你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

证书要求

适用于:对于 Pro GPU SKU 是必需的Azure Stack Edge Pro - GPU对于 Pro 2 SKU 是必需的Azure Stack Edge Pro 2对于 Pro R SKU 是必需的Azure Stack Edge Pro R对于 Mini R SKU 是必需的Azure Stack Edge Mini R

本文将介绍证书要求,必须满足这些要求,才能将证书安装到 Azure Stack Edge Pro 设备上。 这些要求与 PFX 证书、颁发机构、证书使用者名称和使用者可选名称以及受支持的证书算法相关。

证书颁发机构

证书颁发要求如下所示:

  • 证书必须由内部证书颁发机构或公共证书颁发机构颁发。

  • 不支持使用自签名证书。

  • 证书的“颁发给:”字段不得与“颁发者:”字段相同,根 CA 证书除外

证书算法

你的设备仅支持 Rivest–Shamir–Adleman (RSA) 证书。 不支持椭圆曲线数字签名算法 (ECDSA) 证书。

包含 RSA 公钥的证书称为 RSA 证书。 包含椭圆曲线加密 (ECC) 公钥的证书称为 ECDSA(椭圆曲线数字签名算法)证书。

证书算法要求如下所示:

  • 证书必须使用 RSA 密钥算法。

  • 仅支持提供程序为 Microsoft RSA/Schannel Cryptographic Provider 的 RSA 证书。

  • 证书签名算法不能为 SHA1。

  • 密钥大小下限为 4096。

证书使用者名称和使用者可选名称

证书必须满足以下使用者名称和使用者可选名称要求:

  • 你可以在证书的使用者可选名称 (SAN) 字段中使用涵盖所有命名空间的单个证书。 也可以为每个命名空间使用单个证书。 这两种方法都要求必要时对终结点使用通配符,例如二进制大型对象 (Blob) 这种情况。

  • 确保使用者名称(使用者名称中的常用名称)是使用者可选名称扩展名中使用者可选名称的一部分。

  • 你可以使用一个涵盖证书 SAN 字段中所有命名空间的通配符证书。

  • 创建终结点证书时使用下表:

    类型 使用者名称 (SN) 使用者可选名称 (SAN) 使用者名称示例
    Azure 资源管理器 management.<Device name>.<Dns Domain> login.<Device name>.<Dns Domain>
    management.<Device name>.<Dns Domain>
    management.mydevice1.microsoftdatabox.com
    Blob 存储 *.blob.<Device name>.<Dns Domain> *.blob.< Device name>.<Dns Domain> *.blob.mydevice1.microsoftdatabox.com
    本地 UI <Device name>.<DnsDomain> <Device name>.<DnsDomain> mydevice1.microsoftdatabox.com
    两个终结点的多个 SAN 单一证书 <Device name>.<dnsdomain> <Device name>.<dnsdomain>
    login.<Device name>.<Dns Domain>
    management.<Device name>.<Dns Domain>
    *.blob.<Device name>.<Dns Domain>
    mydevice1.microsoftdatabox.com
    节点 <NodeSerialNo>.<DnsDomain> *.<DnsDomain>

    <NodeSerialNo>.<DnsDomain>
    mydevice1.microsoftdatabox.com
    VPN AzureStackEdgeVPNCertificate.<DnsDomain>

    * AzureStackEdgeVPNCertificate 采用硬编码。
    *.<DnsDomain>

    <AzureStackVPN>.<DnsDomain>
    edgevpncertificate.microsoftdatabox.com

PFX 证书

Azure Stack Edge Pro 设备上安装的 PFX 证书应满足以下要求:

  • 从 SSL 颁发机构获取证书时,请确保获取证书的完整签名链。

  • 导出 PFX 证书时,请确保已选择“包括证书链中的所有证书(如果可能)”选项

  • 为终结点、本地 UI、节点、VPN 和 Wi-Fi 使用 PFX 证书,因为 Azure Stack Edge Pro 既需要公钥,也需要私钥。 私钥必须设置本地计算机密钥属性。

  • 证书的 PFX 加密应当为 3DES。 这是从 Windows 10 客户端或 Windows Server 2016 证书存储导出时使用的默认加密。 如需了解与 3DES 相关的详细信息,请参阅三重 DES

  • 证书 PFX 文件的“密钥使用”字段中必须具有有效的“数字签名”和“密钥加密”值

  • 证书 PFX 文件的“增强型密钥使用”字段中必须包含“服务器身份验证(1.3.6.1.5.5.7.3.1)”和“客户端身份验证(1.3.6.1.5.5.7.3.2)”值

  • 如果使用的是 Azure Stack 准备情况检查器工具,则在部署时所有证书 PFX 文件的密码必须相同。 有关详细信息,请参阅使用 Azure Stack Hub 准备情况检查器工具为 Azure Stack Edge Pro 创建证书

  • 证书 PFX 的密码必须是复杂密码。 请记下此密码,因为它将用作部署参数。

  • 仅使用提供程序为 Microsoft RSA/Schannel Cryptographic Provider 的 RSA 证书。

有关详细信息,请参阅导出带私钥的 PFX 证书

后续步骤