Azure Stack Hub PKI sertifikalarıyla ilgili yaygın sorunları giderme
Bu makaledeki bilgiler, Azure Stack Hub PKI sertifikalarıyla ilgili yaygın sorunları anlamanıza ve çözmenize yardımcı olur. Azure Stack Hub PKI sertifikalarını doğrulamak için Azure Stack Hub Hazırlık Denetleyicisi aracını kullanırken karşılaşılan sorunları keşfedebilirsiniz. Araç, sertifikaların Azure Stack Hub dağıtımının ve Azure Stack Hub gizli dizi döndürmesinin PKI gereksinimlerini karşılayıp karşılamadiğini denetler ve sonuçları bir report.json dosyasına günlüğe kaydeder.
HTTP CRL - Uyarı
Sorun - Sertifika, CDP Uzantısında HTTP CRL içermiyor.
Düzelt - Bu engelleyici olmayan bir sorundur. Azure Stack, Azure Stack Hub ortak anahtar altyapısı (PKI) sertifika gereksinimlerine göre iptal denetimi için HTTP CRL gerektirir. Sertifikada HTTP CRL algılanmadı. Sertifika iptal denetiminin çalıştığından emin olmak için Sertifika Yetkilisi, CDP uzantısında HTTP CRL içeren bir sertifika vermelidir.
HTTP CRL - Başarısız
Sorun - CDP Uzantısında HTTP CRL'ye bağlanılamıyor.
Düzelt - Bu engelleyici bir sorundur. Azure Stack, Azure Stack Hub Bağlantı Noktalarını ve URL'lerini yayımlama (giden)'e göre iptal denetimi için bir HTTP CRL bağlantısı gerektirir.
PFX Şifrelemesi
Sorun - PFX şifrelemesi TripleDES-SHA1 değildir.
Düzeltme - PfX dosyalarını TripleDES-SHA1 şifrelemesiyle dışarı aktarın. Bu, sertifika ek bileşeninden dışarı aktarırken veya kullanırken Export-PFXCertificate
tüm Windows 10 istemcileri için varsayılan şifrelemedir.
PFX okuma
Uyarı - Parola yalnızca sertifikadaki özel bilgileri korur.
Düzeltme - Sertifika gizliliğini etkinleştir isteğe bağlı ayarıyla PFX dosyalarını dışarı aktarın.
Sorun - PFX dosyası geçersiz.
Düzeltme - Azure Stack Hub PKI sertifikalarını dağıtım için hazırlama makalesindeki adımları kullanarak sertifikayı yeniden dışarı aktarın.
İmza algoritması
Sorun - İmza algoritması SHA1'dir.
Düzeltme - Sertifika imzalama isteğini (CSR) SHA256 imza algoritmasıyla yeniden oluşturmak için Azure Stack Hub sertifikaları imzalama isteği oluşturma adımlarını kullanın. Ardından sertifikayı yeniden vermek için CSR'yi sertifika yetkilisine yeniden gönderin.
Özel anahtar
Sorun - Özel anahtar eksik veya yerel makine özniteliğini içermiyor.
Düzeltme - CSR'yi oluşturan bilgisayardan , Azure Stack Hub PKI sertifikalarını dağıtım için hazırlama makalesindeki adımları kullanarak sertifikayı yeniden dışarı aktarın. Bu adımlar, yerel makine sertifika deposundan dışarı aktarmayı içerir.
Sertifika zinciri
Sorun - Sertifika zinciri tamamlanamadı.
Düzeltme - Sertifikalar tam bir sertifika zinciri içermelidir. Azure Stack Hub PKI sertifikalarını dağıtım için hazırlama'daki adımları kullanarak sertifikayı yeniden dışarı aktarın ve mümkünse Sertifika yoluna tüm sertifikaları dahil et seçeneğini belirleyin.
DNS adları
Sorun - Sertifikadaki DNSNameList , Azure Stack Hub hizmet uç noktası adını veya geçerli bir joker karakter eşleşmesini içermiyor. Joker karakter eşleşmeleri yalnızca DNS adının en soldaki ad alanı için geçerlidir. Örneğin, *.region.domain.com
yalnızca için portal.region.domain.com
geçerlidir, için geçerli değildir *.table.region.domain.com
.
Düzeltme - Azure Stack Hub uç noktalarını desteklemek üzere CSR'yi doğru DNS adlarıyla yeniden oluşturmak için Azure Stack Hub sertifikaları imzalama isteği oluşturma adımlarını kullanın. CSR'yi bir sertifika yetkilisine yeniden gönderin. Ardından, SERTIFIKAyı CSR'yi oluşturan makineden dışarı aktarmak için Azure Stack Hub PKI sertifikalarını dağıtım için hazırlama makalesindeki adımları izleyin.
Anahtar kullanımı
Sorun - Anahtar kullanımında dijital imza veya anahtar şifrelemesi eksik ya da gelişmiş anahtar kullanımında sunucu kimlik doğrulaması veya istemci kimlik doğrulaması eksik.
Düzeltme - CSR'yi doğru anahtar kullanımı öznitelikleriyle yeniden oluşturmak için Azure Stack Hub sertifikaları imzalama isteği oluşturma adımlarını kullanın. CSR'yi sertifika yetkilisine yeniden gönderin ve bir sertifika şablonunun istekteki anahtar kullanımının üzerine yazmadığını onaylayın.
Anahtar boyutu
Sorun - Anahtar boyutu 2048'den küçük.
Düzeltme - CSR'yi doğru anahtar uzunluğuyla (2048) yeniden oluşturmak ve ardından CSR'yi sertifika yetkilisine yeniden göndermek için Azure Stack Hub sertifikaları imzalama isteği oluşturma adımlarını kullanın.
Zincir sırası
Sorun - Sertifika zincirinin sırası yanlış.
Düzeltme - Azure Stack Hub PKI sertifikalarını dağıtım için hazırlama'daki adımları kullanarak sertifikayı yeniden dışarı aktarın ve mümkünse sertifika yoluna tüm sertifikaları dahil et seçeneğini belirleyin. Dışarı aktarma için yalnızca yaprak sertifikanın seçildiğinden emin olun.
Diğer sertifikalar
Sorun - PFX paketi yaprak sertifika veya sertifika zincirinin parçası olmayan sertifikalar içeriyor.
Düzeltme - Azure Stack Hub PKI sertifikalarını dağıtım için hazırlama'daki adımları kullanarak sertifikayı yeniden dışarı aktarın ve mümkünse sertifika yoluna tüm sertifikaları dahil et seçeneğini belirleyin. Dışarı aktarma için yalnızca yaprak sertifikanın seçildiğinden emin olun.
Yaygın paketleme sorunlarını düzeltme
AzsReadinessChecker aracı Repair-AzsPfxCertificate adlı bir yardımcı cmdlet içerir. Bu cmdlet aşağıdakiler dahil olmak üzere yaygın paketleme sorunlarını çözmek için bir PFX dosyasını içeri ve dışarı aktarabilir:
- PFX şifrelemesi TripleDES-SHA1 değildir.
- Özel anahtarda yerel makine özniteliği eksik.
- Sertifika zinciri eksik veya yanlış. PFX paketi içermiyorsa yerel makine sertifika zincirini içermelidir.
- Diğer sertifikalar
Yeni bir CSR oluşturmanız ve sertifikayı yeniden oluşturmanız gerekiyorsa Repair-AzsPfxCertificate yardımcı olamaz.
Önkoşullar
Aracın çalıştığı bilgisayarda aşağıdaki önkoşullar bulunmalıdır:
İnternet bağlantısıyla Windows 10 veya Windows Server 2016.
PowerShell 5.1 veya üzeri. Sürümünüzü denetlemek için aşağıdaki PowerShell cmdlet'ini çalıştırın ve ardından Birincil ve İkincil sürümleri gözden geçirin:
$PSVersionTable.PSVersion
Azure Stack Hub için PowerShell'i yapılandırın.
Azure Stack Hub hazırlık denetleyicisi aracının en son sürümünü indirin.
Mevcut PFX Dosyasını içeri ve dışarı aktarma
Önkoşulları karşılayan bir bilgisayarda yükseltilmiş bir PowerShell istemi açın ve azure stack hub hazır olma denetleyicisini yüklemek için aşağıdaki komutu çalıştırın:
Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
PfX parolasını ayarlamak için PowerShell isteminde aşağıdaki cmdlet'i çalıştırın. İstendiğinde parolayı girin:
$password = Read-Host -Prompt "Enter password" -AsSecureString
PowerShell isteminde aşağıdaki komutu çalıştırarak yeni bir PFX dosyasını dışarı aktarın:
- için
-PfxPath
, üzerinde çalıştığınız PFX dosyasının yolunu belirtin. Aşağıdaki örnekte yolu şeklindedir.\certificates\ssl.pfx
. - için
-ExportPFXPath
, dışarı aktarma için PFX dosyasının konumunu ve adını belirtin. Aşağıdaki örnekte yolu:.\certificates\ssl_new.pfx
Repair-AzsPfxCertificate -PfxPassword $password -PfxPath .\certificates\ssl.pfx -ExportPFXPath .\certificates\ssl_new.pfx
- için
Araç tamamlandıktan sonra başarılı olması için çıkışı gözden geçirin:
Repair-AzsPfxCertificate v1.1809.1005.1 started. Starting Azure Stack Hub Certificate Import/Export Importing PFX .\certificates\ssl.pfx into Local Machine Store Exporting certificate to .\certificates\ssl_new.pfx Export complete. Removing certificate from the local machine store. Removal complete. Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log Repair-AzsPfxCertificate Completed