Sdílet prostřednictvím

Požadavky na certifikáty

  • Článek

PLATÍ PRO:Ano pro skladovou položku Pro GPU Azure Stack Edge Pro – GPUAno pro skladovou položku Pro 2Azure Stack Edge Pro 2Ano pro skladovou položku Pro RAzure Stack Edge Pro RAno pro SKU Mini RAzure Stack Edge Mini R

Tento článek popisuje požadavky na certifikáty, které musí být splněny, aby bylo možné certifikáty nainstalovat na zařízení Azure Stack Edge Pro. Požadavky se týkají certifikátů PFX, vydávající autority, názvu subjektu certifikátu a alternativního názvu subjektu a podporovaných algoritmů certifikátů.

Certifikační autorita vydávající certifikát

Požadavky na vydávání certifikátů jsou následující:

  • Certifikáty musí být vydány buď z interní certifikační autority, nebo veřejné certifikační autority.

  • Použití certifikátů podepsaných svým držitelem není podporováno.

  • Pole Vystavené certifikátu nesmí být stejné jako pole Vystaveno: s výjimkou certifikátů kořenové certifikační autority.

Algoritmy certifikátů

Vaše zařízení podporuje jenom certifikáty Rivest–Shamir–Adleman (RSA). Certifikáty ECDSA (Elliptic Curve Digital Signature Algorithm) nejsou podporovány.

Certifikáty, které obsahují veřejný klíč RSA, se označují jako certifikáty RSA. Certifikáty obsahující veřejný klíč ECC (Elliptic Curve Cryptographic) se označují jako certifikáty ECDSA (Elliptic Curve Digital Signature Algorithm).

Požadavky na algoritmus certifikátu jsou následující:

  • Certifikáty musí používat algoritmus klíče RSA.

  • Podporují se pouze certifikáty RSA s poskytovatelem kryptografických služeb Microsoft RSA/Schannel.

  • Algoritmus podpisu certifikátu nemůže být SHA1.

  • Minimální velikost klíče je 4096.

Název subjektu certifikátu a alternativní název subjektu

Certifikáty musí splňovat následující požadavky na název subjektu a alternativní název subjektu:

  • Můžete použít jeden certifikát pokrývající všechny obory názvů v polích alternativního názvu subjektu certifikátu (SAN). Alternativně můžete pro každý obor názvů použít jednotlivé certifikáty. Oba přístupy vyžadují použití zástupných znaků pro koncové body v případě potřeby, jako je binární velký objekt (blob).

  • Ujistěte se, že názvy subjektu (běžný název v názvu subjektu) jsou součástí alternativních názvů subjektu v rozšíření alternativního názvu subjektu.

  • Můžete použít jeden zástupný certifikát pokrývající všechny názvové prostory v polích SAN certifikátu.

  • Při vytváření certifikátu koncového bodu použijte následující tabulku:

    Typ Název subjektu (SN) Alternativní název subjektu (SAN) Příklad názvu subjektu
    Azure Resource Manager management.<Device name>.<Dns Domain> login.<Device name>.<Dns Domain>
    management.<Device name>.<Dns Domain>    		 management.mydevice1.microsoftdatabox.com
    Blob Storage *.blob.<Device name>.<Dns Domain> *.blob.< Device name>.<Dns Domain> *.blob.mydevice1.microsoftdatabox.com
    Místní uživatelské rozhraní <Device name>.<DnsDomain> <Device name>.<DnsDomain> mydevice1.microsoftdatabox.com
    Jeden certifikát s více sítěmi SAN pro oba koncové body <Device name>.<dnsdomain> <Device name>.<dnsdomain>
    login.<Device name>.<Dns Domain>
    management.<Device name>.<Dns Domain>
    *.blob.<Device name>.<Dns Domain>    		 mydevice1.microsoftdatabox.com
    Uzel <NodeSerialNo>.<DnsDomain> *.<DnsDomain>

    <NodeSerialNo>.<DnsDomain>    		 mydevice1.microsoftdatabox.com
    Síť VPN AzureStackEdgeVPNCertificate.<DnsDomain>

    * AzureStackEdgeVPNCertificate je pevně zakódovaný.    		 *.<DnsDomain>

    <AzureStackVPN>.<DnsDomain>    		 edgevpncertificate.microsoftdatabox.com

Certifikát PFX

Certifikáty PFX nainstalované na zařízení Azure Stack Edge Pro by měly splňovat následující požadavky:

  • Když certifikáty získáte od autority SSL, ujistěte se, že získáte úplný podpisový řetězec certifikátů.

  • Při exportu certifikátu PFX se ujistěte, že jste v případě potřeby vybrali možnost Zahrnout všechny certifikáty do řetězu.

  • Pro koncový bod, místní uživatelské rozhraní, uzel, VPN a Wi-Fi použijte certifikát PFX, protože pro Azure Stack Edge Pro se vyžadují veřejné i privátní klíče. Privátní klíč musí mít nastavený atribut klíče místního počítače.

  • Šifrování PFX certifikátu by mělo být 3DES. Toto je výchozí šifrování používané při exportu z klienta Windows 10 nebo úložiště certifikátů Windows Serveru 2016. Další informace týkající se 3DES naleznete v tématu Triple DES.

  • Soubory PFX certifikátu musí mít platné hodnoty digitálního podpisu a šifrování klíčů v poli Použití klíče.

  • Soubory PFX certifikátu musí mít hodnoty Ověřování serveru (1.3.6.1.5.5.7.3.1) a Ověřování klienta (1.3.6.1.5.5.7.3.2) v poli Rozšířené použití klíče.

  • Hesla ke všem souborům PFX certifikátu musí být v době nasazení stejná, pokud používáte nástroj Azure Stack Readiness Checker. Další informace najdete v tématu Vytváření certifikátů pro azure Stack Edge Pro pomocí nástroje Azure Stack Hub Readiness Checker.

  • Heslo k certifikátu PFX musí být složité heslo. Poznamenejte si toto heslo, protože se používá jako parametr nasazení.

  • Používejte pouze certifikáty RSA s poskytovatelem kryptografických služeb Microsoft RSA/Schannel.

Další informace naleznete v tématu Export certifikátů PFX s privátním klíčem.

Další kroky