Veelvoorkomende problemen met PKI-certificaten van Azure Stack Hub oplossen
De informatie in dit artikel helpt u veelvoorkomende problemen met PKI-certificaten van Azure Stack Hub te begrijpen en op te lossen. U kunt problemen detecteren wanneer u het hulpprogramma Gereedheidscontrole voor Azure Stack Hub gebruikt om PKI-certificaten van Azure Stack Hub te te valideren. Het hulpprogramma controleert of de certificaten voldoen aan de PKI-vereisten van een Azure Stack Hub-implementatie en azure Stack Hub-geheimrotatie en registreert de resultaten vervolgens in een report.json bestand.
HTTP-CRL - Waarschuwing
probleem- Certificaat bevat geen HTTP-CRL in CDP-extensie.
oplossen: dit is een niet-blokkerend probleem. Azure Stack vereist HTTP CRL voor intrekkingscontrole volgens PKI-certificaatvereisten (Public Key Infrastructure) van Azure Stack Hub. Er is geen HTTP-CRL gedetecteerd op het certificaat. Om ervoor te zorgen dat de certificaatintrekkingscontrole werkt, moet de certificeringsinstantie een certificaat uitgeven met een HTTP-CRL in de CDP-extensie.
HTTP-CRL - mislukt
probleem: kan geen verbinding maken met HTTP CRL in CDP-extensie.
oplossen: dit is een blokkeringsprobleem. Azure Stack vereist connectiviteit met een HTTP-CRL voor controle op intrekking volgens Publicatie van Azure Stack Hub-poorten en -URLs (uitgaand).
PFX-versleuteling
probleem: PFX-versleuteling is niet TripleDES-SHA1.
Oplossing voor : PFX-bestanden exporteren met TripleDES-SHA1-versleuteling. Dit is de standaardversleuteling voor alle Windows 10-clients bij het exporteren vanuit de certificaatmodule of het gebruik van Export-PFXCertificate.
PFX lezen
Waarschuwing: met een wachtwoord worden alleen de persoonlijke gegevens in het certificaat beveiligd.
Fix - PFX-bestanden exporteren met de optionele instelling voor Certificaatprivacy inschakelen.
Probleem - PFX-bestand is ongeldig.
Fix - Exporteer het certificaat opnieuw met behulp van de stappen in Azure Stack Hub PKI-certificaten voorbereiden voor implementatie.
Handtekening-algoritme
Probleem- Handtekeningalgoritme is SHA1.
Fix: gebruik de stappen in het genereren van ondertekeningsaanvragen voor Azure Stack Hub-certificaten om de aanvraag voor certificaatondertekening (CSR) opnieuw te genereren met het handtekeningalgoritme van SHA256. Dien vervolgens de CSR opnieuw in bij de certificeringsinstantie om het certificaat opnieuw uit te geven.
Persoonlijke sleutel
Probleem: de persoonlijke sleutel ontbreekt of bevat het kenmerk van de lokale computer niet.
Fix : exporteer het certificaat opnieuw vanaf de computer die de CSR heeft gegenereerd, met behulp van de stappen in Azure Stack Hub PKI-certificaten voorbereiden voor implementatie. Deze stappen omvatten het exporteren vanuit het certificaatarchief van de lokale computer.
Certificaatketen
Probleem - Certificaatketen is niet voltooid.
Fix- Certificaten moeten een volledige certificaatketen bevatten. Exporteer het certificaat opnieuw met behulp van de stappen in Azure Stack Hub PKI-certificaten voorbereiden voor implementatie en selecteer de optie Indien mogelijk alle certificaten opnemen in het certificeringspad, indien mogelijk.
DNS-namen
probleem: de DNSNameList- op het certificaat bevat niet de naam van het Azure Stack Hub-service-eindpunt of een geldige jokertekenovereenkomst. Wildcard-overeenkomsten zijn alleen geldig voor het linker onderdeel van de DNS-naam.
*.region.domain.com is bijvoorbeeld alleen geldig voor portal.region.domain.com, niet *.table.region.domain.com.
Fix: gebruik de stappen in het genereren van ondertekeningsaanvragen voor Azure Stack Hub-certificaten om de CSR opnieuw te genereren met de juiste DNS-namen ter ondersteuning van Azure Stack Hub-eindpunten. Verzend de CSR opnieuw naar een certificeringsinstantie. Volg vervolgens de stappen in Azure Stack Hub PKI-certificaten voorbereiden voor implementatie om het certificaat te exporteren van de computer die de CSR heeft gegenereerd.
Sleutelgebruik
probleem- Sleutelgebruik ontbreekt digitale handtekening of sleutelcodering, of verbeterd sleutelgebruik ontbreekt serververificatie of clientverificatie.
Fix: Gebruik de stappen in Azure Stack Hub-certificaataanvraag voor ondertekeninggeneratie om de CSR opnieuw te genereren met de juiste sleutelgebruikskenmerken. Verzend de CSR opnieuw naar de certificeringsinstantie en controleer of een certificaatsjabloon het sleutelgebruik in de aanvraag niet overschrijft.
Sleutelgrootte
probleem- Sleutelgrootte is kleiner dan 2048.
Fix: gebruik de stappen in azure Stack Hub-certificaatondertekeningsaanvraag genereren om de CSR opnieuw te genereren met de juiste sleutellengte (2048) en verzend de CSR vervolgens opnieuw bij de certificeringsinstantie.
Ketenvolgorde
Probleem: de volgorde van de certificaatketen is incorrect.
Fix - Exporteer het certificaat opnieuw met behulp van de stappen in Azure Stack Hub PKI-certificaten voorbereiden voor implementatie en selecteer de optie Indien mogelijk alle certificaten opnemen in het certificeringspad. Zorg ervoor dat alleen het bladcertificaat is geselecteerd voor export.
Andere certificaten
Probleem: het PFX-pakket bevat certificaten die geen bladcertificaat zijn of deel uitmaken van de certificaatketen.
herstellen: exporteer het certificaat opnieuw met behulp van de stappen in Azure Stack Hub PKI-certificaten voorbereiden voor implementatieen selecteer de optie Indienmogelijk alle certificaten opnemen in het certificeringspad. Zorg ervoor dat alleen het bladcertificaat is geselecteerd voor export.
Veelvoorkomende verpakkingsproblemen oplossen
Het hulpprogramma AzsReadinessChecker bevat een helper-cmdlet met de naam Repair-AzsPfxCertificate, waarmee een PFX-bestand kan worden geĆÆmporteerd en geĆ«xporteerd om veelvoorkomende verpakkingsproblemen op te lossen, waaronder:
- PFX-versleuteling is niet TripleDES-SHA1.
- Private sleutel mist het kenmerk van de lokale computer.
- Certificaatketen is onvolledig of onjuist. De lokale computer moet de certificaatketen bevatten als het PFX-pakket dat niet doet.
- Andere certificaten
Repair-AzsPfxCertificate kan niet helpen als u een nieuwe CSR moet genereren en een certificaat opnieuw moet uitgeven.
Voorwaarden
De volgende vereisten moeten aanwezig zijn op de computer waarop het hulpprogramma wordt uitgevoerd:
Windows 10 of Windows Server 2016, met internetverbinding.
PowerShell 5.1 of hoger. Als u uw versie wilt controleren, voert u de volgende PowerShell-cmdlet uit en controleert u de primaire en secundaire versies:
$PSVersionTable.PSVersionConfigureer PowerShell voor Azure Stack Hub.
Download de nieuwste versie van de Azure Stack Hub-gereedheidscontrole hulpprogramma.
Een bestaand PFX-bestand importeren en exporteren
Open op een computer die voldoet aan de vereisten een PowerShell-prompt met verhoogde bevoegdheid en voer vervolgens de volgende opdracht uit om de gereedheidscontrole voor Azure Stack Hub te installeren:
Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrereleaseVoer vanuit de PowerShell-prompt de volgende cmdlet uit om het PFX-wachtwoord in te stellen. Voer het wachtwoord in wanneer u hierom wordt gevraagd:
$password = Read-Host -Prompt "Enter password" -AsSecureStringVoer vanuit de PowerShell-prompt de volgende opdracht uit om een nieuw PFX-bestand te exporteren:
- Geef voor
-PfxPathhet pad op naar het PFX-bestand waarmee u werkt. In het volgende voorbeeld luidt het pad als volgt:.\certificates\ssl.pfx. - Geef voor
-ExportPFXPathde locatie en naam van het PFX-bestand op voor export. In het volgende voorbeeld is het pad.\certificates\ssl_new.pfx:
Repair-AzsPfxCertificate -PfxPassword $password -PfxPath .\certificates\ssl.pfx -ExportPFXPath .\certificates\ssl_new.pfx- Geef voor
Nadat het hulpprogramma is voltooid, controleer de uitvoer op succes.
Repair-AzsPfxCertificate v1.1809.1005.1 started. Starting Azure Stack Hub Certificate Import/Export Importing PFX .\certificates\ssl.pfx into Local Machine Store Exporting certificate to .\certificates\ssl_new.pfx Export complete. Removing certificate from the local machine store. Removal complete. Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log Repair-AzsPfxCertificate Completed