Dela via

Certifikatkrav

  • Artikel

GÄLLER FÖR: Ja för Pro GPU SKUAzure Stack Edge Pro – GPUJa för Pro 2 SKUAzure Stack Edge Pro 2Ja för Pro R SKUAzure Stack Edge Pro RJa för Mini R SKUAzure Stack Edge Mini R

Den här artikeln beskriver de certifikatkrav som måste uppfyllas innan certifikat kan installeras på din Azure Stack Edge Pro-enhet. Kraven gäller PFX-certifikat, utfärdande utfärdare, certifikatmottagarens namn och alternativt namn på certifikatmottagare och certifikatalgoritmer som stöds.

Utfärdare av certifikat

Certifikatutfärdarkrav är följande:

  • Certifikat måste utfärdas från antingen en intern certifikatutfärdare eller en offentlig certifikatutfärdare.

  • Användning av självsignerade certifikat stöds inte.

  • Certifikatets fältet Utfärdad till: får inte vara samma som fältet Utfärdat av: förutom rotcertifikatutfärdarcertifikat.

Certifikatalgoritmer

Endast Certifikaten Rivest–Shamir–Adleman (RSA) stöds med din enhet. ECDSA-certifikat (Elliptic Curve Digital Signature Algorithm) stöds inte.

Certifikat som innehåller en offentlig RSA-nyckel kallas RSA-certifikat. Certifikat som innehåller en offentlig ECC-nyckel (Elliptic Curve Cryptographic) kallas ECDSA-certifikat (Elliptic Curve Digital Signature Algorithm).

Kraven för certifikatalgoritmer är följande:

  • Certifikat måste använda RSA-nyckelalgoritmen.

  • Endast RSA-certifikat med Microsoft RSA/Schannel Cryptographic Provider stöds.

  • Certifikatsignaturalgoritmen kan inte vara SHA1.

  • Minsta nyckelstorlek är 4 096.

Certifikatmottagarenamn och alternativt namn på certifikatmottagare

Certifikat måste uppfylla följande krav på ämnesnamn och alternativt ämnesnamn:

  • Du kan antingen använda ett enda certifikat som täcker alla namnområden i certifikatets SAN-fält (Subject Alternative Name). Du kan också använda enskilda certifikat för vart och ett av namnrymderna. Båda metoderna kräver användning av jokertecken för slutpunkter där det behövs, till exempel binärt stort objekt (Blob).

  • Se till att ämnesnamnen (det gemensamma namnet i ämnesnamnet) är en del av alternativa ämnesnamn i det alternativa namntillägget för ämnet.

  • Du kan använda ett enskilt jokerteckencertifikat som täcker alla namnutrymmen i certifikatets SAN-fält.

  • Använd följande tabell när du skapar ett slutpunktscertifikat:

    Typ Ämnesnamn (SN) Alternativt namn på certifikatmottagare (SAN) Exempel på ämnesnamn
    Azure Resource Manager management.<Device name>.<Dns Domain> login.<Device name>.<Dns Domain>
    management.<Device name>.<Dns Domain>    		 management.mydevice1.microsoftdatabox.com
    Blobb-lagring *.blob.<Device name>.<Dns Domain> *.blob.< Device name>.<Dns Domain> *.blob.mydevice1.microsoftdatabox.com
    Lokalt användargränssnitt <Device name>.<DnsDomain> <Device name>.<DnsDomain> mydevice1.microsoftdatabox.com
    Multi-SAN-enskilt certifikat för båda slutpunkterna <Device name>.<dnsdomain> <Device name>.<dnsdomain>
    login.<Device name>.<Dns Domain>
    management.<Device name>.<Dns Domain>
    *.blob.<Device name>.<Dns Domain>    		 mydevice1.microsoftdatabox.com
    Nod <NodeSerialNo>.<DnsDomain> *.<DnsDomain>

    <NodeSerialNo>.<DnsDomain>    		 mydevice1.microsoftdatabox.com
    VPN AzureStackEdgeVPNCertificate.<DnsDomain>

    * AzureStackEdgeVPNCertificate är hårdkodad.    		 *.<DnsDomain>

    <AzureStackVPN>.<DnsDomain>    		 edgevpncertificate.microsoftdatabox.com

PFX-certifikat

PFX-certifikaten som är installerade på din Azure Stack Edge Pro-enhet bör uppfylla följande krav:

  • När du får dina certifikat från SSL-utfärdaren ser du till att du får den fullständiga signeringskedjan för certifikaten.

  • När du exporterar ett PFX-certifikat kontrollerar du att du har valt alternativet Inkludera alla certifikat i kedjan, om möjligt .

  • Använd ett PFX-certifikat för slutpunkt, lokalt användargränssnitt, nod, VPN och Wi-Fi eftersom både offentliga och privata nycklar krävs för Azure Stack Edge Pro. Den privata nyckeln måste ha det lokala datornyckelattributet inställt.

  • Certifikatets PFX-kryptering ska vara 3DES. Detta är standardkryptering som används vid export från en Windows 10-klient eller Ett Windows Server 2016-certifikatarkiv. Mer information om 3DES finns i Triple DES.

  • PFX-certifikatfilerna måste ha giltiga värden för digital signatur och keyEncipherment i fältet Nyckelanvändning .

  • PFX-certifikatfilerna måste ha värdena Serverautentisering (1.3.6.1.5.5.7.3.1) och Klientautentisering (1.3.6.1.5.5.7.3.2) i fältet Förbättrad nyckelanvändning .

  • Lösenorden till alla PFX-certifikatfiler måste vara desamma vid tidpunkten för distributionen om du använder Verktyget för beredskapskontroll i Azure Stack. Mer information finns i Skapa certifikat för Azure Stack Edge Pro med hjälp av verktyget Beredskapskontroll för Azure Stack Hub.

  • Lösenordet till certifikatets PFX måste vara ett komplext lösenord. Anteckna det här lösenordet eftersom det används som en distributionsparameter.

  • Använd endast RSA-certifikat med kryptografiprovidern Microsoft RSA/Schannel.

Mer information finns i Exportera PFX-certifikat med privat nyckel.

Nästa steg