Поделиться через


Требования к сертификатам

ОБЛАСТЬ ПРИМЕНЕНИЯ: Да для SKU GPU ProAzure Stack Edge Pro — GPUДа для SKU Pro 2Azure Stack Edge Pro 2Да для SKU R ProAzure Stack Edge Pro RДа для номера SKU Mini RAzure Stack Edge Mini R

В этой статье описываются требования к сертификатам, которые должны быть выполнены, прежде чем сертификаты можно будет установить на устройстве Azure Stack Edge Pro. Требования относятся к сертификатам PFX, центру выдачи, имени субъекта сертификата и альтернативному имени субъекта, а также поддерживаемым алгоритмам сертификатов.

Центр выдачи сертификатов

Ниже приведены требования к выдаче сертификатов:

  • Сертификаты должны быть выданы внутренним или общедоступным центром сертификации.

  • Использование самозаверяющих сертификатов не поддерживается.

  • Значение в поле сертификата Кому выдан: должно отличаться от значения в поле Кем выдан:, за исключением сертификатов корневого ЦС.

Алгоритмы сертификатов

На устройстве поддерживаются только сертификаты Rivest–Shamir–Adleman (RSA). Сертификаты алгоритма цифровых подписей на основе эллиптических кривых (ECDSA) не поддерживаются.

Сертификаты, содержащие открытый ключ RSA, называются сертификатами RSA. Сертификаты, содержащие открытый ключ шифрования на основе эллиптических кривых (ECC), называются сертификатами ECDSA (алгоритма цифровых подписей на основе эллиптических кривых).

Ниже приведены требования к алгоритму сертификата:

  • Сертификаты должны использовать алгоритм ключа RSA.

  • Поддерживаются только сертификаты RSA с поставщиком служб шифрования Microsoft RSA или SChannel.

  • В сертификате не должен использоваться алгоритм подписи SHA1.

  • Минимальный размер ключа — 4096.

Имя субъекта сертификата и альтернативное имя субъекта

Сертификаты должны соответствовать следующим требованиям к имени субъекта и альтернативному имени субъекта:

  • Можно использовать один сертификат, охватывающий все пространства имен в полях альтернативного имени субъекта (SAN) сертификата. Кроме того, можно использовать отдельные сертификаты для каждого пространства имен. Оба подхода требуют использования подстановочных знаков для конечных точек (в случаях, когда они необходимы), таких как большой двоичный объект (BLOB-объект).

  • Убедитесь, что имена субъектов (общее имя в имени субъекта) являются частью альтернативных имен субъектов в расширении альтернативного имени субъекта.

  • Можно использовать один подстановочный сертификат, охватывающий все пространства имен в полях SAN сертификата.

  • При создании сертификата конечной точки используйте следующую таблицу.

    Тип Имя субъекта (SN) Альтернативное имя субъекта (SAN) Пример имени субъекта
    Azure Resource Manager management.<Device name>.<Dns Domain> login.<Device name>.<Dns Domain>
    management.<Device name>.<Dns Domain>
    management.mydevice1.microsoftdatabox.com
    Хранилище BLOB-объектов *.blob.<Device name>.<Dns Domain> *.blob.< Device name>.<Dns Domain> *.blob.mydevice1.microsoftdatabox.com
    Локальный пользовательский интерфейс <Device name>.<DnsDomain> <Device name>.<DnsDomain> mydevice1.microsoftdatabox.com
    Один сертификат с несколькими SAN для обеих конечных точек <Device name>.<dnsdomain> <Device name>.<dnsdomain>
    login.<Device name>.<Dns Domain>
    management.<Device name>.<Dns Domain>
    *.blob.<Device name>.<Dns Domain>
    mydevice1.microsoftdatabox.com
    Узел <NodeSerialNo>.<DnsDomain> *.<DnsDomain>

    <NodeSerialNo>.<DnsDomain>
    mydevice1.microsoftdatabox.com
    VPN AzureStackEdgeVPNCertificate.<DnsDomain>

    * Имя AzureStackEdgeVPNCertificate прописано в коде.
    *.<DnsDomain>

    <AzureStackVPN>.<DnsDomain>
    edgevpncertificate.microsoftdatabox.com

Сертификат PFX

Сертификаты PFX, установленные на устройстве Azure Stack Edge Pro, должны соответствовать следующим требованиям:

  • При получении сертификатов из центра SSL убедитесь, что вы получаете полную цепочку подписывания для сертификатов.

  • При экспорте сертификата PFX убедитесь, что выбран параметр Include all certificates in the chain, if possible (Включить все сертификаты в цепочку, если возможно).

  • Используйте сертификат PFX для конечной точки, локального пользовательского интерфейса, узла, VPN и Wi-Fi, так как для Azure Stack Edge Pro требуются открытый и закрытый ключи. Для закрытого ключа должен быть установлен атрибут ключа локального компьютера.

  • В сертификате должен использоваться алгоритм шифрования PFX 3DES. Это шифрование по умолчанию используется при экспорте из клиента Windows 10 или хранилища сертификатов Windows Server 2016. Дополнительные сведения о 3DES см. в статье Triple DES.

  • PFX-файлы сертификатов должны иметь допустимые значения Цифровая подпись и KeyEncipherment в поле Использование ключа.

  • PFX-файлы сертификатов должны иметь значения Проверка подлинности сервера (1.3.6.1.5.5.7.3.1) и Проверка подлинности клиента (1.3.6.1.5.5.7.3.2) в поле Улучшенный ключ.

  • Если используется средство проверки готовности Azure Stack, пароли для всех PFX-файлов сертификатов должны быть одинаковыми во время развертывания. Дополнительные сведения см. в разделе Создание сертификатов для Azure Stack Edge Pro с помощью средства проверки готовности Azure Stack Hub.

  • Пароль для PFX-файла сертификата должен быть сложным. Запишите этот пароль, так как он будет использоваться в качестве параметра развертывания.

  • Используйте только сертификаты RSA с поставщиком служб шифрования Microsoft RSA или SChannel.

Дополнительные сведения см. в разделе Экспорт сертификатов PFX с помощью закрытого ключа.

Следующие шаги