Corrigir problemas comuns dos certificados PKI do Azure Stack Hub

As informações neste artigo ajudam você a entender e resolve problemas comuns com certificados PKI do Azure Stack Hub. Você pode descobrir problemas ao usar a ferramenta verificador de preparação do Azure Stack Hub para validar certificados PKI do Azure Stack Hub. A ferramenta verifica se os certificados atendem aos requisitos de PKI de uma implantação do Azure Stack Hub e da rotação secreta do Azure Stack Hub e registra os resultados em um arquivo report.json.

HTTP CRL – Aviso

Problema – o certificado não contém CRL HTTP na Extensão cdp.

Correção – esse é um problema sem bloqueio. O Azure Stack requer CRL HTTP para verificação de revogação de acordo com os requisitos de certificado PKI (infraestrutura de chave pública) do Azure Stack Hub. Uma CRL HTTP não foi detectada no certificado. Para garantir que a verificação de revogação de certificado funcione, a Autoridade de Certificação deve emitir um certificado com uma CRL HTTP na extensão cdp.

CRL HTTP – Falha

Problema – não é possível se conectar à CRL HTTP na Extensão CDP.

Correção – esse é um problema de bloqueio. O Azure Stack requer conectividade com uma CRL HTTP para verificação de revogação de acordo com a publicação de PORTAS e URLs do Azure Stack Hub (saída).

Criptografia PFX

Problema – a criptografia PFX não é TripleDES-SHA1.

Correção – exportar arquivos PFX com criptografia TripleDES-SHA1 . Essa é a criptografia padrão para todos os clientes do Windows 10 ao exportar do snap-in de certificado ou usar Export-PFXCertificate.

Ler PFX

Aviso – a senha protege apenas as informações privadas no certificado.

Correção – exportar arquivos PFX com a configuração opcional para Habilitar a privacidade do certificado.

Problema – arquivo PFX inválido.

Correção – exporte novamente o certificado usando as etapas em Preparar certificados PKI do Azure Stack Hub para implantação.

Algoritmo de assinatura

Problema – o algoritmo de assinatura é SHA1.

Correção – use as etapas na geração de solicitação de assinatura de certificados do Azure Stack Hub para regenerar a CSR (solicitação de assinatura de certificado) com o algoritmo de assinatura sha256. Em seguida, reenvie a CSR à autoridade de certificação para reemitir o certificado.

Chave privada

Problema – a chave privada está ausente ou não contém o atributo do computador local.

Correção – no computador que gerou a CSR, exporte novamente o certificado usando as etapas em Preparar certificados PKI do Azure Stack Hub para implantação. Essas etapas incluem a exportação do repositório de certificados do computador local.

Cadeia de certificados

Problema – a cadeia de certificados não está concluída.

Correção – os certificados devem conter uma cadeia de certificados completa. Exporte novamente o certificado usando as etapas em Preparar certificados PKI do Azure Stack Hub para implantação e selecione a opção Incluir todos os certificados no caminho de certificação, se possível.

Nomes DNS

Problema – O DNSNameList no certificado não contém o nome do ponto de extremidade de serviço do Azure Stack Hub ou uma correspondência de curinga válida. As correspondências curinga são válidas apenas para o namespace mais à esquerda do nome DNS. Por exemplo, *.region.domain.com só é válido para portal.region.domain.com, não *.table.region.domain.compara .

Correção – use as etapas na geração de solicitação de assinatura de certificados do Azure Stack Hub para regenerar a CSR com os nomes DNS corretos para dar suporte aos pontos de extremidade do Azure Stack Hub. Reenvie a CSR para uma autoridade de certificação. Em seguida, siga as etapas em Preparar certificados PKI do Azure Stack Hub para implantação para exportar o certificado do computador que gerou a CSR.

Uso de chave

Problema – o uso de chave não tem assinatura digital ou codificação de chave, ou o uso aprimorado de chave não tem autenticação de servidor ou autenticação de cliente.

Correção – use as etapas na geração de solicitação de assinatura de certificados do Azure Stack Hub para regenerar a CSR com os atributos de uso de chave corretos. Reenvie a CSR para a autoridade de certificação e confirme se um modelo de certificado não está substituindo o uso da chave na solicitação.

Tamanho da chave

Problema – o tamanho da chave é menor que 2048.

Correção – use as etapas na geração de solicitação de assinatura de certificados do Azure Stack Hub para regenerar a CSR com o comprimento correto da chave (2048) e reenviar a CSR para a autoridade de certificação.

Ordem de cadeia

Problema – a ordem da cadeia de certificados está incorreta.

Correção – exporte novamente o certificado usando as etapas em Preparar certificados PKI do Azure Stack Hub para implantação e selecione a opção Incluir todos os certificados no caminho de certificação, se possível. Verifique se apenas o certificado folha está selecionado para exportação.

Outros certificados

Problema – o pacote PFX contém certificados que não são o certificado folha ou parte da cadeia de certificados.

Correção – exporte novamente o certificado usando as etapas em Preparar certificados PKI do Azure Stack Hub para implantação e selecione a opção Incluir todos os certificados no caminho de certificação, se possível. Verifique se apenas o certificado folha está selecionado para exportação.

Corrigir problemas comuns de empacotamento

A ferramenta AzsReadinessChecker contém um cmdlet auxiliar chamado Repair-AzsPfxCertificate, que pode importar e exportar um arquivo PFX para corrigir problemas comuns de empacotamento, incluindo:

• A criptografia PFX não é TripleDES-SHA1.
• A chave privada não tem o atributo de computador local.
• A cadeia de certificados está incompleta ou incorreta. O computador local deverá conter a cadeia de certificados se o pacote PFX não contiver.
• Outros certificados

Repair-AzsPfxCertificate não poderá ajudar se você precisar gerar uma nova CSR e reemite um certificado.

Pré-requisitos

Os seguintes pré-requisitos devem estar em vigor no computador no qual a ferramenta é executada:

• Windows 10 ou Windows Server 2016, com conectividade com a Internet.

• PowerShell 5.1 ou posterior. Para marcar sua versão, execute o seguinte cmdlet do PowerShell e examine as versões Principal e Secundária:

  $PSVersionTable.PSVersion
  

• Configure o PowerShell para o Azure Stack Hub.

• Baixe a versão mais recente da ferramenta de verificação de preparação do Azure Stack Hub .

Importar e exportar um arquivo PFX existente

1. Em um computador que atenda aos pré-requisitos, abra um prompt do PowerShell com privilégios elevados e execute o seguinte comando para instalar o verificador de preparação do Azure Stack Hub:

   Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
   

2. No prompt do PowerShell, execute o cmdlet a seguir para definir a senha PFX. Insira a senha quando solicitado:

   $password = Read-Host -Prompt "Enter password" -AsSecureString
   

3. No prompt do PowerShell, execute o seguinte comando para exportar um novo arquivo PFX:

   • Para -PfxPath, especifique o caminho para o arquivo PFX com o qual você está trabalhando. No exemplo a seguir, o caminho é .\certificates\ssl.pfx.
   • Para -ExportPFXPath, especifique o local e o nome do arquivo PFX para exportação. No exemplo a seguir, o caminho é .\certificates\ssl_new.pfx:

   Repair-AzsPfxCertificate -PfxPassword $password -PfxPath .\certificates\ssl.pfx -ExportPFXPath .\certificates\ssl_new.pfx
   

4. Após a conclusão da ferramenta, examine a saída para obter êxito:

   Repair-AzsPfxCertificate v1.1809.1005.1 started.
   Starting Azure Stack Hub Certificate Import/Export
   Importing PFX .\certificates\ssl.pfx into Local Machine Store
   Exporting certificate to .\certificates\ssl_new.pfx
   Export complete. Removing certificate from the local machine store.
   Removal complete.
   Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
   Repair-AzsPfxCertificate Completed
   

Próximas etapas

• Saiba mais sobre a segurança do Azure Stack Hub