Condividi tramite

Requisiti del certificato

  • Articolo

SI APPLICA A:Yes for Pro GPU SKUAzure Stack Edge Pro - GPUYes for Pro 2 SKUAzure Stack Edge Pro 2Yes for Pro R SKUAzure Stack Edge Pro RYes for Mini R SKUAzure Stack Edge Mini R

Questo articolo descrive i requisiti dei certificati che devono essere soddisfatti prima che i certificati possano essere installati nel dispositivo Azure Stack Edge Pro. I requisiti sono correlati a certificati PFX, autorità emittente, nome soggetto certificato e nome alternativo soggetto e algoritmi di certificato supportati.

Autorità emittente del certificato

I requisiti di rilascio dei certificati sono i seguenti:

  • I certificati devono essere rilasciati da un'autorità di certificazione interna o da un'autorità di certificazione pubblica.

  • L'uso di certificati autofirmato non è supportato.

  • Il campo Rilasciato a: del certificato non deve corrispondere al campo Rilasciato da: ad eccezione dei certificati CA radice.

Algoritmi di certificato

Solo i certificati Rivest–Shamir–Adleman (RSA) sono supportati con il dispositivo. I certificati ECDSA (Elliptic Curve Digital Signature Algorithm) non sono supportati.

I certificati che contengono una chiave pubblica RSA vengono definiti certificati RSA. I certificati che contengono una chiave pubblica ECC (Elliptic Curve Cryptographic) sono definiti certificati ECDSA (Elliptic Curve Digital Signature Algorithm).

I requisiti dell'algoritmo certificato sono i seguenti:

  • I certificati devono usare l'algoritmo di chiave RSA.

  • Sono supportati solo i certificati RSA con il provider di crittografia Microsoft RSA/Schannel.

  • L'algoritmo di firma del certificato non può essere SHA1.

  • La dimensione minima della chiave è 4096.

Nome soggetto certificato e nome alternativo soggetto

I certificati devono soddisfare i requisiti seguenti per il nome soggetto e il nome alternativo del soggetto:

  • È possibile usare un singolo certificato che copre tutti gli spazi dei nomi nei campi Nome alternativo soggetto (SAN) del certificato. In alternativa, è possibile usare singoli certificati per ognuno degli spazi dei nomi. Entrambi gli approcci richiedono l'uso di caratteri jolly per gli endpoint, se necessario, ad esempio oggetti binari di grandi dimensioni (BLOB).

  • Assicurarsi che i nomi dei soggetti (nome comune nel nome soggetto) facciano parte dei nomi alternativi del soggetto nell'estensione del nome alternativo del soggetto.

  • È possibile usare un singolo certificato con caratteri jolly che copre tutti gli spazi dei nomi nei campi SAN del certificato.

  • Usare la tabella seguente durante la creazione di un certificato endpoint:

    Tipo Nome soggetto (SN) Nome alternativo soggetto (SAN) Esempio di nome soggetto
    Azure Resource Manager management.<Device name>.<Dns Domain> login.<Device name>.<Dns Domain>
    management.<Device name>.<Dns Domain>    		 management.mydevice1.microsoftdatabox.com
    Archiviazione BLOB *.blob.<Device name>.<Dns Domain> *.blob.< Device name>.<Dns Domain> *.blob.mydevice1.microsoftdatabox.com
    Interfaccia utente locale <Device name>.<DnsDomain> <Device name>.<DnsDomain> mydevice1.microsoftdatabox.com
    Certificato singolo multi-SAN per entrambi gli endpoint <Device name>.<dnsdomain> <Device name>.<dnsdomain>
    login.<Device name>.<Dns Domain>
    management.<Device name>.<Dns Domain>
    *.blob.<Device name>.<Dns Domain>    		 mydevice1.microsoftdatabox.com
    Node <NodeSerialNo>.<DnsDomain> *.<DnsDomain>

    <NodeSerialNo>.<DnsDomain>    		 mydevice1.microsoftdatabox.com
    Connessione AzureStackEdgeVPNCertificate.<DnsDomain>

    * AzureStackEdgeVPNCertificate è hardcoded.    		 *.<DnsDomain>

    <AzureStackVPN>.<DnsDomain>    		 edgevpncertificate.microsoftdatabox.com

Certificato PFX

I certificati PFX installati nel dispositivo Azure Stack Edge Pro devono soddisfare i requisiti seguenti:

  • Quando si ottengono i certificati dall'autorità SSL, assicurarsi di ottenere la catena di firma completa per i certificati.

  • Quando si esporta un certificato PFX, assicurarsi di aver selezionato l'opzione Includi tutti i certificati nella catena, se possibile .

  • Usare un certificato PFX per endpoint, interfaccia utente locale, nodo, VPN e Wi-Fi perché sono necessarie sia le chiavi pubbliche che private per Azure Stack Edge Pro. La chiave privata deve avere il set di attributi della chiave del computer locale.

  • La crittografia PFX del certificato deve essere 3DES. Questa è la crittografia predefinita usata per l'esportazione da un client Windows 10 o da un archivio certificati di Windows Server 2016. Per altre informazioni relative a 3DES, vedere Triple DES.

  • I file PFX del certificato devono avere valori validi per firma digitale e crittografia della chiave nel campo Utilizzo chiavi.

  • I file PFX del certificato devono avere i valori Autenticazione server (1.3.6.1.5.5.7.3.1) e Autenticazione client (1.3.6.1.5.5.7.3.2) nel campo Utilizzo chiavi avanzato.

  • Le password per tutti i file PFX del certificato devono essere uguali al momento della distribuzione se si usa lo strumento di controllo dell'idoneità di Azure Stack. Per altre informazioni, vedere Creare certificati per Azure Stack Edge Pro usando lo strumento di verifica dell'idoneità dell'hub di Azure Stack.

  • La password per il certificato PFX deve essere una password complessa. Prendere nota di questa password perché viene usata come parametro di distribuzione.

  • Usare solo certificati RSA con il provider di crittografia Microsoft RSA/Schannel.

Per altre informazioni, vedere Esportare certificati PFX con chiave privata.

Passaggi successivi