Corriger les problèmes courants liés aux certificats PKI Azure Stack Hub

Les informations contenues dans cet article vous aideront à comprendre et à résoudre les problèmes courants liés aux certificats PKI Azure Stack Hub. Lorsque vous utilisez l’outil Azure Stack Hub Readiness Checker pour valider les certificats PKI Azure Stack Hub, vous constaterez peut-être la présence de problèmes. L’outil vérifie si les certificats répondent aux exigences PKI d’un déploiement Azure Stack Hub et respectent la rotation des secrets Azure Stack Hub, puis il journalise les résultats dans un fichier report.json.

Liste de révocation de certificats HTTP - Avertissement

Problème : Le certificat ne contient pas de liste de révocation de certificats HTTP dans l’extension CDP.

Correction : Il ne s’agit pas d’un problème bloquant. Azure Stack exige une liste de révocation de certificats HTTP pour vérifier la révocation, conformément aux conditions de certificat d’infrastructure à clé publique (PKI) d’Azure Stack Hub. Aucune liste de révocation de certificats HTTP n’a été détectée sur le certificat. Pour garantir le bon fonctionnement de la vérification de la révocation de certificats, l’autorité de certification doit émettre un certificat avec une liste de révocation de certificats HTTP dans l’extension CDP.

Liste de révocation de certificats HTTP - Échec

Problème : Impossible de se connecter à la liste de révocation de certificats HTTP dans l’extension CDP.

Correction : Il s’agit d’un problème bloquant. Azure Stack exige une connectivité à une liste de révocation de certificats HTTP pour vérifier la révocation, conformément à Publication des ports et URL Azure Stack Hub (trafic sortant).

Chiffrement PFX

Problème – Le chiffrement PFX n’est pas TripleDES-SHA1.

Correction – Exportez les fichiers PFX avec le chiffrement TripleDES-SHA1. Il s’agit du chiffrement par défaut pour tous les clients Windows 10 lors de l’exportation à partir du composant logiciel enfichable Certificat ou à l’aide de Export-PFXCertificate.

Lecture du fichier PFX

Avertissement : Le mot de passe protège uniquement les informations privées dans le certificat.

Correction – Exportez les fichiers PFX avec le paramètre facultatif Activer la confidentialité de certificat.

Problème – Le fichier PFX n’est pas valide.

Correction – Réexportez le certificat en suivant les étapes de la procédure Préparer des certificats PKI Azure Stack Hub pour le déploiement.

Algorithme de signature

Problème – L’algorithme de signature est SHA1.

Correction – Suivez les étapes de la procédure de génération d’une demande de signature de certificat (CSR) Azure Stack Hub pour regénérer la demande avec l’algorithme de signature SHA256. Ensuite, resoumettez la demande de signature de certificat à l’autorité de certification pour réémettre le certificat.

Clé privée

Problème – La clé privée est manquante ou ne contient pas l’attribut d’ordinateur Local.

Correction – Sur l’ordinateur qui a généré la demande CSR, réexportez le certificat en suivant les étapes de la procédure Préparer des certificats PKI Azure Stack Hub pour le déploiement. Ces étapes incluent l’exportation du certificat à partir du magasin de certificats de l’ordinateur local.

Chaîne d’approbation

Problème – La chaîne d’approbation n’est pas complète.

Correction – Les certificats doivent contenir une chaîne d’approbation complète. Réexportez le certificat en suivant les étapes de la procédure Préparer des certificats PKI Azure Stack Hub pour le déploiement, puis sélectionnez l’option Inclure tous les certificats dans le chemin d’accès de certification si possible.

Noms DNS

Problème – La liste DNSNameList sur le certificat ne contient pas le nom du point de terminaison du service Azure Stack Hub, ni de correspondance avec un caractère générique valide. Les correspondances avec un caractère générique ne sont valides que pour l’espace de noms situé à l’extrême gauche du nom DNS. Par exemple, *.region.domain.com est uniquement valide pour portal.region.domain.com, et non *.table.region.domain.com.

Correction – Suivez les étapes de la procédure de génération d’une demande de signature de certificat Azure Stack Hub pour regénérer la demande avec les noms DNS corrects, afin de prendre en charge les points de terminaison Azure Stack Hub. Soumettez à nouveau la demande CSR à une autorité de certification. Ensuite, suivez les étapes de la procédure Préparer des certificats PKI Azure Stack Hub pour le déploiement afin d’exporter le certificat à partir de la machine qui a généré la demande CSR.

Utilisation de la clé

Problème – La signature numérique ou le chiffrement de clé ne figure pas dans l’utilisation de la clé, ou l’authentification du serveur ou du client ne figure pas dans l’utilisation améliorée de la clé.

Correction – Suivez les étapes de la procédure Génération d’une demande de signature de certificat Azure Stack Hub pour regénérer la demande CSR avec les attributs corrects d’utilisation de la clé. Resoumettez la demande de signature de certificat à l’autorité de certification, puis vérifiez qu’aucun modèle de certificat ne remplace l’utilisation de la clé dans la demande.

Taille de la clé

Problème – La taille de la clé est inférieure à 2048.

Correction – Suivez les étapes de la procédure Génération d’une demande de signature de certificat Azure Stack Hub pour regénérer la demande de signature de certificat (CSR) avec la bonne longueur de clé (2048), puis resoumettez la demande CSR à l’autorité de certification.

Ordre de la chaîne

Problème – L’ordre de la chaîne d’approbation est incorrect.

Correction – Réexportez le certificat en suivant les étapes de la procédure Préparer des certificats PKI Azure Stack Hub pour le déploiement, puis sélectionnez l’option Inclure tous les certificats dans le chemin d’accès de certification si possible. Vérifiez que seul le certificat feuille est sélectionné pour l’exportation.

Autres certificats

Problème – Le package PFX contient des certificats qui ne sont pas le certificat feuille ou qui ne font pas partie de la chaîne d’approbation.

Correction – Réexportez le certificat en suivant les étapes de la procédure Préparer des certificats PKI Azure Stack Hub pour le déploiement, puis sélectionnez l’option Inclure tous les certificats dans le chemin d’accès de certification si possible. Vérifiez que seul le certificat feuille est sélectionné pour l’exportation.

Résoudre les problèmes courants de packaging

L’outil AzsReadinessChecker inclut une l’applet de commande d’assistance, appelée Repair-AzsPfxCertificate, capable d’importer puis exporter un fichier PFX afin de réparer les problèmes de package courants, comme :

  • Le chiffrement PFX n’est pas TripleDES-SHA1.
  • La clé privée n’a pas d’attribut d’ordinateur Local.
  • Chaîne d’approbation incomplète ou incorrecte. L’ordinateur local doit contenir la chaîne d’approbation si elle n’est pas présente dans le package PFX.
  • Autres certificats

Repair-AzsPfxCertificate n’est d’aucune utilité si vous devez générer une nouvelle demande CSR et réémettre un certificat.

Conditions préalables requises

L’ordinateur sur lequel l’outil s’exécute doit répondre aux prérequis suivants :

  • Windows 10 ou Windows Server 2016, avec connectivité à Internet.

  • PowerShell 5.1 ou ultérieur. Pour vérifier votre version, exécutez l’applet de commande PowerShell suivante, puis examinez les versions Major et Minor :

    $PSVersionTable.PSVersion
    
  • Configurez PowerShell pour Azure Stack Hub.

  • Téléchargez la dernière version de l’outil Azure Stack Hub Readiness Checker.

Importer et exporter un fichier PFX

  1. Sur un ordinateur qui répond aux prérequis, ouvrez une invite PowerShell avec privilège élevé, puis exécutez la commande suivante pour installer l’outil Azure Stack Hub Readiness Checker :

    Install-Module Microsoft.AzureStack.ReadinessChecker -Force -AllowPrerelease
    
  2. À l’invite PowerShell, exécutez l’applet de commande suivante pour définir le mot de passe PFX. Entrez le mot de passe quand vous y êtes invité :

    $password = Read-Host -Prompt "Enter password" -AsSecureString
    
  3. À l’invite PowerShell, exécutez la commande suivante pour exporter un nouveau fichier PFX :

    • Pour -PfxPath, spécifiez le chemin du fichier PFX que vous utilisez. Dans l’exemple suivant, le chemin est .\certificates\ssl.pfx.
    • Pour -ExportPFXPath, spécifiez l’emplacement et le nom du fichier PFX à exporter. Dans l’exemple suivant, le chemin est .\certificates\ssl_new.pfx :
    Repair-AzsPfxCertificate -PfxPassword $password -PfxPath .\certificates\ssl.pfx -ExportPFXPath .\certificates\ssl_new.pfx
    
  4. Au terme de l’exécution de l’outil, examinez la sortie pour voir si l’opération a réussi :

    Repair-AzsPfxCertificate v1.1809.1005.1 started.
    Starting Azure Stack Hub Certificate Import/Export
    Importing PFX .\certificates\ssl.pfx into Local Machine Store
    Exporting certificate to .\certificates\ssl_new.pfx
    Export complete. Removing certificate from the local machine store.
    Removal complete.
    Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
    Repair-AzsPfxCertificate Completed
    

Étapes suivantes