Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
As informações neste artigo ajudam você a entender e resolver problemas comuns com certificados PKI do Azure Stack Hub. Você pode descobrir problemas ao usar a ferramenta Azure Stack Hub Readiness Checker para validar certificados PKI do Azure Stack Hub. A ferramenta verifica se os certificados atendem aos requisitos de PKI de uma implantação do Azure Stack Hub e da rotação de segredos do Azure Stack Hub e, em seguida, registra os resultados em um arquivo report.json.
CRL HTTP - Aviso
Issue - O certificado não contém CRL HTTP na extensão CDP.
Fix - Este é um problema não impeditivo. O Azure Stack requer CRL HTTP para a verificação da revogação, de acordo com os requisitos de certificação da infraestrutura de chave pública (PKI) do Azure Stack Hub. Uma HTTP CRL não foi detetada no certificado. Para garantir que a verificação de revogação de certificados funcione, a Autoridade de Certificação deve emitir um certificado com uma CRL HTTP na extensão CDP.
CRL HTTP - Falha
Problema - Não é possível conectar-se à CRL HTTP na extensão CDP.
Fix - Este é um problema de bloqueio. O Azure Stack requer conectividade com uma CRL HTTP para verificação de revogação de certificado de acordo com Publicação das Portas e URLs do Hub do Azure Stack (saída).
Encriptação PFX
Problema - A criptografia PFX não é TripleDES-SHA1.
Fix - Exporte ficheiros PFX com encriptação TripleDES-SHA1. Esta é a criptografia predefinida para todos os clientes Windows 10 ao exportar a partir do snap-in de certificado ou usar Export-PFXCertificate.
Ler PFX
Aviso - A senha protege apenas as informações privadas no certificado.
Fix - Exporte ficheiros PFX com a configuração opcional para Ativar privacidade do certificado.
Problema - arquivo PFX inválido.
Fix - Reexporte o certificado usando as etapas em Preparar certificados PKI do Azure Stack Hub para implantação.
Algoritmo de assinatura
Problema - O algoritmo de assinatura é SHA1.
Fix - Use as etapas na geração de solicitação de assinatura de certificados do Azure Stack Hub para regenerar a solicitação de assinatura de certificado (CSR) com o algoritmo de assinatura SHA256. Em seguida, reenvie o CSR para a autoridade de certificação para reemitir o certificado.
Chave privada
Problema - A chave privada está ausente ou não contém o atributo da máquina local.
Fix - No computador que gerou o CSR, reexporte o certificado seguindo as etapas em Preparar os certificados PKI do Azure Stack Hub para implementação. Essas etapas incluem a exportação do repositório de certificados da máquina local.
Cadeia de certificados
Problema - A cadeia de certificados não está concluída.
Fix - Os certificados devem conter uma cadeia de certificados completa. Reexporte o certificado usando as etapas em Preparar certificados PKI do Azure Stack Hub para implantação e selecione a opção Incluir todos os certificados no caminho de certificação, se possível,.
Nomes DNS
Problema - A DNSNameList no certificado não contém o nome do ponto de extremidade do serviço Azure Stack Hub ou uma correspondência por curinga válida. As correspondências curinga são válidas apenas para o namespace mais à esquerda do nome DNS. Por exemplo, *.region.domain.com só é válido para portal.region.domain.com, não para *.table.region.domain.com.
Fix - Use as etapas na geração de solicitações de assinatura de certificados do Azure Stack Hub para regenerar o CSR com os nomes DNS corretos para dar suporte aos pontos de extremidade do Azure Stack Hub. Reenvie o CSR para uma autoridade de certificação. Em seguida, siga as etapas em Preparar certificados PKI do Azure Stack Hub para implantação para exportar o certificado da máquina que gerou o CSR.
Utilização da chave
Problema - O uso da chave não possui assinatura digital ou cifra de chave, ou o uso avançado de chave não possui autenticação de servidor ou autenticação de cliente.
Fix - Use as etapas em de geração de solicitação de assinatura de certificados do Azure Stack Hub para regenerar o CSR com os atributos de uso de chave corretos. Reenvie o CSR para a autoridade de certificação e confirme se um modelo de certificado não está substituindo o uso da chave na solicitação.
Tamanho da chave
Problema - O tamanho da chave é menor que 2048.
Fix - Utilize os passos do processo de geração da solicitação de assinatura de certificados no Azure Stack Hub para regenerar o CSR com o comprimento de chave correto (2048), e em seguida, reenvie o CSR para a autoridade de certificação.
Ordem em cadeia
Problema - A ordem da cadeia de certificados está incorreta.
Fix - Reexporte o certificado usando as etapas em Preparar certificados PKI do Azure Stack Hub para implantação e selecione a opção Incluir todos os certificados no caminho de certificação, se possível,. Certifique-se de que apenas o certificado de folha está selecionado para exportação.
Outros certificados
Issue - O pacote PFX contém certificados que não são o certificado final ou parte da cadeia de certificados.
Fix - Reexportar o certificado usando as etapas em Preparar certificados PKI do Azure Stack Hub para implantaçãoe selecione a opção Incluir todos os certificados no caminho de certificação, se possível. Certifique-se de que apenas o certificado de folha está selecionado para exportação.
Corrigir problemas comuns de empacotamento
A ferramenta AzsReadinessChecker contém um cmdlet auxiliar chamado Repair-AzsPfxCertificate, que pode importar e exportar um ficheiro PFX para corrigir problemas comuns de empacotamento, incluindo:
- A criptografia PFX de não é TripleDES-SHA1.
- Chave privada não possui o atributo de máquina local.
- A cadeia de certificados está incompleta ou errada. A máquina local deve conter a cadeia de certificados se o pacote PFX não contiver.
- Outros certificados
Repair-AzsPfxCertificate não pode ajudar caso seja necessário gerar um novo CSR e reemitir um certificado.
Pré-requisitos
Os seguintes pré-requisitos devem estar em vigor no computador no qual a ferramenta é executada:
Windows 10 ou Windows Server 2016, com conectividade à Internet.
PowerShell 5.1 ou posterior. Para verificar sua versão, execute o seguinte cmdlet do PowerShell e examine as versões Principal e Secundária:
$PSVersionTable.PSVersionConfigure o PowerShell para o Azure Stack Hub.
Baixe a versão mais recente da ferramenta Azure Stack Hub verificador de preparação.
Importar e exportar um arquivo PFX existente
Em um computador que atenda aos pré-requisitos, abra um prompt do PowerShell com privilégios elevados e execute o seguinte comando para instalar o verificador de preparação do Azure Stack Hub:
Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrereleaseNa linha de comando do PowerShell, execute o cmdlet a seguir para definir a palavra-passe PFX. Digite a senha quando solicitado:
$password = Read-Host -Prompt "Enter password" -AsSecureStringNo prompt do PowerShell, execute o seguinte comando para exportar um novo arquivo PFX:
- Para
-PfxPath, especifique o caminho para o arquivo PFX com o qual você está trabalhando. No exemplo a seguir, o caminho é.\certificates\ssl.pfx. - Para
-ExportPFXPath, especifique o local e o nome do arquivo PFX para exportação. No exemplo a seguir, o caminho é.\certificates\ssl_new.pfx:
Repair-AzsPfxCertificate -PfxPassword $password -PfxPath .\certificates\ssl.pfx -ExportPFXPath .\certificates\ssl_new.pfx- Para
Após a ferramenta ser concluída, verifique a saída para confirmar o sucesso.
Repair-AzsPfxCertificate v1.1809.1005.1 started. Starting Azure Stack Hub Certificate Import/Export Importing PFX .\certificates\ssl.pfx into Local Machine Store Exporting certificate to .\certificates\ssl_new.pfx Export complete. Removing certificate from the local machine store. Removal complete. Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log Repair-AzsPfxCertificate Completed