Dela via


Åtgärda vanliga problem med Azure Stack Hub PKI-certifikat

Informationen i den här artikeln hjälper dig att förstå och lösa vanliga problem med Azure Stack Hub PKI-certifikat. Du kan identifiera problem när du använder verktyget Azure Stack Hub Readiness Checker för att validera Azure Stack Hub PKI-certifikat. Verktyget kontrollerar om certifikaten uppfyller PKI-kraven för en Azure Stack Hub-distribution och hemlig rotation i Azure Stack Hub och loggar sedan resultatet till en report.json-fil.

HTTP CRL – Varning

Problem – Certifikatet innehåller inte HTTP CRL i CDP-tillägget.

Åtgärda – det här är ett icke-blockerande problem. Azure Stack kräver HTTP CRL för återkallningskontroll enligt certifikatkraven för Azure Stack Hub Public Key Infrastructure (PKI). Det gick inte att hitta någon HTTP-CRL på certifikatet. För att säkerställa att kontrollen av återkallade certifikat fungerar bör certifikatutfärdare utfärda ett certifikat med en HTTP CRL i CDP-tillägget.

HTTP CRL – Misslyckas

Problem – Det går inte att ansluta till HTTP CRL i CDP-tillägget.

Åtgärda – det här är ett blockeringsproblem. Azure Stack kräver anslutning till en HTTP CRL för återkallningskontroll enligt Publicering av Azure Stack Hub-portar och URL:er (utgående).

PFX-kryptering

Problem – PFX-kryptering är inte TripleDES-SHA1.

Korrigering – Exportera PFX-filer med TripleDES-SHA1-kryptering . Detta är standardkryptering för alla Windows 10 klienter vid export från snapin-modulen för certifikat eller med hjälp av Export-PFXCertificate.

Läsa PFX

Varning – Lösenordet skyddar endast den privata informationen i certifikatet.

Åtgärda – Exportera PFX-filer med den valfria inställningen Aktivera certifikatsekretess.

Problem – PFX-filen är ogiltig.

Korrigering – Exportera certifikatet igen med hjälp av stegen i Förbereda Azure Stack Hub PKI-certifikat för distribution.

Signaturalgoritm

Problem – Signaturalgoritmen är SHA1.

Åtgärda – Använd stegen i genereringen av signeringsbegäranden för Azure Stack Hub-certifikat för att återskapa certifikatsigneringsbegäran (CSR) med signaturalgoritmen sha256. Skicka sedan csr-begäran till certifikatutfärdaren igen för att återutfärda certifikatet.

Privat nyckel

Problem – Den privata nyckeln saknas eller innehåller inte attributet för den lokala datorn.

Åtgärda – Från datorn som genererade CSR exporterar du certifikatet igen med hjälp av stegen i Förbereda Azure Stack Hub PKI-certifikat för distribution. De här stegen omfattar export från certifikatarkivet för den lokala datorn.

Certifikatkedja

Problem – Certifikatkedjan är inte slutförd.

Korrigering – Certifikaten ska innehålla en fullständig certifikatkedja. Exportera certifikatet igen med hjälp av stegen i Förbereda Azure Stack Hub PKI-certifikat för distribution och välj alternativet Inkludera alla certifikat i certifieringssökvägen om det är möjligt.

DNS-namn

ProblemDNSNameList på certifikatet innehåller inte tjänstslutpunktsnamnet för Azure Stack Hub eller en giltig jokerteckenmatchning. Jokerteckenmatchningar är endast giltiga för det vänstra namnområdet för DNS-namnet. Är till exempel *.region.domain.com bara giltigt för portal.region.domain.com, inte *.table.region.domain.com.

Åtgärda – Använd stegen i genereringen av signeringsbegäranden för Azure Stack Hub-certifikat för att återskapa CSR med rätt DNS-namn för att stödja Azure Stack Hub-slutpunkter. Skicka csr-begäran på nytt till en certifikatutfärdare. Följ sedan stegen i Förbereda Azure Stack Hub PKI-certifikat för distribution för att exportera certifikatet från den dator som genererade CSR.

Nyckelanvändning

Problem – Nyckelanvändningen saknar digital signatur eller nyckelchiffrering eller förbättrad nyckelanvändning saknar serverautentisering eller klientautentisering.

Åtgärda – Använd stegen i genereringen av signeringsbegäranden för Azure Stack Hub-certifikat för att återskapa CSR med rätt nyckelanvändningsattribut. Skicka csr-begäran till certifikatutfärdaren igen och bekräfta att en certifikatmall inte skriver över nyckelanvändningen i begäran.

Nyckelstorlek

Problem – Nyckelstorleken är mindre än 2048.

Åtgärda – Använd stegen i genereringen av signeringsbegäranden för Azure Stack Hub-certifikat för att återskapa CSR med rätt nyckellängd (2048) och skicka sedan CSR till certifikatutfärdaren igen.

Kedjeordning

Problem – Ordningen på certifikatkedjan är felaktig.

Korrigering – Exportera certifikatet igen med hjälp av stegen i Förbereda Azure Stack Hub PKI-certifikat för distribution och välj alternativet Inkludera alla certifikat i certifieringssökvägen om det är möjligt. Kontrollera att endast lövcertifikatet har valts för export.

Andra certifikat

Problem – PFX-paketet innehåller certifikat som inte är lövcertifikatet eller en del av certifikatkedjan.

Korrigering – Exportera certifikatet igen med hjälp av stegen i Förbereda Azure Stack Hub PKI-certifikat för distribution och välj alternativet Inkludera alla certifikat i certifieringssökvägen om det är möjligt. Kontrollera att endast lövcertifikatet har valts för export.

Åtgärda vanliga paketeringsproblem

Verktyget AzsReadinessChecker innehåller en hjälp-cmdlet med namnet Repair-AzsPfxCertificate, som kan importera och sedan exportera en PFX-fil för att åtgärda vanliga paketeringsproblem, inklusive:

  • PFX-kryptering är inte TripleDES-SHA1.
  • Den privata nyckeln saknar lokalt datorattribut.
  • Certifikatkedjan är ofullständig eller felaktig. Den lokala datorn måste innehålla certifikatkedjan om PFX-paketet inte gör det.
  • Andra certifikat

Repair-AzsPfxCertificate kan inte hjälpa om du behöver generera en ny CSR och återutfärda ett certifikat.

Förutsättningar

Följande krav måste finnas på den dator där verktyget körs:

Importera och exportera en befintlig PFX-fil

  1. På en dator som uppfyller kraven öppnar du en upphöjd PowerShell-kommandotolk och kör sedan följande kommando för att installera Beredskapskontroll för Azure Stack Hub:

    Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
    
  2. Från PowerShell-prompten kör du följande cmdlet för att ange PFX-lösenordet. Ange lösenordet när du tillfrågas:

    $password = Read-Host -Prompt "Enter password" -AsSecureString
    
  3. Kör följande kommando från PowerShell-prompten för att exportera en ny PFX-fil:

    • För -PfxPathanger du sökvägen till PFX-filen som du arbetar med. I följande exempel är .\certificates\ssl.pfxsökvägen .
    • För -ExportPFXPathanger du platsen och namnet på PFX-filen för export. I följande exempel är .\certificates\ssl_new.pfxsökvägen :
    Repair-AzsPfxCertificate -PfxPassword $password -PfxPath .\certificates\ssl.pfx -ExportPFXPath .\certificates\ssl_new.pfx
    
  4. När verktyget har slutförts granskar du utdata för att lyckas:

    Repair-AzsPfxCertificate v1.1809.1005.1 started.
    Starting Azure Stack Hub Certificate Import/Export
    Importing PFX .\certificates\ssl.pfx into Local Machine Store
    Exporting certificate to .\certificates\ssl_new.pfx
    Export complete. Removing certificate from the local machine store.
    Removal complete.
    Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
    Repair-AzsPfxCertificate Completed
    

Nästa steg