Udostępnij za pośrednictwem

Wymagania dotyczące certyfikatu

  • Artykuł

DOTYCZY: Tak dla jednostki SKU procesora GPU ProAzure Stack Edge Pro — GPUTak dla jednostki SKU Pro 2Azure Stack Edge Pro 2Tak dla jednostki SKU Pro RAzure Stack Edge Pro R Azure Stack Edge Mini RTak dla jednostki SKU Mini R

W tym artykule opisano wymagania dotyczące certyfikatów, które muszą zostać spełnione przed zainstalowaniem certyfikatów na urządzeniu Azure Stack Edge Pro. Wymagania są związane z certyfikatami PFX, urzędem wystawiającym, nazwą podmiotu certyfikatu i alternatywną nazwą podmiotu oraz obsługiwanymi algorytmami certyfikatów.

Urząd wystawiający certyfikaty

Wymagania dotyczące wystawiania certyfikatów są następujące:

  • Certyfikaty muszą być wystawiane z wewnętrznego urzędu certyfikacji lub publicznego urzędu certyfikacji.

  • Korzystanie z certyfikatów z podpisem własnym nie jest obsługiwane.

  • Pole Wystawione dla certyfikatu: nie może być takie samo jak pole Wystawione przez: z wyjątkiem certyfikatów głównego urzędu certyfikacji.

Algorytmy certyfikatów

W urządzeniu są obsługiwane tylko certyfikaty Rivest–Shamir-Adleman (RSA). Certyfikaty Elliptic Curve Digital Signature Algorithm (ECDSA) nie są obsługiwane.

Certyfikaty zawierające klucz publiczny RSA są określane jako certyfikaty RSA. Certyfikaty zawierające klucz publiczny Elliptic Curve Cryptographic (ECC) są określane jako certyfikaty ECDSA (Elliptic Curve Digital Signature Algorithm).

Wymagania dotyczące algorytmu certyfikatu są następujące:

  • Certyfikaty muszą używać algorytmu klucza RSA.

  • Obsługiwane są tylko certyfikaty RSA z dostawcą kryptograficznym Microsoft RSA/Schannel.

  • Algorytm podpisu certyfikatu nie może być algorytmem SHA1.

  • Minimalny rozmiar klucza to 4096.

Nazwa podmiotu certyfikatu i alternatywna nazwa podmiotu

Certyfikaty muszą spełniać następujące wymagania dotyczące nazwy podmiotu i alternatywnej nazwy podmiotu:

  • Można użyć jednego certyfikatu obejmującego wszystkie przestrzenie nazw w polach Alternatywna nazwa podmiotu certyfikatu (SAN). Alternatywnie można użyć poszczególnych certyfikatów dla każdej przestrzeni nazw. Oba podejścia wymagają użycia symboli wieloznacznych dla punktów końcowych, w razie potrzeby, takich jak binarny duży obiekt (blob).

  • Upewnij się, że nazwy podmiotów (nazwa pospolita w nazwie podmiotu) są częścią alternatywnych nazw podmiotów w rozszerzeniu alternatywnej nazwy podmiotu.

  • Można użyć pojedynczego certyfikatu wieloznacznych obejmującego wszystkie przestrzenie nazw w polach sieci SAN certyfikatu.

  • Podczas tworzenia certyfikatu punktu końcowego użyj poniższej tabeli:

    Typ Nazwa podmiotu (SN) Alternatywna nazwa podmiotu (SAN) Przykład nazwy podmiotu
    Azure Resource Manager management.<Device name>.<Dns Domain> login.<Device name>.<Dns Domain>
    management.<Device name>.<Dns Domain>    		 management.mydevice1.microsoftdatabox.com
    Blob storage *.blob.<Device name>.<Dns Domain> *.blob.< Device name>.<Dns Domain> *.blob.mydevice1.microsoftdatabox.com
    Lokalny interfejs użytkownika <Device name>.<DnsDomain> <Device name>.<DnsDomain> mydevice1.microsoftdatabox.com
    Pojedynczy certyfikat z wieloma sieciami SAN dla obu punktów końcowych <Device name>.<dnsdomain> <Device name>.<dnsdomain>
    login.<Device name>.<Dns Domain>
    management.<Device name>.<Dns Domain>
    *.blob.<Device name>.<Dns Domain>    		 mydevice1.microsoftdatabox.com
    Węzeł <NodeSerialNo>.<DnsDomain> *.<DnsDomain>

    <NodeSerialNo>.<DnsDomain>    		 mydevice1.microsoftdatabox.com
    VPN AzureStackEdgeVPNCertificate.<DnsDomain>

    * AzureStackEdgeVPNCertificate jest zakodowany na stałe.    		 *.<DnsDomain>

    <AzureStackVPN>.<DnsDomain>    		 edgevpncertificate.microsoftdatabox.com

Certyfikat PFX

Certyfikaty PFX zainstalowane na urządzeniu Azure Stack Edge Pro powinny spełniać następujące wymagania:

  • Po otrzymaniu certyfikatów z urzędu SSL upewnij się, że otrzymasz pełny łańcuch podpisywania dla certyfikatów.

  • Podczas eksportowania certyfikatu PFX upewnij się, że wybrano opcję Uwzględnij wszystkie certyfikaty w łańcuchu, jeśli jest to możliwe .

  • Użyj certyfikatu PFX dla punktu końcowego, lokalnego interfejsu użytkownika, węzła, sieci VPN i sieci Wi-Fi, ponieważ zarówno klucze publiczne, jak i prywatne są wymagane dla usługi Azure Stack Edge Pro. Klucz prywatny musi mieć ustawiony atrybut klucza komputera lokalnego.

  • Szyfrowanie PFX certyfikatu powinno mieć wartość 3DES. Jest to domyślne szyfrowanie używane podczas eksportowania z klienta systemu Windows 10 lub magazynu certyfikatów systemu Windows Server 2016. Aby uzyskać więcej informacji dotyczących 3DES, zobacz Triple DES.

  • Pliki PFX certyfikatu muszą mieć prawidłowe wartości Podpisu cyfrowego i KeyEncipherment w polu Użycie klucza.

  • Pliki PFX certyfikatu muszą mieć wartości Uwierzytelnianie serwera (1.3.6.1.5.5.7.3.1) i Uwierzytelnianie klienta (1.3.6.1.5.5.7.3.2) w polu Rozszerzone użycie klucza.

  • Hasła do wszystkich plików PFX certyfikatu muszą być takie same w czasie wdrażania, jeśli używasz narzędzia do sprawdzania gotowości usługi Azure Stack. Aby uzyskać więcej informacji, zobacz Create certificates for your Azure Stack Edge Pro using Azure Stack Hub Readiness Checker tool (Tworzenie certyfikatów dla usługi Azure Stack Edge Pro przy użyciu narzędzia do sprawdzania gotowości w usłudze Azure Stack Hub).

  • Hasło do certyfikatu PFX musi być złożonym hasłem. Zanotuj to hasło, ponieważ jest ono używane jako parametr wdrożenia.

  • Używaj tylko certyfikatów RSA z dostawcą usług kryptograficznych Microsoft RSA/Schannel.

Aby uzyskać więcej informacji, zobacz Eksportowanie certyfikatów PFX z kluczem prywatnym.

Następne kroki