共用方式為

憑證需求

  • 發行項

適用於:Yes for Pro GPU SKUAzure Stack Edge Pro - GPUYes for Pro 2 SKUAzure Stack Edge Pro 2Yes for Pro R SKUAzure Stack Edge Pro RYes for Mini R SKUAzure Stack Edge Mini R

本文描述必須先符合的憑證需求,然後才能在 Azure Stack Edge Pro 裝置上安裝憑證。 這些需求與 PFX 憑證、核發授權單位、憑證主體名稱和主體別名,以及支援的憑證演算法有關。

憑證核發授權單位

憑證核發需求如下:

  • 憑證必須由內部憑證授權單位或公用憑證授權單位發出。

  • 不支援使用自我簽署憑證

  • 憑證的「核發對象:」欄位不得與 [核發者:] 欄位相同,但根 CA 憑證除外。

憑證演算法

您的裝置僅支援 Rivest–Shamir–Adleman (RSA) 憑證。 不支援橢圓曲線數位簽章演算法 (ECDSA) 憑證。

包含 RSA 公開金鑰的憑證稱為 RSA 憑證。 包含橢圓曲線密碼編譯 (ECC) 公開金鑰的憑證稱為 ECDSA (橢圓曲線數位簽章演算法) 憑證。

憑證演算法需求如下:

  • 憑證必須使用 RSA 金鑰演算法。

  • 僅支援具有 Microsoft RSA/Schannel 密碼編譯提供者的 RSA 憑證。

  • 憑證簽章演算法不能是 SHA1。

  • 金鑰大小下限為 4096。

憑證主體名稱和主體別名

憑證必須符合下列主體名稱和主體別名需求:

  • 您可以使用單一憑證,涵蓋憑證主體別名 (SAN) 欄位中的所有命名空間。 或者,您可以針對每個命名空間使用個別憑證。 這兩種方法都需要在必要時將萬用字元用於端點,例如二進位大型物件 (Blob)。

  • 確定主體名稱 (主體名稱中的一般名稱) 是主體別名延伸中主體別名的一部分。

  • 您可以使用單一萬用字元憑證,涵蓋憑證 SAN 欄位中的所有名稱空間。

  • 建立端點憑證時,請使用下表:

    類型 主體名稱 (SN) 主體別名 (SAN) 主體名稱範例
    Azure Resource Manager management.<Device name>.<Dns Domain> login.<Device name>.<Dns Domain>
    management.<Device name>.<Dns Domain>    		 management.mydevice1.microsoftdatabox.com
    Blob 儲存體 *.blob.<Device name>.<Dns Domain> *.blob.< Device name>.<Dns Domain> *.blob.mydevice1.microsoftdatabox.com
    本機 UI <Device name>.<DnsDomain> <Device name>.<DnsDomain> mydevice1.microsoftdatabox.com
    各端點的多 SAN 單一憑證 <Device name>.<dnsdomain> <Device name>.<dnsdomain>
    login.<Device name>.<Dns Domain>
    management.<Device name>.<Dns Domain>
    *.blob.<Device name>.<Dns Domain>    		 mydevice1.microsoftdatabox.com
    節點 <NodeSerialNo>.<DnsDomain> *.<DnsDomain>

    <NodeSerialNo>.<DnsDomain>    		 mydevice1.microsoftdatabox.com
    VPN AzureStackEdgeVPNCertificate.<DnsDomain>

    * AzureStackEdgeVPNCertificate 已硬式編碼。    		 *.<DnsDomain>

    <AzureStackVPN>.<DnsDomain>    		 edgevpncertificate.microsoftdatabox.com

PFX 憑證

安裝在 Azure Stack Edge Pro 裝置上的 PFX 憑證應符合下列需求:

  • 當您從 SSL 授權單位取得憑證時,請確定您取得憑證的完整簽署鏈結。

  • 當您匯出 PFX 憑證時,請確定您已選取 [包含鏈結中的所有憑證 (可能的話)] 選項。

  • 針對端點、本機 UI、節點、VPN 和 Wi-Fi 使用 PFX 憑證,因為 Azure Stack Edge Pro 需要公開金鑰和私密金鑰。 私密金鑰必須有本機電腦金鑰屬性集。

  • 憑證的 PFX 加密應該是 3DES。 這是從 Windows 10 用戶端或 Windows Server 2016 憑證存放區匯出時使用的預設加密。 如需與 3DES 相關的詳細資訊,請參閱三重 DES

  • 憑證 PFX 檔案必須在 [金鑰使用方法] 欄位中具有有效的 [數位簽章] 和 [KeyEncipherment] 值。

  • 憑證 PFX 檔案必須在 [增強型金鑰使用方法] 欄位中具有 [伺服器驗證 (1.3.6.1.5.5.7.3.1)] 和 [用戶端驗證 (1.3.6.1.5.5.7.3.2)] 值。

  • 如果您是使用 Azure Stack 整備檢查工具,則所有憑證 PFX 檔案的密碼必須在部署時都相同。 如需詳細資訊,請參閱使用 Azure Stack Hub 整備檢查工具建立 Azure Stack Edge Pro 的憑證

  • 憑證 PFX 的密碼必須是複雜密碼。 請記下此密碼,因為其會用作部署參數。

  • 僅使用 RSA 憑證搭配 Microsoft RSA/Schannel 密碼編譯提供者。

如需詳細資訊,請參閱使用私密金鑰匯出 PFX 憑證

下一步