéhez és a tulajdonos alternatív nevéhez, valamint a támogatott tanúsítványalgoritmusokhoz kapcsolódnak.
Tanúsítványkibocsátó hatóság
A tanúsítványkibocsátó követelmények a következők:
A tanúsítványokat belső vagy nyilvános hitelesítésszolgáltatótól kell kiállítani.
Az önaláírt tanúsítványok használata nem támogatott.
A tanúsítvány Kiállítása: mezője nem lehet ugyanaz, mint a Kiállító: mezővel, kivéve a legfelső szintű hitelesítésszolgáltatói tanúsítványokat.
Tanúsítványalgoritmusok
Az eszköz csak a Rivest–Shamir–Adleman (RSA) tanúsítványokat támogatja. Az ECDSA-tanúsítványok nem támogatottak.
Az RSA nyilvános kulcsot tartalmazó tanúsítványokat RSA-tanúsítványoknak nevezzük. Az elliptikus görbe titkosítási (ECC) nyilvános kulcsát tartalmazó tanúsítványokat ECDSA (Elliptikus görbe digitális aláírási algoritmus) tanúsítványoknak nevezzük.
A tanúsítványalgoritmus követelményei a következők:
A tanúsítványoknak az RSA-kulcsalgoritmust kell használniuk.
Csak a Microsoft RSA/Schannel titkosítási szolgáltatóval rendelkező RSA-tanúsítványok támogatottak.
A tanúsítvány-aláírási algoritmus nem lehet SHA1.
A kulcs minimális mérete 4096.
Tanúsítvány tulajdonosának neve és tulajdonos alternatív neve
A tanúsítványoknak meg kell felelniük a következő tulajdonosnévre és a tulajdonos alternatív nevének követelményeinek:
Használhat egyetlen tanúsítványt, amely a tanúsítvány Tulajdonos alternatív neve (SAN) mezőiben található összes névteret lefedi. Másik lehetőségként az egyes névterekhez külön tanúsítványokat is használhat. Mindkét megközelítéshez szükség esetén helyettesítő kártyákat kell használni a végpontokhoz, például bináris nagy objektumokat (Blob).
Győződjön meg arról, hogy a tulajdonosnevek (a tulajdonosnévben szereplő köznapi név) a tulajdonos alternatív neveinek részét képezik a tulajdonos alternatív névkiterjesztésében.
Használhat egyetlen helyettesítő tanúsítványt, amely a tanúsítvány SAN-mezőinek összes névterét lefedi.
Végponttanúsítvány létrehozásakor használja az alábbi táblázatot:
Type Tulajdonos neve (SN) Tulajdonos alternatív neve (SAN) Példa tulajdonosnévre Azure Resource Manager management.<Device name>.<Dns Domain>
login.<Device name>.<Dns Domain>
management.<Device name>.<Dns Domain>
management.mydevice1.microsoftdatabox.com
Blob storage *.blob.<Device name>.<Dns Domain>
*.blob.< Device name>.<Dns Domain>
*.blob.mydevice1.microsoftdatabox.com
Helyi felhasználói felület <Device name>.<DnsDomain>
<Device name>.<DnsDomain>
mydevice1.microsoftdatabox.com
Több-SAN egyetlen tanúsítvány mindkét végponthoz <Device name>.<dnsdomain>
<Device name>.<dnsdomain>
login.<Device name>.<Dns Domain>
management.<Device name>.<Dns Domain>
*.blob.<Device name>.<Dns Domain>
mydevice1.microsoftdatabox.com
Csomópont <NodeSerialNo>.<DnsDomain>
*.<DnsDomain>
<NodeSerialNo>.<DnsDomain>
mydevice1.microsoftdatabox.com
VPN AzureStackEdgeVPNCertificate.<DnsDomain>
* Az AzureStackEdgeVPNCertificate kódolt.*.<DnsDomain>
<AzureStackVPN>.<DnsDomain>
edgevpncertificate.microsoftdatabox.com
PFX-tanúsítvány
Az Azure Stack Edge Pro-eszközön telepített PFX-tanúsítványoknak meg kell felelniük a következő követelményeknek:
Amikor lekéri a tanúsítványokat az SSL-szolgáltatótól, győződjön meg arról, hogy megkapja a tanúsítványok teljes aláírási láncát.
PFX-tanúsítvány exportálásakor lehetőség esetén győződjön meg arról, hogy az Összes tanúsítvány belefoglalása a láncba lehetőséget választotta.
Használjon PFX-tanúsítványt a végponthoz, a helyi felhasználói felülethez, a csomóponthoz, a VPN-hez és a Wi-Fi-hez, mivel mind a nyilvános, mind a privát kulcsok szükségesek az Azure Stack Edge Pro-hoz. A titkos kulcsnak rendelkeznie kell a helyi gépkulcs attribútumával.
A tanúsítvány PFX-titkosításának 3DES-nek kell lennie. Ez az alapértelmezett titkosítás a Windows 10-ügyfélből vagy a Windows Server 2016 tanúsítványtárolóból való exportáláskor. A 3DES-sel kapcsolatos további információkért lásd a Triple DES-t.
A tanúsítvány PFX-fájljainak érvényes digitális aláírási és keyencipherment értékekkel kell rendelkezniük a Kulcshasználat mezőben.
A tanúsítvány PFX-fájljainak rendelkezniük kell a Kiszolgálóhitelesítés (1.3.6.1.5.5.7.3.1) és az Ügyfél-hitelesítés (1.3.6.1.5.5.7.3.2) értékekkel a Bővített kulcshasználatmezőben.
Az Azure Stack Felkészültség-ellenőrző eszköz használata esetén az üzembe helyezéskor az összes tanúsítvány PFX-fájljának jelszavainak meg kell egyeznie. További információ: Tanúsítványok létrehozása az Azure Stack Edge Pro-hoz az Azure Stack Hub Felkészültség-ellenőrző eszközzel.
A PFX tanúsítvány jelszavának összetett jelszónak kell lennie. Jegyezze fel ezt a jelszót, mert üzembehelyezési paraméterként használják.
Csak RSA-tanúsítványokat használjon a Microsoft RSA/Schannel titkosítási szolgáltatónál.
További információ: PFX-tanúsítványok exportálása titkos kulccsal.
Következő lépések
Tanúsítványok létrehozása az eszközhöz
- Azure PowerShell-parancsmagok használatával
- Az Azure Stack Hub Felkészültség-ellenőrző eszközének használatával.