Requisitos dos certificados

Artigo
10/26/2023

APLICA-SE A: Yes for Pro GPU SKU Azure Stack Edge Pro - GPU Yes for Pro 2 SKU Azure Stack Edge Pro 2 Yes for Pro R SKU Azure Stack Edge Pro R Azure Stack Edge Mini R Yes for Mini R SKU

Este artigo descreve os requisitos de certificado que devem ser atendidos antes que os certificados possam ser instalados em seu dispositivo Azure Stack Edge Pro. Os requisitos estão relacionados com certificados PFX, autoridade emissora, nome da entidade do certificado e nome alternativo da entidade e algoritmos de certificados suportados.

Autoridade emissora do certificado

Os requisitos de emissão de certificados são os seguintes:

Os certificados devem ser emitidos por uma autoridade de certificação interna ou por uma autoridade de certificação pública.
Não há suporte para o uso de certificados autoassinados.
O campo Emitido para: do certificado não deve ser o mesmo que o campo Emitido por:, exceto para certificados de autoridade de certificação raiz.

Algoritmos de certificado

Apenas os certificados Rivest–Shamir–Adleman (RSA) são suportados com o seu dispositivo. Não há suporte para certificados ECDSA (Elliptic Curve Digital Signature Algorithm).

Os certificados que contêm uma chave pública RSA são referidos como certificados RSA. Os certificados que contêm uma chave pública ECC (Elliptic Curve Cryptographic) são chamados de certificados ECDSA (Elliptic Curve Digital Signature Algorithm).

Os requisitos do algoritmo de certificado são os seguintes:

Os certificados devem usar o algoritmo de chave RSA.
Apenas certificados RSA com Microsoft RSA/Schannel Cryptographic Provider são suportados.
O algoritmo de assinatura de certificado não pode ser SHA1.
O tamanho mínimo da chave é 4096.

Nome da entidade do certificado e nome alternativo da entidade

Os certificados devem atender aos seguintes requisitos de nome de entidade e nome alternativo de entidade:

Você pode usar um único certificado que abranja todos os namespaces nos campos SAN (Nome Alternativo da Entidade) do certificado. Como alternativa, você pode usar certificados individuais para cada um dos namespaces. Ambas as abordagens exigem o uso de curingas para pontos de extremidade, quando necessário, como objeto binário grande (Blob).
Certifique-se de que os nomes de assunto (nome comum no nome do assunto) fazem parte de nomes alternativos de assunto na extensão de nome alternativo do assunto.
Você pode usar um único certificado curinga que cubra todos os espaços de nome nos campos SAN do certificado.

Use a tabela a seguir ao criar um certificado de ponto de extremidade:

Tipo	Nome do assunto (SN)	Nome alternativo da entidade (SAN)	Exemplo de nome do assunto
Azure Resource Manager	`management.<Device name>.<Dns Domain>`	`login.<Device name>.<Dns Domain>` `management.<Device name>.<Dns Domain>`	`management.mydevice1.microsoftdatabox.com`
Armazenamento de Blobs	`*.blob.<Device name>.<Dns Domain>`	`*.blob.< Device name>.<Dns Domain>`	`*.blob.mydevice1.microsoftdatabox.com`
Interface do usuário local	`<Device name>.<DnsDomain>`	`<Device name>.<DnsDomain>`	`mydevice1.microsoftdatabox.com`
Certificado único Multi-SAN para ambos os endpoints	`<Device name>.<dnsdomain>`	`<Device name>.<dnsdomain>` `login.<Device name>.<Dns Domain>` `management.<Device name>.<Dns Domain>` `*.blob.<Device name>.<Dns Domain>`	`mydevice1.microsoftdatabox.com`
Nó	`<NodeSerialNo>.<DnsDomain>`	`*.<DnsDomain>` `<NodeSerialNo>.<DnsDomain>`	`mydevice1.microsoftdatabox.com`
VPN	`AzureStackEdgeVPNCertificate.<DnsDomain>` * AzureStackEdgeVPNCertificate é codificado.	`*.<DnsDomain>` `<AzureStackVPN>.<DnsDomain>`	`edgevpncertificate.microsoftdatabox.com`

Certificado PFX

Os certificados PFX instalados em seu dispositivo Azure Stack Edge Pro devem atender aos seguintes requisitos:

Quando você obtém seus certificados da autoridade SSL, certifique-se de obter a cadeia de assinatura completa para os certificados.
Ao exportar um certificado PFX, certifique-se de ter selecionado a opção Incluir todos os certificados na cadeia, se possível .
Use um certificado PFX para ponto de extremidade, interface do usuário local, nó, VPN e Wi-Fi, pois as chaves pública e privada são necessárias para o Azure Stack Edge Pro. A chave privada deve ter o atributo de chave da máquina local definido.
A criptografia PFX do certificado deve ser 3DES. Essa é a criptografia padrão usada ao exportar de um cliente Windows 10 ou armazenamento de certificados do Windows Server 2016. Para obter mais informações relacionadas ao 3DES, consulte Triple DES.
Os arquivos PFX de certificado devem ter valores válidos de Assinatura Digital e Codificação de Chave no campo Uso de Chave.
Os arquivos PFX de certificado devem ter os valores Autenticação do servidor (1.3.6.1.5.5.7.3.1) e Autenticação do cliente (1.3.6.1.5.5.7.3.2) no campo Uso avançado da chave.
As senhas para todos os arquivos PFX de certificado devem ser as mesmas no momento da implantação se você estiver usando a Ferramenta Verificador de Preparação de Pilha do Azure. Para obter mais informações, consulte Criar certificados para o Azure Stack Edge Pro usando a ferramenta Azure Stack Hub Readiness Checker.
A senha para o certificado PFX deve ser uma senha complexa. Anote essa senha porque ela é usada como um parâmetro de implantação.
Use apenas certificados RSA com o provedor de criptografia Microsoft RSA/Schannel.

Para obter mais informações, consulte Exportar certificados PFX com chave privada.

Próximos passos

Criar certificados para o seu dispositivo
- Por meio de cmdlets do Azure PowerShell
- Através da ferramenta Azure Stack Hub Readiness Checker.