Udostępnij za pośrednictwem


Rozwiązywanie typowych problemów z certyfikatami infrastruktury kluczy publicznych usługi Azure Stack Hub

Informacje zawarte w tym artykule pomagają zrozumieć i rozwiązać typowe problemy z certyfikatami infrastruktury kluczy publicznych usługi Azure Stack Hub. Problemy mogą wystąpić podczas korzystania z narzędzia do sprawdzania gotowości usługi Azure Stack Hub do weryfikowania certyfikatów infrastruktury kluczy publicznych usługi Azure Stack Hub. Narzędzie sprawdza, czy certyfikaty spełniają wymagania infrastruktury kluczy publicznych wdrożenia usługi Azure Stack Hub i rotacji wpisów tajnych usługi Azure Stack Hub, a następnie rejestruje wyniki w pliku report.json.

Lista CRL protokołu HTTP — ostrzeżenie

Problem — certyfikat nie zawiera listy CRL PROTOKOŁU HTTP w rozszerzeniu CDP.

Poprawka — jest to problem, który nie blokuje. Usługa Azure Stack wymaga listy CRL protokołu HTTP na potrzeby sprawdzania odwołania zgodnie z wymaganiami dotyczącymi certyfikatu infrastruktury kluczy publicznych (PKI) usługi Azure Stack Hub. Na certyfikacie nie wykryto listy CRL protokołu HTTP. Aby upewnić się, że sprawdzanie odwołania certyfikatów działa, urząd certyfikacji powinien wydać certyfikat z listą CRL PROTOKOŁU HTTP w rozszerzeniu CDP.

Lista CRL PROTOKOŁU HTTP — niepowodzenie

Problem — nie można nawiązać połączenia z listą CRL PROTOKOŁU HTTP w rozszerzeniu CDP.

Rozwiązanie — jest to problem z blokowaniem. Usługa Azure Stack wymaga łączności z listą CRL PROTOKOŁU HTTP w celu sprawdzenia odwołania zgodnie z danymi dotyczącymi publikowania portów i adresów URL usługi Azure Stack Hub (wychodzących).

Szyfrowanie PFX

Problem — szyfrowanie PFX nie jest algorytmem TripleDES-SHA1.

Poprawka — eksportowanie plików PFX za pomocą szyfrowania TripleDES-SHA1 . Jest to domyślne szyfrowanie dla wszystkich klientów Windows 10 podczas eksportowania z przystawki certyfikatu lub przy użyciu polecenia Export-PFXCertificate.

Odczytywanie pliku PFX

Ostrzeżenie — hasło chroni tylko informacje prywatne w certyfikacie.

Poprawka — wyeksportuj pliki PFX z opcjonalnym ustawieniem Włącz prywatność certyfikatu.

Problem — nieprawidłowy plik PFX.

Poprawka — wyeksportuj ponownie certyfikat, wykonując kroki opisane w temacie Przygotowywanie certyfikatów PKI usługi Azure Stack Hub do wdrożenia.

Algorytm podpisu

Problem — algorytm podpisu to SHA1.

Poprawka — wykonaj kroki generowania żądania podpisania certyfikatów usługi Azure Stack Hub, aby ponownie wygenerować żądanie podpisania certyfikatu (CSR) przy użyciu algorytmu podpisu SHA256. Następnie ponownie prześlij żądanie CSR do urzędu certyfikacji w celu ponownego zainicjowania certyfikatu.

Klucz prywatny

Problem — brakuje klucza prywatnego lub nie zawiera atrybutu komputera lokalnego.

Poprawka — na komputerze, który wygenerował żądanie CSR, wyeksportuj ponownie certyfikat, wykonując kroki opisane w temacie Przygotowywanie certyfikatów infrastruktury kluczy publicznych usługi Azure Stack Hub do wdrożenia. Te kroki obejmują eksportowanie z magazynu certyfikatów komputera lokalnego.

Łańcuch certyfikatów

Problem — łańcuch certyfikatów nie został ukończony.

Poprawka — certyfikaty powinny zawierać pełny łańcuch certyfikatów. Wyeksportuj ponownie certyfikat, wykonując kroki opisane w artykule Przygotowywanie certyfikatów PKI usługi Azure Stack Hub do wdrożenia i wybierz opcję Uwzględnij wszystkie certyfikaty w ścieżce certyfikacji, jeśli to możliwe.

Nazwy DNS

Problem — lista DNSNameList w certyfikacie nie zawiera nazwy punktu końcowego usługi Azure Stack Hub ani prawidłowego dopasowania symboli wieloznacznych. Dopasowania symboli wieloznacznych są prawidłowe tylko dla lewej przestrzeni nazw DNS. Na przykład *.region.domain.com parametr jest prawidłowy tylko dla portal.region.domain.comelementu , a nie *.table.region.domain.com.

Poprawka — wykonaj kroki generowania żądania podpisania certyfikatów usługi Azure Stack Hub, aby ponownie wygenerować żądanie CSR przy użyciu poprawnych nazw DNS do obsługi punktów końcowych usługi Azure Stack Hub. Prześlij ponownie żądanie CSR do urzędu certyfikacji. Następnie wykonaj kroki opisane w temacie Przygotowywanie certyfikatów PKI usługi Azure Stack Hub do wdrożenia w celu wyeksportowania certyfikatu z maszyny, która wygenerowała żądanie CSR.

Użycie klucza

Problem — brakuje podpisu cyfrowego lub szyfrowania klucza lub ulepszonego użycia klucza brakuje uwierzytelniania serwera lub uwierzytelniania klienta.

Poprawka — wykonaj kroki generowania żądania podpisania certyfikatów usługi Azure Stack Hub , aby ponownie wygenerować żądanie CSR z odpowiednimi atrybutami użycia klucza. Prześlij ponownie żądanie CSR do urzędu certyfikacji i upewnij się, że szablon certyfikatu nie przesłania użycia klucza w żądaniu.

Rozmiar klucza

Problem — rozmiar klucza jest mniejszy niż 2048.

Poprawka — wykonaj kroki generowania żądania podpisania certyfikatów usługi Azure Stack Hub , aby ponownie wygenerować żądanie CSR z prawidłową długością klucza (2048), a następnie ponownie prześlij żądanie CSR do urzędu certyfikacji.

Kolejność łańcucha

Problem — kolejność łańcucha certyfikatów jest niepoprawna.

Poprawka — wyeksportuj ponownie certyfikat, wykonując kroki opisane w artykule Przygotowywanie certyfikatów PKI usługi Azure Stack Hub do wdrożenia i wybierz opcję Uwzględnij wszystkie certyfikaty w ścieżce certyfikacji, jeśli to możliwe. Upewnij się, że do eksportu wybrano tylko certyfikat liścia.

Inne certyfikaty

Problem — pakiet PFX zawiera certyfikaty, które nie są certyfikatem liścia ani częścią łańcucha certyfikatów.

Poprawka — wyeksportuj ponownie certyfikat, wykonując kroki opisane w temacie Przygotowywanie certyfikatów PKI usługi Azure Stack Hub do wdrożenia, a następnie wybierz opcję Uwzględnij wszystkie certyfikaty w ścieżce certyfikacji, jeśli to możliwe. Upewnij się, że do eksportu wybrano tylko certyfikat liścia.

Rozwiązywanie typowych problemów z pakowaniem

Narzędzie AzsReadinessChecker zawiera polecenie cmdlet pomocnika o nazwie Repair-AzsPfxCertificate, które może importować, a następnie eksportować plik PFX, aby rozwiązać typowe problemy z pakowaniem, w tym:

  • Szyfrowanie PFX nie jest algorytmem TripleDES-SHA1.
  • W kluczu prywatnym brakuje atrybutu komputera lokalnego.
  • Łańcuch certyfikatów jest niekompletny lub nieprawidłowy. Komputer lokalny musi zawierać łańcuch certyfikatów, jeśli pakiet PFX nie jest.
  • Inne certyfikaty

Repair-AzsPfxCertificate nie może pomóc, jeśli musisz wygenerować nowy żądanie CSR i ponownie zainicjować certyfikat.

Wymagania wstępne

Na komputerze, na którym działa narzędzie, należy spełnić następujące wymagania wstępne:

Importowanie i eksportowanie istniejącego pliku PFX

  1. Na komputerze spełniającym wymagania wstępne otwórz wiersz programu PowerShell z podwyższonym poziomem uprawnień, a następnie uruchom następujące polecenie, aby zainstalować narzędzie sprawdzania gotowości usługi Azure Stack Hub:

    Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
    
  2. W wierszu polecenia programu PowerShell uruchom następujące polecenie cmdlet, aby ustawić hasło PFX. Po wyświetleniu monitu wprowadź hasło:

    $password = Read-Host -Prompt "Enter password" -AsSecureString
    
  3. W wierszu polecenia programu PowerShell uruchom następujące polecenie, aby wyeksportować nowy plik PFX:

    • W polu -PfxPathokreśl ścieżkę do pliku PFX, z którym pracujesz. W poniższym przykładzie ścieżka to .\certificates\ssl.pfx.
    • W polu -ExportPFXPathokreśl lokalizację i nazwę pliku PFX do wyeksportowania. W poniższym przykładzie ścieżka to .\certificates\ssl_new.pfx:
    Repair-AzsPfxCertificate -PfxPassword $password -PfxPath .\certificates\ssl.pfx -ExportPFXPath .\certificates\ssl_new.pfx
    
  4. Po zakończeniu działania narzędzia przejrzyj dane wyjściowe pod kątem powodzenia:

    Repair-AzsPfxCertificate v1.1809.1005.1 started.
    Starting Azure Stack Hub Certificate Import/Export
    Importing PFX .\certificates\ssl.pfx into Local Machine Store
    Exporting certificate to .\certificates\ssl_new.pfx
    Export complete. Removing certificate from the local machine store.
    Removal complete.
    Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
    Repair-AzsPfxCertificate Completed
    

Następne kroki