Corrigir problemas comuns dos certificados PKI do Azure Stack Hub
As informações neste artigo ajudam-no a compreender e a resolver problemas comuns com certificados PKI do Azure Stack Hub. Pode detetar problemas ao utilizar a ferramenta Verificador de Preparação do Azure Stack Hub para validar certificados PKI do Azure Stack Hub. A ferramenta verifica se os certificados cumprem os requisitos de PKI de uma implementação do Azure Stack Hub e da rotação de segredos do Azure Stack Hub e, em seguida, regista os resultados num ficheiro report.json.
Problema – o certificado não contém CRL HTTP na Extensão CDP.
Correção – trata-se de um problema que não está a bloquear. O Azure Stack requer o CRL HTTP para verificação de revogação de acordo com os requisitos de certificado da infraestrutura de chaves públicas (PKI) do Azure Stack Hub. Não foi detetado um CRL HTTP no certificado. Para garantir que a verificação da revogação de certificados funciona, a Autoridade de Certificação deve emitir um certificado com um CRL HTTP na extensão CDP.
Problema – não é possível ligar ao CRL HTTP na Extensão CDP.
Correção – trata-se de um problema de bloqueio. O Azure Stack requer conectividade a um CRL HTTP para verificação de revogação de acordo com a Publicação de Portas e URLs do Azure Stack Hub (saída).
Problema – a encriptação PFX não é TripleDES-SHA1.
Correção – exportar ficheiros PFX com encriptação TripleDES-SHA1 . Esta é a encriptação predefinida para todos os clientes Windows 10 ao exportar do snap-in do certificado ou ao utilizar Export-PFXCertificate
o .
Aviso – a palavra-passe protege apenas as informações privadas no certificado.
Correção – exporte ficheiros PFX com a definição opcional para Ativar a privacidade do certificado.
Problema – ficheiro PFX inválido.
Correção – exporte novamente o certificado com os passos em Preparar certificados PKI do Azure Stack Hub para implementação.
Problema – o algoritmo de assinatura é SHA1.
Correção – utilize os passos na geração de pedidos de assinatura de certificados do Azure Stack Hub para regenerar o pedido de assinatura de certificados (CSR) com o algoritmo de assinatura SHA256. Em seguida, volte a submeter o CSR à autoridade de certificação para reeditar o certificado.
Problema – a chave privada está em falta ou não contém o atributo do computador local.
Correção – no computador que gerou o CSR, exporte novamente o certificado com os passos em Preparar certificados PKI do Azure Stack Hub para implementação. Estes passos incluem a exportação do arquivo de certificados do computador local.
Problema – a cadeia de certificados não está concluída.
Correção – os certificados devem conter uma cadeia de certificados completa. Exporte novamente o certificado com os passos em Preparar certificados PKI do Azure Stack Hub para implementação e selecione a opção Incluir todos os certificados no caminho de certificação, se possível.
Problema – o DNSNameList no certificado não contém o nome do ponto final de serviço do Azure Stack Hub ou uma correspondência de carateres universais válida. As correspondências de carateres universais só são válidas para o espaço de nomes mais à esquerda do nome DNS. Por exemplo, *.region.domain.com
só é válido para , não *.table.region.domain.com
para portal.region.domain.com
.
Correção – utilize os passos na geração de pedidos de assinatura de certificados do Azure Stack Hub para regenerar o CSR com os nomes DNS corretos para suportar pontos finais do Azure Stack Hub. Volte a submeter o CSR a uma autoridade de certificação. Em seguida, siga os passos em Preparar certificados PKI do Azure Stack Hub para implementação para exportar o certificado do computador que gerou o CSR.
Problema – a utilização da chave está em falta na assinatura digital ou na cifragem da chave ou a utilização de chave melhorada está em falta na autenticação do servidor ou na autenticação do cliente.
Correção – utilize os passos na geração de pedidos de assinatura de certificados do Azure Stack Hub para regenerar o CSR com os atributos de utilização da chave corretos. Volte a submeter o CSR à autoridade de certificação e confirme que um modelo de certificado não está a substituir a utilização da chave no pedido.
Problema – o tamanho da chave é inferior a 2048.
Correção – utilize os passos na geração de pedidos de assinatura de certificados do Azure Stack Hub para regenerar o CSR com o comprimento de chave correto (2048) e, em seguida, volte a submeter o CSR à autoridade de certificação.
Problema – a ordem da cadeia de certificados está incorreta.
Correção – exporte novamente o certificado com os passos em Preparar certificados PKI do Azure Stack Hub para implementação e selecione a opção Incluir todos os certificados no caminho de certificação, se possível. Certifique-se de que apenas o certificado de folha está selecionado para exportação.
Problema – o pacote PFX contém certificados que não são o certificado de folha ou parte da cadeia de certificados.
Correção – exporte novamente o certificado com os passos em Preparar certificados PKI do Azure Stack Hub para implementação e selecione a opção Incluir todos os certificados no caminho de certificação, se possível. Certifique-se de que apenas o certificado de folha está selecionado para exportação.
A ferramenta AzsReadinessChecker contém um cmdlet auxiliar denominado Repair-AzsPfxCertificate, que pode importar e exportar um ficheiro PFX para corrigir problemas comuns de empacotamento, incluindo:
- A encriptação PFX não é TripleDES-SHA1.
- Falta o atributo do computador local da chave privada.
- A cadeia de certificados está incompleta ou errada. O computador local tem de conter a cadeia de certificados se o pacote PFX não o fizer.
- Outros certificados
Repair-AzsPfxCertificate não pode ajudar se precisar de gerar um novo CSR e voltar a enviar um certificado.
Os seguintes pré-requisitos têm de estar implementados no computador no qual a ferramenta é executada:
Windows 10 ou Windows Server 2016, com conectividade à Internet.
PowerShell 5.1 ou posterior. Para verificar a sua versão, execute o seguinte cmdlet do PowerShell e, em seguida, reveja as versões Principal e Secundária :
$PSVersionTable.PSVersion
Configurar o PowerShell para o Azure Stack Hub.
Transfira a versão mais recente da ferramenta de verificação de preparação do Azure Stack Hub .
Num computador que cumpra os pré-requisitos, abra uma linha de comandos elevada do PowerShell e, em seguida, execute o seguinte comando para instalar o verificador de preparação do Azure Stack Hub:
Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
Na linha de comandos do PowerShell, execute o seguinte cmdlet para definir a palavra-passe PFX. Introduza a palavra-passe quando lhe for pedido:
$password = Read-Host -Prompt "Enter password" -AsSecureString
Na linha de comandos do PowerShell, execute o seguinte comando para exportar um novo ficheiro PFX:
- Para
-PfxPath
, especifique o caminho para o ficheiro PFX com o qual está a trabalhar. No exemplo seguinte, o caminho é.\certificates\ssl.pfx
. - Para
-ExportPFXPath
, especifique a localização e o nome do ficheiro PFX para exportação. No exemplo seguinte, o caminho é.\certificates\ssl_new.pfx
:
Repair-AzsPfxCertificate -PfxPassword $password -PfxPath .\certificates\ssl.pfx -ExportPFXPath .\certificates\ssl_new.pfx
- Para
Após a conclusão da ferramenta, reveja a saída para obter êxito:
Repair-AzsPfxCertificate v1.1809.1005.1 started. Starting Azure Stack Hub Certificate Import/Export Importing PFX .\certificates\ssl.pfx into Local Machine Store Exporting certificate to .\certificates\ssl_new.pfx Export complete. Removing certificate from the local machine store. Removal complete. Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log Repair-AzsPfxCertificate Completed