Az Azure Stack Hub PKI-tanúsítványok gyakori problémáinak kijavítása
A cikkben található információk segítségével megismerheti és megoldhatja az Azure Stack Hub PKI-tanúsítványaival kapcsolatos gyakori problémákat. Problémákat fedezhet fel, ha az Azure Stack Hub készenlét-ellenőrző eszközével érvényesíti az Azure Stack Hub PKI-tanúsítványait. Az eszköz ellenőrzi, hogy a tanúsítványok megfelelnek-e az Azure Stack Hub üzemelő példányának PKI-követelményeinek és az Azure Stack Hub titkos kulcsrotálásának, majd naplózza az eredményeket egy report.json fájlban.
HTTP CRL – Figyelmeztetés
Probléma – A tanúsítvány nem tartalmaz HTTP CRL-t a CDP-bővítményben.
Javítás – Ez egy nem blokkoló probléma. Az Azure Stack http CRL-t igényel a visszavonás ellenőrzéséhez az Azure Stack Hub nyilvános kulcsú infrastruktúra (PKI) tanúsítványkövetelményei szerint. A rendszer nem észlelt HTTP CRL-t a tanúsítványon. A tanúsítvány-visszavonás ellenőrzésének működése érdekében a hitelesítésszolgáltatónak ki kell adnia egy HTTP CRL-t tartalmazó tanúsítványt a CDP-bővítményben.
HTTP CRL – Sikertelen
Probléma – Nem lehet csatlakozni a HTTP CRL-hez a CDP-bővítményben.
Javítás – Ez egy blokkolási probléma. Az Azure Stacknek csatlakoznia kell egy HTTP CRL-hez a visszavonás ellenőrzéséhez az Azure Stack Hub-portok és URL-címek közzététele (kimenő) szerint.
PFX-titkosítás
Probléma – A PFX-titkosítás nem TripleDES-SHA1.
Javítás – PFX-fájlok exportálása TripleDES-SHA1 titkosítással. Ez az alapértelmezett titkosítás az összes Windows 10 ügyfél számára a tanúsítvány beépülő modulból vagy a használatával Export-PFXCertificatetörténő exportáláskor.
PFX olvasása
Figyelmeztetés – A jelszó csak a tanúsítványban lévő személyes adatokat védi.
Javítás – PFX-fájlok exportálása a tanúsítványadatok védelmének engedélyezése opcionális beállítással.
Probléma – A PFX-fájl érvénytelen.
Javítás – Exportálja újra a tanúsítványt az Azure Stack Hub PKI-tanúsítványainak előkészítése az üzembe helyezéshez című cikk lépéseit követve.
Aláírási algoritmus
Probléma – Az aláírási algoritmus SHA1.
Javítás – Az Azure Stack Hub tanúsítvány-aláírási kérés létrehozásának lépéseit követve hozza létre újra a tanúsítvány-aláírási kérelmet (CSR) az SHA256 aláírási algoritmusával. Ezután küldje el újra a CSR-t a hitelesítésszolgáltatónak a tanúsítvány újbóli kiadásához.
Titkos kulcs
Probléma – A titkos kulcs hiányzik, vagy nem tartalmazza a helyi gép attribútumát.
Javítás – A CSR-t létrehozó számítógépről exportálja újra a tanúsítványt az Azure Stack Hub PKI-tanúsítványainak előkészítése az üzembe helyezéshez című cikk lépéseit követve. Ezek a lépések magukban foglalják a helyi gép tanúsítványtárolójából való exportálást.
Tanúsítványlánc
Probléma – A tanúsítványlánc nem fejeződött be.
Javítás – A tanúsítványoknak teljes tanúsítványláncot kell tartalmazniuk. Exportálja újra a tanúsítványt az Azure Stack Hub PKI-tanúsítványainak üzembe helyezésre való előkészítésével kapcsolatos lépésekkel, és válassza az Összes tanúsítvány belefoglalása a minősítési útvonalba lehetőséget, ha lehetséges.
DNS-nevek
Probléma – A tanúsítvány DNSNameList listája nem tartalmazza az Azure Stack Hub szolgáltatásvégpontjának nevét vagy egy érvényes helyettesítő karakteregyezést. A helyettesítő karakteres egyezések csak a DNS-név bal szélső névterére érvényesek. Például a csak a esetében portal.region.domain.comérvényes, *.region.domain.com nem *.table.region.domain.com.
Javítás – Az Azure Stack Hub-tanúsítványok aláírási kérésének létrehozásának lépéseit követve hozza létre újra a CSR-t a megfelelő DNS-névvel az Azure Stack Hub-végpontok támogatásához. Küldje el újra a CSR-t egy hitelesítésszolgáltatónak. Ezután kövesse az Azure Stack Hub PKI-tanúsítványainak üzembe helyezésre való előkészítésével kapcsolatos lépéseket a tanúsítvány CSR-t létrehozó gépről való exportálásához.
Kulcshasználat
Probléma – A kulcshasználat hiányzik a digitális aláírásból vagy a kulcsok titkosításából, vagy a kibővített kulcshasználatból hiányzik a kiszolgálóhitelesítés vagy az ügyfél-hitelesítés.
Javítás – Az Azure Stack Hub-tanúsítványok aláírási kérésének létrehozásának lépéseit követve hozza létre újra a CSR-t a megfelelő kulcshasználati attribútumokkal. Küldje el újra a CSR-t a hitelesítésszolgáltatónak, és győződjön meg arról, hogy egy tanúsítványsablon nem írja felül a kulcshasználatot a kérelemben.
Kulcsméret
Probléma – A kulcs mérete kisebb, mint 2048.
Javítás – Az Azure Stack Hub-tanúsítványok aláírási kérésének létrehozásának lépéseit követve hozza létre újra a CSR-t a megfelelő kulcshosszsal (2048), majd küldje el újra a CSR-t a hitelesítésszolgáltatónak.
Láncrend
Probléma – A tanúsítványlánc sorrendje helytelen.
Javítás – Exportálja újra a tanúsítványt az Azure Stack Hub PKI-tanúsítványainak üzembe helyezésre való előkészítésével kapcsolatos lépésekkel, és válassza az Összes tanúsítvány belefoglalása a minősítési útvonalba lehetőséget, ha lehetséges. Győződjön meg arról, hogy csak a levéltanúsítvány van kiválasztva exportálásra.
Egyéb tanúsítványok
Probléma – A PFX-csomag olyan tanúsítványokat tartalmaz, amelyek nem a levéltanúsítvány vagy a tanúsítványlánc részei.
Javítás – Exportálja újra a tanúsítványt az Azure Stack Hub PKI-tanúsítványok üzembe helyezésre való előkészítésének lépéseit követve, és ha lehetséges, válassza az Összes tanúsítvány belefoglalása a minősítési útvonalba lehetőséget. Győződjön meg arról, hogy csak a levéltanúsítvány van kiválasztva exportálásra.
A csomagolással kapcsolatos gyakori problémák elhárítása
Az AzsReadinessChecker eszköz tartalmaz egy Repair-AzsPfxCertificate nevű segédparancsmagot, amely képes importálni és exportálni egy PFX-fájlt a gyakori csomagolási problémák megoldásához, beleértve a következőket:
- A PFX-titkosítás nem TripleDES-SHA1.
- A titkos kulcs hiányzik a helyi gép attribútumából.
- A tanúsítványlánc hiányos vagy helytelen. A helyi gépnek tartalmaznia kell a tanúsítványláncot, ha a PFX-csomag nem.
- Egyéb tanúsítványok
A Repair-AzsPfxCertificate nem tud segíteni, ha új CSR-t kell létrehoznia, és újra létre kell hoznia egy tanúsítványt.
Előfeltételek
A következő előfeltételeknek kell teljesülniük azon a számítógépen, amelyen az eszköz fut:
Windows 10 vagy Windows Server 2016, internetkapcsolattal.
PowerShell 5.1 vagy újabb verzió. A verzió ellenőrzéséhez futtassa a következő PowerShell-parancsmagot, majd tekintse át a fő - és alverziókat :
$PSVersionTable.PSVersionKonfigurálja a PowerShellt az Azure Stack Hubhoz.
Töltse le az Azure Stack Hub készültségi ellenőrző eszközének legújabb verzióját.
Meglévő PFX-fájl importálása és exportálása
Az előfeltételeknek megfelelő számítógépen nyisson meg egy emelt szintű PowerShell-parancssort, majd futtassa a következő parancsot az Azure Stack Hub készenlét-ellenőrzőjének telepítéséhez:
Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrereleaseA PowerShell-parancssorban futtassa a következő parancsmagot a PFX-jelszó beállításához. Amikor a rendszer kéri, adja meg a jelszót:
$password = Read-Host -Prompt "Enter password" -AsSecureStringA PowerShell-parancssorban futtassa a következő parancsot egy új PFX-fájl exportálásához:
- A mezőben
-PfxPathadja meg annak a PFX-fájlnak az elérési útját, amellyel dolgozik. Az alábbi példában az elérési út a következő.\certificates\ssl.pfx: . - A mezőben
-ExportPFXPathadja meg az exportálandó PFX-fájl helyét és nevét. Az alábbi példában az elérési út a következő.\certificates\ssl_new.pfx:
Repair-AzsPfxCertificate -PfxPassword $password -PfxPath .\certificates\ssl.pfx -ExportPFXPath .\certificates\ssl_new.pfx- A mezőben
Az eszköz befejezése után tekintse át a kimenetet a sikeresség érdekében:
Repair-AzsPfxCertificate v1.1809.1005.1 started. Starting Azure Stack Hub Certificate Import/Export Importing PFX .\certificates\ssl.pfx into Local Machine Store Exporting certificate to .\certificates\ssl_new.pfx Export complete. Removing certificate from the local machine store. Removal complete. Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log Repair-AzsPfxCertificate Completed