Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Informacje przedstawione w tym artykule ułatwiają zrozumienie i rozwiązywanie typowych problemów z certyfikatami infrastruktury kluczy publicznych usługi Azure Stack Hub. Podczas korzystania z narzędzia do sprawdzania gotowości usługi Azure Stack Hub możesz wykryć problemy, aby weryfikować certyfikaty PKI usługi Azure Stack Hub. Narzędzie sprawdza, czy certyfikaty spełniają wymagania PKI dotyczące wdrożenia Azure Stack Hub i rotacji tajemnic Azure Stack Hub, a następnie rejestruje wyniki w pliku report.json.
Ostrzeżenie dotyczące HTTP CRL
problem — certyfikat nie zawiera HTTP CRL w rozszerzeniu CDP.
Rozwiązać — to problem nieblokujący. Usługa Azure Stack wymaga listy CRL protokołu HTTP do sprawdzania odwołania zgodnie z wymaganiami dotyczącymi certyfikatów infrastruktury kluczy publicznych (PKI) usługi Azure Stack Hub zgodnie z. Na certyfikacie nie wykryto listy CRL PROTOKOŁU HTTP. Aby upewnić się, że sprawdzanie odwołania certyfikatów działa, urząd certyfikacji powinien wydać certyfikat z CRL HTTP w rozszerzeniu CDP.
Lista CRL HTTP - Niepowodzenie
Zagadnienie — nie można nawiązać połączenia z Certyfikatową Listą Odwołania (CRL) HTTP w rozszerzeniu CDP.
Poprawka — jest to blokujący problem. Usługa Azure Stack wymaga łączności z CRL HTTP w celu sprawdzenia odwołania zgodnie z Publikowanie portów i wychodzących adresów URL Azure Stack Hub.
Szyfrowanie PFX
Problem — szyfrowanie PFX nie jest tripleDES-SHA1.
Fix — eksportowanie plików PFX przy użyciu szyfrowania TripleDES-SHA1. Jest to domyślne szyfrowanie dla wszystkich klientów systemu Windows 10 podczas eksportowania z przystawki certyfikatu lub przy użyciu Export-PFXCertificate.
Odczyt pliku PFX
Ostrzeżenie — hasło chroni tylko informacje prywatne w certyfikacie.
Fix — wyeksportuj pliki PFX z opcjonalnym ustawieniem Włącz prywatność certyfikatu.
problem — nieprawidłowy plik PFX.
Fix — ponownie wyeksportuj certyfikat, wykonując kroki opisane w temacie Przygotowywanie certyfikatów PKI usługi Azure Stack Hub do wdrożenia.
Algorytm podpisu
Problem — algorytm podpisu to SHA1.
Fix — użyj kroków generowania żądania podpisania certyfikatów w Azure Stack Hub, aby ponownie wygenerować żądanie podpisania certyfikatu (CSR) z użyciem algorytmu podpisu SHA256. Następnie ponownie prześlij CSR do urzędu certyfikacji, aby ponownie wydać certyfikat.
Klucz prywatny
Problem — brakuje klucza prywatnego lub nie zawiera atrybutu komputera lokalnego.
Poprawki — na komputerze, z którego wygenerowano żądanie podpisania certyfikatu (CSR), ponownie eksportuj certyfikat, wykonując kroki opisane w sekcji Przygotowanie certyfikatów PKI usługi Azure Stack Hub do wdrożenia. Te kroki obejmują eksportowanie z magazynu certyfikatów komputera lokalnego.
Łańcuch certyfikatów
Problem — łańcuch certyfikatów nie został ukończony.
Fix — certyfikaty powinny zawierać pełny łańcuch certyfikatów. Ponownie wyeksportuj certyfikat, wykonując kroki opisane w Przygotowanie certyfikatów PKI usługi Azure Stack Hub do wdrożenia i wybierz opcję Uwzględnij wszystkie certyfikaty w ścieżce certyfikacji, jeśli to możliwe.
Nazwy DNS
Problem — DNSNameList nie zawiera nazwy punktu końcowego usługi Azure Stack Hub ani prawidłowego dopasowania wieloznacznych. Dopasowania symboli wieloznacznych są prawidłowe tylko dla lewej większości przestrzeni nazw DNS. Na przykład *.region.domain.com jest prawidłowy tylko dla portal.region.domain.com, a nie *.table.region.domain.com.
Fix — wykonaj kroki opisane w temacie Generowanie żądania podpisania certyfikatów usługi Azure Stack Hub, aby ponownie wygenerować żądanie CSR z poprawnymi nazwami DNS w celu obsługi punktów końcowych usługi Azure Stack Hub. Prześlij ponownie csr do urzędu certyfikacji. Następnie wykonaj kroki opisane w Przygotowanie certyfikatów PKI usługi Azure Stack Hub do wdrożenia w celu wyeksportowania certyfikatu z maszyny, która wygenerowała żądanie CSR.
Użycie klucza
Problem — Brak podpisu cyfrowego lub szyfrowania klucza, albo brak rozszerzonego użycia klucza z uwierzytelnieniem serwera lub klienta.
Fix — wykonaj kroki opisane w generowaniu żądania podpisania certyfikatów usługi Azure Stack Hub, aby ponownie wygenerować żądanie CSR przy użyciu odpowiednich atrybutów użycia klucza. Prześlij ponownie wniosek CSR do urzędu certyfikacji i upewnij się, że szablon certyfikatu nie przesłania przeznaczenia klucza w żądaniu.
Rozmiar klucza
Problem — rozmiar klucza jest mniejszy niż 2048.
Fix — wykonaj kroki opisane w generowaniu żądania podpisania certyfikatów usługi Azure Stack Hub w celu ponownego wygenerowania CSR o prawidłowej długości klucza (2048), a następnie ponownie prześlij CSR do urzędu certyfikacyjnego.
Kolejność łańcucha
Problem — kolejność łańcucha certyfikatów jest niepoprawna.
Poprawka — ponowne wyeksportowanie certyfikatu, wykonując kroki zawarte w Przygotowanie certyfikatów PKI usługi Azure Stack Hub do wdrożenia i wybierz opcję Uwzględnij wszystkie certyfikaty w ścieżce certyfikacji, jeśli to możliwe. Upewnij się, że do eksportu wybrano tylko certyfikat liścia.
Inne certyfikaty
Problem — pakiet PFX zawiera certyfikaty, które nie są certyfikatem końcowym ani elementem łańcucha certyfikatów.
Poprawka — ponownie wyeksportuj certyfikat, wykonując kroki opisane w Przygotowanie certyfikatów PKI Azure Stack Hub do wdrożenia, a następnie wybierz opcję Uwzględnij wszystkie certyfikaty w ścieżce certyfikacji, jeśli to możliwe. Upewnij się, że do eksportu wybrano tylko certyfikat liścia.
Rozwiązywanie typowych problemów z pakowaniem
Narzędzie AzsReadinessChecker zawiera polecenie cmdlet pomocnika o nazwie Repair-AzsPfxCertificate, które umożliwia importowanie, a następnie eksportowanie pliku PFX, aby rozwiązać typowe problemy z pakowaniem, w tym:
- szyfrowanie PFX nie jest TripleDES-SHA1.
- Klucz prywatny nie ma atrybutu komputera lokalnego.
- łańcuch certyfikatów jest niekompletny lub nieprawidłowy. Komputer lokalny musi zawierać łańcuch certyfikatów, jeśli pakiet PFX nie zawiera go.
- Inne certyfikaty
Repair-AzsPfxCertificate nie może pomóc, jeśli konieczne jest wygenerowanie nowego CSR i ponowne wydanie certyfikatu.
Warunki wstępne
Na komputerze, na którym działa narzędzie, należy spełnić następujące wymagania wstępne:
Windows 10 lub Windows Server 2016 z łącznością internetową.
Program PowerShell 5.1 lub nowszy. Aby sprawdzić swoją wersję, uruchom następujące polecenie cmdlet programu PowerShell, a następnie przejrzyj wersje główne i wersje drugorzędne:
$PSVersionTable.PSVersionSkonfiguruj program PowerShell dla usługi Azure Stack Hub.
Pobierz najnowszą wersję narzędzia do sprawdzania gotowości usługi Azure Stack Hub.
Importowanie i eksportowanie istniejącego pliku PFX
Na komputerze, który spełnia wymagania wstępne, otwórz wiersz programu PowerShell z podwyższonym poziomem uprawnień, a następnie uruchom następujące polecenie, aby zainstalować narzędzie sprawdzania gotowości usługi Azure Stack Hub:
Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrereleaseW wierszu polecenia programu PowerShell uruchom następujące polecenie cmdlet, aby ustawić hasło PFX. Wprowadź hasło po wyświetleniu monitu:
$password = Read-Host -Prompt "Enter password" -AsSecureStringW wierszu polecenia programu PowerShell uruchom następujące polecenie, aby wyeksportować nowy plik PFX:
- W przypadku
-PfxPathokreśl ścieżkę do pliku PFX, z którym pracujesz. W poniższym przykładzie ścieżka jest.\certificates\ssl.pfx. - W przypadku
-ExportPFXPathokreśl lokalizację i nazwę pliku PFX do eksportu. W poniższym przykładzie ścieżka jest.\certificates\ssl_new.pfx:
Repair-AzsPfxCertificate -PfxPassword $password -PfxPath .\certificates\ssl.pfx -ExportPFXPath .\certificates\ssl_new.pfx- W przypadku
Po zakończeniu działania narzędzia przejrzyj dane wyjściowe pod kątem powodzenia:
Repair-AzsPfxCertificate v1.1809.1005.1 started. Starting Azure Stack Hub Certificate Import/Export Importing PFX .\certificates\ssl.pfx into Local Machine Store Exporting certificate to .\certificates\ssl_new.pfx Export complete. Removing certificate from the local machine store. Removal complete. Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log Repair-AzsPfxCertificate Completed