Partilhar via


Requisitos dos certificados

APLICA-SE A: Sim para Pro GPU SKUAzure Stack Edge Pro - GPUSim para Pro 2 SKUAzure Stack Edge Pro 2Sim para Pro R SKUAzure Stack Edge Pro RSim para Mini R SKUAzure Stack Edge Mini R

Este artigo descreve os requisitos de certificado que devem ser atendidos antes que os certificados possam ser instalados em seu dispositivo Azure Stack Edge Pro. Os requisitos estão relacionados com certificados PFX, autoridade emissora, nome da entidade do certificado e nome alternativo da entidade e algoritmos de certificados suportados.

Autoridade emissora do certificado

Os requisitos de emissão de certificados são os seguintes:

  • Os certificados devem ser emitidos por uma autoridade de certificação interna ou por uma autoridade de certificação pública.

  • Não há suporte para o uso de certificados autoassinados.

  • O campo Emitido para: do certificado não deve ser o mesmo que o campo Emitido por:, exceto para certificados de autoridade de certificação raiz.

Algoritmos de certificado

Apenas os certificados Rivest–Shamir–Adleman (RSA) são suportados com o seu dispositivo. Não há suporte para certificados ECDSA (Elliptic Curve Digital Signature Algorithm).

Os certificados que contêm uma chave pública RSA são referidos como certificados RSA. Os certificados que contêm uma chave pública ECC (Elliptic Curve Cryptographic) são chamados de certificados ECDSA (Elliptic Curve Digital Signature Algorithm).

Os requisitos do algoritmo de certificado são os seguintes:

  • Os certificados devem usar o algoritmo de chave RSA.

  • Apenas certificados RSA com Microsoft RSA/Schannel Cryptographic Provider são suportados.

  • O algoritmo de assinatura de certificado não pode ser SHA1.

  • O tamanho mínimo da chave é 4096.

Nome da entidade do certificado e nome alternativo da entidade

Os certificados devem atender aos seguintes requisitos de nome de entidade e nome alternativo de entidade:

  • Você pode usar um único certificado que abranja todos os namespaces nos campos SAN (Nome Alternativo da Entidade) do certificado. Como alternativa, você pode usar certificados individuais para cada um dos namespaces. Ambas as abordagens exigem o uso de curingas para pontos de extremidade, quando necessário, como objeto binário grande (Blob).

  • Certifique-se de que os nomes de entidade (nome comum no nome da entidade) fazem parte de nomes alternativos de entidade na extensão de nome alternativo da entidade.

  • Você pode usar um único certificado curinga que cubra todos os espaços de nome nos campos SAN do certificado.

  • Use a tabela a seguir ao criar um certificado de ponto de extremidade:

    Type Nome do assunto (SN) Nome alternativo da entidade (SAN) Exemplo de nome do assunto
    Azure Resource Manager management.<Device name>.<Dns Domain> login.<Device name>.<Dns Domain>
    management.<Device name>.<Dns Domain>
    management.mydevice1.microsoftdatabox.com
    Armazenamento de Blobs *.blob.<Device name>.<Dns Domain> *.blob.< Device name>.<Dns Domain> *.blob.mydevice1.microsoftdatabox.com
    Interface do usuário local <Device name>.<DnsDomain> <Device name>.<DnsDomain> mydevice1.microsoftdatabox.com
    Certificado único Multi-SAN para ambos os endpoints <Device name>.<dnsdomain> <Device name>.<dnsdomain>
    login.<Device name>.<Dns Domain>
    management.<Device name>.<Dns Domain>
    *.blob.<Device name>.<Dns Domain>
    mydevice1.microsoftdatabox.com
    <NodeSerialNo>.<DnsDomain> *.<DnsDomain>

    <NodeSerialNo>.<DnsDomain>
    mydevice1.microsoftdatabox.com
    VPN AzureStackEdgeVPNCertificate.<DnsDomain>

    * AzureStackEdgeVPNCertificate é codificado.
    *.<DnsDomain>

    <AzureStackVPN>.<DnsDomain>
    edgevpncertificate.microsoftdatabox.com

Certificado PFX

Os certificados PFX instalados em seu dispositivo Azure Stack Edge Pro devem atender aos seguintes requisitos:

  • Quando você obtém seus certificados da autoridade SSL, certifique-se de obter a cadeia de assinatura completa para os certificados.

  • Ao exportar um certificado PFX, certifique-se de ter selecionado a opção Incluir todos os certificados na cadeia, se possível .

  • Use um certificado PFX para ponto de extremidade, interface do usuário local, nó, VPN e Wi-Fi, pois as chaves pública e privada são necessárias para o Azure Stack Edge Pro. A chave privada deve ter o atributo de chave da máquina local definido.

  • A criptografia PFX do certificado deve ser 3DES. Essa é a criptografia padrão usada ao exportar de um cliente Windows 10 ou armazenamento de certificados do Windows Server 2016. Para obter mais informações relacionadas ao 3DES, consulte Triple DES.

  • Os arquivos PFX de certificado devem ter valores válidos de Assinatura Digital e KeyEncipherment no campo Uso de Chave .

  • Os arquivos PFX de certificado devem ter os valores Autenticação do servidor (1.3.6.1.5.5.7.3.1) e Autenticação do cliente (1.3.6.1.5.5.7.3.2) no campo Uso avançado da chave.

  • As senhas para todos os arquivos PFX de certificado devem ser as mesmas no momento da implantação se você estiver usando a Ferramenta Verificador de Preparação de Pilha do Azure. Para obter mais informações, consulte Criar certificados para o Azure Stack Edge Pro usando a ferramenta Azure Stack Hub Readiness Checker.

  • A senha para o certificado PFX deve ser uma senha complexa. Anote essa senha porque ela é usada como um parâmetro de implantação.

  • Use apenas certificados RSA com o provedor de criptografia Microsoft RSA/Schannel.

Para obter mais informações, consulte Exportar certificados PFX com chave privada.

Próximos passos