Aracılığıyla paylaş

Sertifika gereksinimleri

  • Makale

ŞUNLAR IÇIN GEÇERLIDIR:Pro GPU SKU için Evet Azure Stack Edge Pro - GPUPro 2 SKU için EvetAzure Stack Edge Pro 2Pro R SKU için EvetAzure Stack Edge Pro RMini R SKU için EvetAzure Stack Edge Mini R

Bu makalede, Sertifikaların Azure Stack Edge Pro cihazınıza yüklenebilmesi için karşılanması gereken sertifika gereksinimleri açıklanmaktadır. Gereksinimler PFX sertifikaları, veren yetkili, sertifika konu adı ve konu alternatif adı ile desteklenen sertifika algoritmalarıyla ilgilidir.

Sertifika verme yetkilisi

Sertifika verme gereksinimleri şunlardır:

  • Sertifikaların bir iç sertifika yetkilisinden veya genel sertifika yetkilisinden verilmesi gerekir.

  • Otomatik olarak imzalanan sertifikaların kullanımı desteklenmez.

  • Sertifikanın Verilen: alanı, Kök CA sertifikaları dışında Verilen: alanıyla aynı olmamalıdır.

Sertifika algoritmaları

Cihazınızda yalnızca Rivest–Shamir–Adleman (RSA) sertifikaları desteklenir. Elips Eğrisi Dijital İmza Algoritması (ECDSA) sertifikaları desteklenmez.

RSA ortak anahtarı içeren sertifikalar RSA sertifikaları olarak adlandırılır. Eliptik Eğri Şifrelemesi (ECC) ortak anahtarı içeren sertifikalar ECDSA (Eliptik Eğri Dijital İmza Algoritması) sertifikaları olarak adlandırılır.

Sertifika algoritması gereksinimleri şunlardır:

  • Sertifikalar RSA anahtar algoritmasını kullanmalıdır.

  • Yalnızca Microsoft RSA/Schannel Şifreleme Sağlayıcısına sahip RSA sertifikaları desteklenir.

  • Sertifika imza algoritması SHA1 olamaz.

  • En düşük anahtar boyutu 4096'dır.

Sertifika konu adı ve konu alternatif adı

Sertifikalar aşağıdaki konu adı ve konu alternatif adı gereksinimlerini karşılamalıdır:

  • Sertifikanın Konu Alternatif Adı (SAN) alanlarındaki tüm ad alanlarını kapsayan tek bir sertifika kullanabilirsiniz. Alternatif olarak, ad alanlarının her biri için tek tek sertifikalar kullanabilirsiniz. İkili büyük nesne (Blob) gibi gerekli durumlarda her iki yaklaşım da uç noktalar için joker karakter kullanılmasını gerektirir.

  • Konu adlarının (konu adında ortak ad) konu alternatif adı uzantısındaki konu alternatif adlarının bir parçası olduğundan emin olun.

  • Sertifikanın SAN alanlarındaki tüm ad alanlarını kapsayan tek bir joker karakter sertifikası kullanabilirsiniz.

  • Uç nokta sertifikası oluştururken aşağıdaki tabloyu kullanın:

    Tür Konu adı (SN) Konu alternatif adı (SAN) Konu adı örneği
    Azure Resource Manager management.<Device name>.<Dns Domain> login.<Device name>.<Dns Domain>
    management.<Device name>.<Dns Domain>    		 management.mydevice1.microsoftdatabox.com
    Blob depolama *.blob.<Device name>.<Dns Domain> *.blob.< Device name>.<Dns Domain> *.blob.mydevice1.microsoftdatabox.com
    Yerel Kullanıcı Arabirimi <Device name>.<DnsDomain> <Device name>.<DnsDomain> mydevice1.microsoftdatabox.com
    Her iki uç nokta için çoklu SAN tek sertifikası <Device name>.<dnsdomain> <Device name>.<dnsdomain>
    login.<Device name>.<Dns Domain>
    management.<Device name>.<Dns Domain>
    *.blob.<Device name>.<Dns Domain>    		 mydevice1.microsoftdatabox.com
    Düğüm <NodeSerialNo>.<DnsDomain> *.<DnsDomain>

    <NodeSerialNo>.<DnsDomain>    		 mydevice1.microsoftdatabox.com
    VPN AzureStackEdgeVPNCertificate.<DnsDomain>

    * AzureStackEdgeVPNCertificate sabit kodlanmıştır.    		 *.<DnsDomain>

    <AzureStackVPN>.<DnsDomain>    		 edgevpncertificate.microsoftdatabox.com

PFX sertifikası

Azure Stack Edge Pro cihazınızda yüklü PFX sertifikaları aşağıdaki gereksinimleri karşılamalıdır:

  • Sertifikalarınızı SSL yetkilisinden aldığınızda, sertifikalar için tam imzalama zincirini aldığınızdan emin olun.

  • Bir PFX sertifikasını dışarı aktarırken, mümkünse Tüm sertifikaları zincire ekle seçeneğini belirttiğinizden emin olun.

  • Azure Stack Edge Pro için hem genel hem de özel anahtarlar gerektiğinden uç nokta, yerel kullanıcı arabirimi, düğüm, VPN ve Wi-Fi için pfx sertifikası kullanın. Özel anahtarın yerel makine anahtarı özniteliği ayarlanmış olmalıdır.

  • Sertifikanın PFX Şifrelemesi 3DES olmalıdır. Bu, bir Windows 10 istemcisinden veya Windows Server 2016 sertifika deposundan dışarı aktarırken kullanılan varsayılan şifrelemedir. 3DES ile ilgili daha fazla bilgi için bkz . Triple DES.

  • Sertifika PFX dosyalarının Anahtar Kullanımı alanında geçerli Dijital İmza ve KeyEncipherment değerleri olmalıdır.

  • Sertifika PFX dosyalarının Gelişmiş Anahtar Kullanımı alanında Sunucu Kimlik Doğrulaması (1.3.6.1.5.5.7.3.1) ve İstemci Kimlik Doğrulaması (1.3.6.1.5.5.7.3.2) değerleri olmalıdır.

  • Azure Stack Hazırlık Denetleyicisi Aracı'nı kullanıyorsanız, dağıtım sırasında tüm sertifika PFX dosyalarının parolaları aynı olmalıdır. Daha fazla bilgi için bkz . Azure Stack Hub Hazır Olma Denetleyicisi aracını kullanarak Azure Stack Edge Pro'nuz için sertifika oluşturma.

  • Sertifika PFX'inin parolası karmaşık bir parola olmalıdır. Dağıtım parametresi olarak kullanıldığından bu parolayı not edin.

  • Microsoft RSA/Schannel Şifreleme sağlayıcısıyla yalnızca RSA sertifikalarını kullanın.

Daha fazla bilgi için bkz . PFX sertifikalarını özel anahtarla dışarı aktarma.

Sonraki adımlar

  • Cihazınız için sertifika oluşturma

    • Azure PowerShell cmdlet'leri aracılığıyla
    • Azure Stack Hub Hazır Olma Denetleyicisi aracı aracılığıyla.