Delen via

Certificaatvereisten

  • Artikel

VAN TOEPASSING OP: Ja voor Pro GPU-SKUAzure Stack Edge Pro - GPUJa voor Pro 2 SKUAzure Stack Edge Pro 2Ja voor Pro R SKUAzure Stack Edge Pro RJa voor Mini R SKUAzure Stack Edge Mini R

In dit artikel worden de certificaatvereisten beschreven waaraan moet worden voldaan voordat certificaten kunnen worden geïnstalleerd op uw Azure Stack Edge Pro-apparaat. De vereisten zijn gerelateerd aan PFX-certificaten, verlenende instantie, onderwerpnaam en alternatieve onderwerpnaam en ondersteunde certificaatalgoritmen.

Certificeringsinstantie

Vereisten voor certificaatuitgifte zijn als volgt:

  • Certificaten moeten worden uitgegeven door een interne certificeringsinstantie of een openbare certificeringsinstantie.

  • Het gebruik van zelfondertekende certificaten wordt niet ondersteund.

  • Het veld Uitgegeven aan het certificaat mag niet hetzelfde zijn als het veld Uitgegeven door: veld, met uitzondering van basis-CA-certificaten.

Certificaatalgoritmen

Alleen de RSA-certificaten (Rivest–Shamir–Adleman) worden ondersteund met uw apparaat. EcDSA-certificaten (Elliptic Curve Digital Signature Algorithm) worden niet ondersteund.

Certificaten die een openbare RSA-sleutel bevatten, worden RSA-certificaten genoemd. Certificaten die een openbare ECC-sleutel (Elliptic Curve Cryptographic) bevatten, worden ECDSA-certificaten (Elliptic Curve Digital Signature Algorithm) genoemd.

Vereisten voor certificaatalgoritmen zijn als volgt:

  • Certificaten moeten gebruikmaken van het RSA-sleutelalgoritmen.

  • Alleen RSA-certificaten met Microsoft RSA/Schannel Cryptographic Provider worden ondersteund.

  • Het algoritme voor certificaathandtekening kan niet SHA1 zijn.

  • De minimale sleutelgrootte is 4096.

Onderwerpnaam van certificaat en alternatieve naam voor onderwerp

Certificaten moeten voldoen aan de volgende vereisten voor onderwerpnaam en alternatieve onderwerpnaam:

  • U kunt één certificaat gebruiken voor alle naamruimten in de san-velden (Subject Alternative Name) van het certificaat. U kunt ook afzonderlijke certificaten gebruiken voor elk van de naamruimten. Voor beide benaderingen is het gebruik van jokertekens vereist voor eindpunten, zoals binair groot object (Blob).

  • Zorg ervoor dat de onderwerpnamen (algemene naam in de onderwerpnaam) deel uitmaken van alternatieve onderwerpnamen in de extensie alternatieve onderwerpnaam.

  • U kunt één jokertekencertificaat gebruiken voor alle naamruimten in de SAN-velden van het certificaat.

  • Gebruik de volgende tabel bij het maken van een eindpuntcertificaat:

    Type Onderwerpnaam (SN) Alternatieve naam voor onderwerp (SAN) Voorbeeld van onderwerpnaam
    Azure Resource Manager management.<Device name>.<Dns Domain> login.<Device name>.<Dns Domain>
    management.<Device name>.<Dns Domain>    		 management.mydevice1.microsoftdatabox.com
    Blob-opslag *.blob.<Device name>.<Dns Domain> *.blob.< Device name>.<Dns Domain> *.blob.mydevice1.microsoftdatabox.com
    Lokale gebruikersinterface <Device name>.<DnsDomain> <Device name>.<DnsDomain> mydevice1.microsoftdatabox.com
    Meerdere SAN-certificaten voor beide eindpunten <Device name>.<dnsdomain> <Device name>.<dnsdomain>
    login.<Device name>.<Dns Domain>
    management.<Device name>.<Dns Domain>
    *.blob.<Device name>.<Dns Domain>    		 mydevice1.microsoftdatabox.com
    Knooppunt <NodeSerialNo>.<DnsDomain> *.<DnsDomain>

    <NodeSerialNo>.<DnsDomain>    		 mydevice1.microsoftdatabox.com
    VPN AzureStackEdgeVPNCertificate.<DnsDomain>

    * AzureStackEdgeVPNCertificate is vastgelegd.    		 *.<DnsDomain>

    <AzureStackVPN>.<DnsDomain>    		 edgevpncertificate.microsoftdatabox.com

PFX-certificaat

De PFX-certificaten die op uw Azure Stack Edge Pro-apparaat zijn geïnstalleerd, moeten voldoen aan de volgende vereisten:

  • Wanneer u uw certificaten van de SSL-instantie krijgt, zorgt u ervoor dat u de volledige ondertekeningsketen voor de certificaten krijgt.

  • Wanneer u een PFX-certificaat exporteert, moet u ervoor zorgen dat u indien mogelijk de optie Alle certificaten opnemen in de keten hebt geselecteerd.

  • Gebruik een PFX-certificaat voor eindpunt, lokale gebruikersinterface, knooppunt, VPN en Wi-Fi, omdat zowel de openbare als de persoonlijke sleutels vereist zijn voor Azure Stack Edge Pro. Voor de persoonlijke sleutel moet het kenmerk van de lokale machinesleutel zijn ingesteld.

  • De PFX-versleuteling van het certificaat moet 3DES zijn. Dit is de standaardversleuteling die wordt gebruikt bij het exporteren vanuit een Windows 10-client of Windows Server 2016-certificaatarchief. Zie Triple DES voor meer informatie over 3DES.

  • De PFX-bestanden van het certificaat moeten geldige digitale handtekening - en KeyEncipherment-waarden hebben in het veld Sleutelgebruik .

  • De PFX-bestanden van het certificaat moeten de waarden Serververificatie (1.3.6.1.5.5.7.3.1) en Clientverificatie (1.3.6.1.5.5.7.3.2) hebben in het veld Uitgebreid sleutelgebruik .

  • De wachtwoorden voor alle PFX-certificaatbestanden moeten op het moment van implementatie hetzelfde zijn als u het hulpprogramma Gereedheidscontrole van Azure Stack gebruikt. Zie Certificaten voor uw Azure Stack Edge Pro maken met behulp van het hulpprogramma Gereedheidscontrole voor Azure Stack Hub voor meer informatie.

  • Het wachtwoord voor het PFX-certificaat moet een complex wachtwoord zijn. Noteer dit wachtwoord omdat het wordt gebruikt als een implementatieparameter.

  • Gebruik alleen RSA-certificaten met de Cryptografische provider Microsoft RSA/Schannel.

Zie PFX-certificaten exporteren met een persoonlijke sleutel voor meer informatie.

Volgende stappen

  • Certificaten voor uw apparaat maken

    • Via Azure PowerShell-cmdlets
    • Via het hulpprogramma Gereedheidscontrole van Azure Stack Hub.