Memperbaiki masalah umum dengan sertifikat PKI Azure Stack Hub

Informasi dalam artikel ini membantu Anda memahami dan menyelesaikan masalah umum dengan sertifikat Azure Stack Hub PKI. Anda dapat menemukan masalah saat menggunakan alat Azure Stack Hub Readiness Checker untuk Memvalidasi sertifikat Azure Stack PKI. Alat ini memeriksa apakah sertifikat memenuhi persyaratan PKI dari penyebaran Azure Stack Hub dan rotasi rahasia Azure Stack Hub, lalu mencatat hasilnya ke file report.json.

HTTP CRL - Peringatan

Masalah - Sertifikat tidak berisi HTTP CRL dalam Ekstensi CDP.

Solusi - Ini adalah masalah non-pemblokiran. Azure Stack memerlukan HTTP CRL untuk pemeriksaan pencabutan sesuai persyaratan sertifikat infrastruktur kunci publik (PKI) Azure Stack Hub. CRL HTTP tidak terdeteksi pada sertifikat. Untuk memastikan pemeriksaan pencabutan sertifikat berfungsi, Otoritas Sertifikat harus mengeluarkan sertifikat dengan CRL HTTP dalam ekstensi CDP.

HTTP CRL - Gagal

Masalah - Tidak dapat terhubung ke HTTP CRL di Ekstensi CDP.

Solusi - Ini adalah masalah pemblokiran. Azure Stack memerlukan konektivitas ke CRL HTTP untuk pemeriksaan pencabutan sesuai Menerbitkan Port dan URL Azure Stack Hub (keluar).

Enkripsi PFX

Masalah - Enkripsi PFX bukan TripleDES-SHA1.

Solusi - Ekspor file PFX dengan enkripsi TripleDES-SHA1. Ini adalah enkripsi default untuk semua klien Windows 10 saat mengekspor dari snap-in sertifikat atau menggunakan Export-PFXCertificate.

Read PFX

Peringatan - Kata sandi hanya melindungi informasi pribadi dalam sertifikat.

Solusi - Ekspor file PFX dengan pengaturan opsional untuk Mengaktifkan privasi sertifikat.

Masalah - file PFX tidak valid.

Solusi - Ekspor ulang sertifikat menggunakan langkah-langkah dalam Menyiapkan sertifikat Azure Stack Hub PKI untuk penyebaran.

Algoritma tanda tangan

Masalah - Algoritma tanda tangan adalah SHA1.

Solusi - Gunakan langkah-langkah dalam pembuatan permintaan penandatanganan sertifikat Azure Stack Hub untuk meregenerasi permintaan penandatanganan sertifikat (CSR) dengan algoritma tanda tangan SHA256. Kemudian kirimkan kembali CSR ke otoritas sertifikat untuk menerbitkan kembali sertifikat.

Kunci privat

Masalah - Kunci privat hilang atau tidak berisi atribut komputer lokal.

Solusi - Dari komputer yang menghasilkan CSR, ekspor kembali sertifikat menggunakan langkah-langkah dalam Menyiapkan sertifikat Azure Stack Hub PKI untuk penyebaran. Langkah-langkah ini termasuk mengekspor dari penyimpanan sertifikat komputer lokal.

Rantai Sertifikat

Masalah - Rantai sertifikat tidak lengkap.

Solusi - Sertifikat harus berisi rantai sertifikat lengkap. Ekspor kembali sertifikat menggunakan langkah-langkah dalam Menyiapkan sertifikat Azure Stack Hub PKI untuk penyebaran lalu pilih opsi Sertakan semua sertifikat di jalur sertifikasi jika memungkinkan.

nama DNS

Masalah - DNSNameList pada sertifikat tidak berisi nama titik akhir layanan Azure Stack Hub atau kecocokan karakter kartubebas yang valid. Kecocokan karakter kartubebas hanya berlaku untuk kumpulan nama XML paling kiri dari nama DNS. Misalnya, *.region.domain.com hanya berlaku untuk portal.region.domain.com, bukan *.table.region.domain.com.

Solusi - Gunakan langkah-langkah dalam pembuatan permintaan penandatanganan sertifikat Azure Stack Hub untuk meregenerasi CSR dengan nama DNS yang benar untuk mendukung titik akhir Azure Stack Hub. Mengirimkan kembali CSR ke otoritas sertifikat. Kemudian ikuti langkah-langkah di Menyiapkan sertifikat Azure Stack Hub PKI untuk penyebaran untuk mengekspor sertifikat dari komputer yang menghasilkan CSR.

Penggunaan kunci

Masalah - Penggunaan kunci tidak memiliki tanda tangan digital atau penyandian kunci, atau penggunaan kunci yang ditingkatkan tidak memiliki autentikasi server atau autentikasi klien.

Solusi - Gunakan langkah-langkah dalam Pembuatan permintaan penandatanganan sertifikat Azure Stack Hub untuk meregenerasi CSR dengan atribut penggunaan kunci yang benar. Kirim kembali CSR ke otoritas sertifikat dan konfirmasikan bahwa templat sertifikat tidak menimpa penggunaan kunci dalam permintaan.

Ukuran kunci

Masalah - Ukuran kunci lebih kecil dari 2048.

Solusi - Gunakan langkah-langkah dalam Pembuatan permintaan penandatanganan sertifikat Azure Stack Hub untuk meregenerasi CSR dengan panjang kunci yang benar (2048), lalu kirim kembali CSR ke otoritas sertifikat.

Urutan rantai

Masalah - Urutan rantai sertifikat tidak benar.

Solusi - Ekspor kembali sertifikat menggunakan langkah-langkah dalam Menyiapkan sertifikat Azure Stack Hub PKI untuk penyebaran lalu pilih opsi Sertakan semua sertifikat di jalur sertifikasi apabila memungkinkan. Pastikan hanya sertifikat node leaf yang dipilih untuk diekspor.

Sertifikat lainnya

Masalah - Paket PFX berisi sertifikat yang bukan sertifikat node leaf atau bagian dari rantai sertifikat.

Solusi - Ekspor kembali sertifikat menggunakan langkah-langkah dalam Menyiapkan sertifikat Azure Stack Hub PKI untuk penyebaran lalu pilih opsi Sertakan semua sertifikat di jalur sertifikasi apabila memungkinkan. Pastikan hanya sertifikat node leaf yang dipilih untuk diekspor.

Memperbaiki masalah pengemasan umum

Alat AzsReadinessChecker berisi cmdlet pembantu yang disebut Repair-AzsPfxCertificate, yang dapat mengimpor lalu mengekspor file PFX untuk memperbaiki masalah kemasan umum, termasuk:

• Enkripsi PFX bukan TripleDES-SHA1.
• Kunci privat tidak memiliki atribut komputer lokal.
• Rantai sertifikat tidak lengkap atau salah. Komputer lokal harus berisi rantai sertifikat jika paket PFX tidak punya.
• Sertifikat lainnya

Repair-AzsPfxCertificate tidak dapat membantu jika Anda perlu menghasilkan CSR baru dan menerbitkan kembali sertifikat.

Prasyarat

Prasyarat berikut harus ada di komputer tempat alat dijalankan:

• Windows 10 atau Windows Server 2016, dengan konektivitas internet.

• PowerShell 5.1 atau yang lebih baru. Untuk memeriksa versi Anda, jalankan cmdlet PowerShell berikut lalu tinjau versi Utama dan versi Minor:

  $PSVersionTable.PSVersion
  

• Konfigurasikan PowerShell untuk Azure Stack Hub.

• Unduh versi terbaru dari alat pemeriksa kesiapan Azure Stack Hub.

Mengimpor dan mengekspor File PFX yang sudah ada

1. Pada komputer yang memenuhi prasyarat, buka permintaan PowerShell yang ditinggikan, lalu jalankan perintah berikut untuk menginstal pemeriksa kesiapan Azure Stack Hub:

   Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
   

2. Dari permintaan PowerShell, jalankan cmdlet berikut untuk mengatur kata sandi PFX. Masukkan kata sandi saat diminta:

   $password = Read-Host -Prompt "Enter password" -AsSecureString
   

3. Dari permintaan PowerShell, jalankan perintah berikut untuk mengekspor file PFX baru:

   • Untuk -PfxPath, tentukan jalur ke file PFX yang sedang Anda kerjakan. Dalam contoh berikut, jalurnya adalah .\certificates\ssl.pfx.
   • Untuk -ExportPFXPath, tentukan lokasi dan nama file PFX untuk diekspor. Dalam contoh berikut, jalurnya adalah .\certificates\ssl_new.pfx:

   Repair-AzsPfxCertificate -PfxPassword $password -PfxPath .\certificates\ssl.pfx -ExportPFXPath .\certificates\ssl_new.pfx
   

4. Setelah alat selesai, tinjau output untuk sukses:

   Repair-AzsPfxCertificate v1.1809.1005.1 started.
   Starting Azure Stack Hub Certificate Import/Export
   Importing PFX .\certificates\ssl.pfx into Local Machine Store
   Exporting certificate to .\certificates\ssl_new.pfx
   Export complete. Removing certificate from the local machine store.
   Removal complete.
   Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
   Repair-AzsPfxCertificate Completed
   

Langkah berikutnya

• Pelajari lebih lanjut keamanan Azure Stack Hub