Åtgärda vanliga problem med Azure Stack Hub PKI-certifikat
Informationen i den här artikeln hjälper dig att förstå och lösa vanliga problem med Azure Stack Hub PKI-certifikat. Du kan identifiera problem när du använder verktyget Azure Stack Hub Readiness Checker för att validera Azure Stack Hub PKI-certifikat. Verktyget kontrollerar om certifikaten uppfyller PKI-kraven för en Azure Stack Hub-distribution och hemlig rotation i Azure Stack Hub och loggar sedan resultatet till en report.json-fil.
HTTP CRL – Varning
Problem – Certifikatet innehåller inte HTTP CRL i CDP-tillägget.
Åtgärda – det här är ett icke-blockerande problem. Azure Stack kräver HTTP CRL för återkallningskontroll enligt certifikatkraven för Azure Stack Hub Public Key Infrastructure (PKI). Det gick inte att hitta någon HTTP-CRL på certifikatet. För att säkerställa att kontrollen av återkallade certifikat fungerar bör certifikatutfärdare utfärda ett certifikat med en HTTP CRL i CDP-tillägget.
HTTP CRL – Misslyckas
Problem – Det går inte att ansluta till HTTP CRL i CDP-tillägget.
Åtgärda – det här är ett blockeringsproblem. Azure Stack kräver anslutning till en HTTP CRL för återkallningskontroll enligt Publicering av Azure Stack Hub-portar och URL:er (utgående).
PFX-kryptering
Problem – PFX-kryptering är inte TripleDES-SHA1.
Korrigering – Exportera PFX-filer med TripleDES-SHA1-kryptering . Detta är standardkryptering för alla Windows 10 klienter vid export från snapin-modulen för certifikat eller med hjälp av Export-PFXCertificate.
Läsa PFX
Varning – Lösenordet skyddar endast den privata informationen i certifikatet.
Åtgärda – Exportera PFX-filer med den valfria inställningen Aktivera certifikatsekretess.
Problem – PFX-filen är ogiltig.
Korrigering – Exportera certifikatet igen med hjälp av stegen i Förbereda Azure Stack Hub PKI-certifikat för distribution.
Signaturalgoritm
Problem – Signaturalgoritmen är SHA1.
Åtgärda – Använd stegen i genereringen av signeringsbegäranden för Azure Stack Hub-certifikat för att återskapa certifikatsigneringsbegäran (CSR) med signaturalgoritmen sha256. Skicka sedan csr-begäran till certifikatutfärdaren igen för att återutfärda certifikatet.
Privat nyckel
Problem – Den privata nyckeln saknas eller innehåller inte attributet för den lokala datorn.
Åtgärda – Från datorn som genererade CSR exporterar du certifikatet igen med hjälp av stegen i Förbereda Azure Stack Hub PKI-certifikat för distribution. De här stegen omfattar export från certifikatarkivet för den lokala datorn.
Certifikatkedja
Problem – Certifikatkedjan är inte slutförd.
Korrigering – Certifikaten ska innehålla en fullständig certifikatkedja. Exportera certifikatet igen med hjälp av stegen i Förbereda Azure Stack Hub PKI-certifikat för distribution och välj alternativet Inkludera alla certifikat i certifieringssökvägen om det är möjligt.
DNS-namn
Problem – DNSNameList på certifikatet innehåller inte tjänstslutpunktsnamnet för Azure Stack Hub eller en giltig jokerteckenmatchning. Jokerteckenmatchningar är endast giltiga för det vänstra namnområdet för DNS-namnet. Är till exempel *.region.domain.com bara giltigt för portal.region.domain.com, inte *.table.region.domain.com.
Åtgärda – Använd stegen i genereringen av signeringsbegäranden för Azure Stack Hub-certifikat för att återskapa CSR med rätt DNS-namn för att stödja Azure Stack Hub-slutpunkter. Skicka csr-begäran på nytt till en certifikatutfärdare. Följ sedan stegen i Förbereda Azure Stack Hub PKI-certifikat för distribution för att exportera certifikatet från den dator som genererade CSR.
Nyckelanvändning
Problem – Nyckelanvändningen saknar digital signatur eller nyckelchiffrering eller förbättrad nyckelanvändning saknar serverautentisering eller klientautentisering.
Åtgärda – Använd stegen i genereringen av signeringsbegäranden för Azure Stack Hub-certifikat för att återskapa CSR med rätt nyckelanvändningsattribut. Skicka csr-begäran till certifikatutfärdaren igen och bekräfta att en certifikatmall inte skriver över nyckelanvändningen i begäran.
Nyckelstorlek
Problem – Nyckelstorleken är mindre än 2048.
Åtgärda – Använd stegen i genereringen av signeringsbegäranden för Azure Stack Hub-certifikat för att återskapa CSR med rätt nyckellängd (2048) och skicka sedan CSR till certifikatutfärdaren igen.
Kedjeordning
Problem – Ordningen på certifikatkedjan är felaktig.
Korrigering – Exportera certifikatet igen med hjälp av stegen i Förbereda Azure Stack Hub PKI-certifikat för distribution och välj alternativet Inkludera alla certifikat i certifieringssökvägen om det är möjligt. Kontrollera att endast lövcertifikatet har valts för export.
Andra certifikat
Problem – PFX-paketet innehåller certifikat som inte är lövcertifikatet eller en del av certifikatkedjan.
Korrigering – Exportera certifikatet igen med hjälp av stegen i Förbereda Azure Stack Hub PKI-certifikat för distribution och välj alternativet Inkludera alla certifikat i certifieringssökvägen om det är möjligt. Kontrollera att endast lövcertifikatet har valts för export.
Åtgärda vanliga paketeringsproblem
Verktyget AzsReadinessChecker innehåller en hjälp-cmdlet med namnet Repair-AzsPfxCertificate, som kan importera och sedan exportera en PFX-fil för att åtgärda vanliga paketeringsproblem, inklusive:
- PFX-kryptering är inte TripleDES-SHA1.
- Den privata nyckeln saknar lokalt datorattribut.
- Certifikatkedjan är ofullständig eller felaktig. Den lokala datorn måste innehålla certifikatkedjan om PFX-paketet inte gör det.
- Andra certifikat
Repair-AzsPfxCertificate kan inte hjälpa om du behöver generera en ny CSR och återutfärda ett certifikat.
Förutsättningar
Följande krav måste finnas på den dator där verktyget körs:
Windows 10 eller Windows Server 2016 med Internetanslutning.
PowerShell 5.1 eller senare. Kontrollera din version genom att köra följande PowerShell-cmdlet och sedan granska huvud - och delversionerna :
$PSVersionTable.PSVersionKonfigurera PowerShell för Azure Stack Hub.
Ladda ned den senaste versionen av verktyget för beredskapskontroll i Azure Stack Hub .
Importera och exportera en befintlig PFX-fil
På en dator som uppfyller kraven öppnar du en upphöjd PowerShell-kommandotolk och kör sedan följande kommando för att installera Beredskapskontroll för Azure Stack Hub:
Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrereleaseFrån PowerShell-prompten kör du följande cmdlet för att ange PFX-lösenordet. Ange lösenordet när du tillfrågas:
$password = Read-Host -Prompt "Enter password" -AsSecureStringKör följande kommando från PowerShell-prompten för att exportera en ny PFX-fil:
- För
-PfxPathanger du sökvägen till PFX-filen som du arbetar med. I följande exempel är.\certificates\ssl.pfxsökvägen . - För
-ExportPFXPathanger du platsen och namnet på PFX-filen för export. I följande exempel är.\certificates\ssl_new.pfxsökvägen :
Repair-AzsPfxCertificate -PfxPassword $password -PfxPath .\certificates\ssl.pfx -ExportPFXPath .\certificates\ssl_new.pfx- För
När verktyget har slutförts granskar du utdata för att lyckas:
Repair-AzsPfxCertificate v1.1809.1005.1 started. Starting Azure Stack Hub Certificate Import/Export Importing PFX .\certificates\ssl.pfx into Local Machine Store Exporting certificate to .\certificates\ssl_new.pfx Export complete. Removing certificate from the local machine store. Removal complete. Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log Repair-AzsPfxCertificate Completed