Requisitos de certificados
SE APLICA A:Azure Stack Edge Pro: GPUAzure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R
En este artículo se describen los requisitos de certificados que se deben cumplirse para que los certificados se puedan instalar en el dispositivo Azure Stack Edge Pro. Los requisitos están relacionados con los certificados PFX, la entidad emisora, el nombre del firmante y el nombre alternativo del firmante del certificado, y los algoritmos de certificado admitidos.
Entidad emisora de certificados
Los requisitos de emisión de certificados son los siguientes:
Los certificados deben emitirse desde una entidad de certificación interna o pública.
No se admite el uso de certificados autofirmados.
El campo Emitido para: del certificado no debe ser el mismo que su campo Emitido por:, excepto para los certificados de CA raíz.
Algoritmos de certificados
Los certificados Rivest–Shamir–Adleman (RSA) son los únicos que se admiten en su dispositivo. No se admiten los certificados Elliptic Curve Digital Signature Algorithm (ECDSA).
Los certificados que contienen una clave pública RSA se conocen como certificados RSA. Los certificados que contienen una clave pública criptográfica de curva elíptica (ECC) se conocen como certificados ECDSA (algoritmo de firma digital de curva elíptica).
Estos son los requisitos del algoritmo de certificados:
Los certificados no deben usar el algoritmo de claves RSA.
Solamente se admiten los certificados RSA con proveedor de servicios criptográficos RSA/Schannel de Microsoft.
El algoritmo de firma de certificados no puede ser SHA1.
El tamaño de clave mínimo es de 4096.
Nombre del firmante y nombre alternativo del firmante del certificado
Los certificados deben cumplir los siguientes requisitos de nombre del firmante y nombre alternativo del firmante:
Puede usar un único certificado que abarque todos los espacios de nombres en los campos de nombre alternativo del firmante (SAN) del certificado. O bien, como alternativa, puede usar certificados individuales para cada uno de los espacios de nombres. Para ambos enfoques hay que usar caracteres comodín para los puntos de conexión donde sean necesarios, como un objeto binario grande (blob).
Asegúrese de que los nombres de los firmantes (el nombre común en el nombre del firmante) formen parte de los nombres alternativos de los firmantes en la extensión de nombre alternativo del firmante.
Puede usar un único certificado comodín que abarque todos los espacios de nombres en el campo de SAN del certificado.
Al crear un certificado de punto de conexión, use la tabla siguiente:
Tipo Nombre del firmante (SN) Nombre alternativo del firmante (SAN) Ejemplo de nombre de firmante Azure Resource Manager management.<Device name>.<Dns Domain>
login.<Device name>.<Dns Domain>
management.<Device name>.<Dns Domain>
management.mydevice1.microsoftdatabox.com
Almacenamiento de blobs *.blob.<Device name>.<Dns Domain>
*.blob.< Device name>.<Dns Domain>
*.blob.mydevice1.microsoftdatabox.com
Interfaz de usuario local <Device name>.<DnsDomain>
<Device name>.<DnsDomain>
mydevice1.microsoftdatabox.com
Certificado único de varios SAN para ambos puntos de conexión <Device name>.<dnsdomain>
<Device name>.<dnsdomain>
login.<Device name>.<Dns Domain>
management.<Device name>.<Dns Domain>
*.blob.<Device name>.<Dns Domain>
mydevice1.microsoftdatabox.com
Nodo <NodeSerialNo>.<DnsDomain>
*.<DnsDomain>
<NodeSerialNo>.<DnsDomain>
mydevice1.microsoftdatabox.com
VPN AzureStackEdgeVPNCertificate.<DnsDomain>
* AzureStackEdgeVPNCertificate está codificado de forma rígida.*.<DnsDomain>
<AzureStackVPN>.<DnsDomain>
edgevpncertificate.microsoftdatabox.com
Certificado PFX
Los certificados PFX instalados en el dispositivo Azure Stack Edge Pro deben cumplir los siguientes requisitos:
Cuando obtenga los certificados de la entidad de certificación SSL, asegúrese de obtener la cadena de firma completa para los certificados.
Cuando exporte un certificado PFX, asegúrese de haber seleccionado la opción Include all certificates in the chain, if possible (Incluir todos los certificados en la cadena, si es posible).
Use un certificado PFX para el punto de conexión, la interfaz de usuario local, el nodo, la VPN y Wi-Fi, ya que se necesitan claves tanto públicas como privadas para Azure Stack Edge Pro. La clave privada debe tener establecido el atributo de clave de la máquina local.
El cifrado PFX del certificado debe ser 3DES. Este es el cifrado predeterminado que se usa al exportar desde un cliente de Windows 10 o desde un almacén de certificados de Windows Server 2016. Para obtener más información relacionada con 3DES, consulte Triple DES.
Los archivos PFX de certificado deben tener valores válidos de DigitalSignature y KeyEncipherment en el campo Uso de claves.
Los archivos PFX de certificado deben tener los valores Autenticación de servidor (1.3.6.1.5.5.7.3.1) y Autenticación de cliente (1.3.6.1.5.5.7.3.2) en el campo Uso mejorado de claves.
Las contraseñas para todos los archivos PFX de certificado deben ser las mismas en el momento de la implementación si usa la herramienta Azure Stack Readiness Checker. Para más información, consulte Creación de certificados para Azure Stack Edge Pro con la herramienta Azure Stack Hub Readiness Checker.
La contraseña para el archivo PFX de certificado tiene que ser una contraseña compleja. Tome nota de esta contraseña, ya que se usa como parámetro de implementación.
Use solamente certificados RSA con proveedor de servicios criptográficos RSA/Schannel de Microsoft.
Para obtener más información, consulte Exportación de certificados PFX con una clave privada.
Pasos siguientes
Creación de certificados para un dispositivo.
- Mediante cmdlets de Azure PowerShell.
- Mediante la herramienta Azure Stack Hub Readiness Checker.