تمكين الوصول عن بعد من الشبكة الداخلية مع شهادة TLS/SSL (متقدم)
في هذا البرنامج التعليمي، ستتعلم كيفية إعداد وقت تشغيل التكامل المستضاف ذاتيًا باستخدام أجهزة متعددة محلية وتمكين الوصول عن بُعد من الشبكة الداخلية مع شهادة TLS/SSL (متقدم) لتأمين الاتصال بين عقد وقت تشغيل التكامل.
المتطلبات الأساسية
- مقدمة لتشفير SSL/TLS القوي.
- يمكن أن تكون الشهادة شهادة TLS عامة لخادم ويب. المتطلبات:
- يجب أن تكون الشهادة شهادة X 509 v 3 موثوق بها علنًا. نوصيك باستخدام الشهادات التي تصدرها هيئة تصديق شريكة عامة (CA).
- يجب أن تثق كل عقدة وقت تشغيل التكامل بهذه الشهادة.
- نوصي بشهادات اسم الموضوع البديل (SAN) لأن جميع أسماء النطاقات المؤهلة بالكامل (FQDN) لعقد وقت تشغيل التكامل مطلوبة لتأمينها بواسطة هذه الشهادة. (تحقق WCF TLS/SSL فقط من أن آخر اسم DNS في SAN قد تم إصلاحه في .NET Framework 4.6.1. راجع التخفيف: X 509 CertificateClaimSet.FindClaims Method لمزيد من المعلومات.)
- شهادات Wildcard (*) غير مدعومة.
- يجب أن تحتوي الشهادة على مفتاح خاص (مثل تنسيق PFX).
- يمكن أن تستخدم الشهادة أي حجم مفتاح يدعمه Windows Server 2012 R 2 لشهادات TLS/SSL.
- نحن ندعم شهادة CSP (مزود خدمة التشفير) فقط حتى الآن. الشهادات التي تستخدم مفاتيح CNG (موفر تخزين المفاتيح) غير مدعومة.
الخطوات
تشغيل أسفل أمر PowerShell على جميع الأجهزة للحصول على FQDNs الخاصة بها:
[System.Net.Dns]::GetHostByName("localhost").HostName
على سبيل المثال، FQDNs هي node1.domain.contoso.com و node2.domain.contoso.com .
إنشاء شهادة مع FQDNs لجميع الآلات في الموضوع اسم بديل.
قم بتثبيت الشهادة على جميع العقد إلى الجهاز المحلي ->شخصي بحيث يمكن تحديده على مدير تكوين وقت تشغيل التكامل:
انقر على الشهادة وقم بتثبيتها.
حدد الجهاز المحلي وأدخل كلمة المرور.
حدد وضع جميع الشهادات في المتجر التالي. انقر فوق تصفح. حدد شخصي.
حدد إنهاء لتثبيت الشهادة.
تمكين الوصول البعيد من intranet:
أثناء تسجيل عقدة وقت تشغيل التكامل المستضافة ذاتيًا:
حدد تمكين الوصول عن بعد من intranet وحدد التالي.
قم بتعيين منفذ Tcp (8060 افتراضيًا). تأكد من فتح المنفذ على جدار الحماية.
انقر فوق تحديد. في النافذة المنبثقة، اختر الشهادة الصحيحة وحدد إنهاء.
بعد تسجيل عقدة وقت تشغيل التكامل المستضافة ذاتيًا:
ملاحظة
يمكن أن يؤدي وقت تشغيل التكامل المستضاف ذاتيًا إلى تغيير إعدادات الوصول عن بُعد فقط عندما يحتوي على عقدة واحدة ، والتي تكون حسب التصميم. خلاف ذلك، لا يمكن فحص زر الراديو.
انتقل إلى مدير تكوين وقت التشغيل للتكامل ->الإعدادات -> المستضافة ذاتيًا الوصول عن بعد من الشبكة الداخلية. انقر فوق تغيير.
اختر تمكين مع شهادة TLS/SSL (متقدم).
انقر فوق تحديد. في النافذة المنبثقة، اختر الشهادة الصحيحة وحدد موافق.
تحقق من إعدادات الوصول عن بعد في إدارة تكوين وقت التشغيل للتكامل المستضافة ذاتيًا.
استخدام شهادة موقعة ذاتيًا إذا لم تكن لديك الشهادة الموثوقة علنًا:
إنشاء شهادة موقعة ذاتيا وتصديرها (يمكن تخطي هذه الخطوة إذا كان لديك بالفعل الشهادة):
إنشاء شهادة موقعة ذاتيا عبر PowerShell (بامتيازات مرتفعة):
New-SelfSignedCertificate -DnsName contoso.com, node1.domain.contoso.com, node2.domain.contoso.com -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" -CertStoreLocation cert:\LocalMachine\My
لتصدير الشهادة التي تم إنشاؤها باستخدام مفتاح خاص إلى ملف PFX محمي بكلمة مرور، ستحتاج إلى بصمة إبهامه. يمكن نسخه من نتائج
New-SelfSignedCertificate
الأمر. على سبيل المثال، هوCEB5B4372AA7BF877E56BCE27542F9F0A1AD197F
.تصدير الشهادة التي تم إنشاؤها باستخدام المفتاح الخاص عبر PowerShell (مع امتيازات مرتفعة):
$CertPassword = ConvertTo-SecureString -String “Password” -Force -AsPlainText Export-PfxCertificate -Cert cert:\LocalMachine\My\CEB5B4372AA7BF877E56BCE27542F9F0A1AD197F -FilePath C:\self-signedcertificate.pfx -Password $CertPassword
لقد قمت بتصدير الشهادة باستخدام المفتاح الخاص إلى C:\ self -signedcertificate.pfx .
قم بتثبيت الشهادة على جميع العقد من أجل: الجهاز المحلي -> مخزن شهادات الجذر الموثوق به :
- انقر على الشهادة وقم بتثبيتها.
- حدد الجهاز المحلي وأدخل كلمة المرور.
- حدد وضع جميع الشهادات في المتجر التالي. انقر فوق Browse. حدد شهادات اعتماد الجذر الموثوق بها .
- حدد إنهاء لتثبيت الشهادة.
استكشاف الأخطاء وإصلاحها
تحقق من وجود الشهادة في المتجر المستهدف:
اتبع هذا الإجراء كيفية: عرض الشهادات باستخدام الأداة الإضافية MMC - WCF لعرض الشهادات (الكمبيوتر المحلي) في الأداة الإضافية MMC.
تأكد من تثبيت الشهادة في متجر شهادات الجذر الشخصي و (إذا كانت شهادة موقعة ذاتيًا).
تحقق من أن الشهادة تحتوي على مفتاح خاص ولم تنته صلاحيتها.
تأكد من أن حساب الخدمة الخاص بوقت تشغيل التكامل المستضاف ذاتيًا (الحساب الافتراضي هو خدمة NT\ DIAHostService ) قد قرأ الإذن للمفاتيح الخاصة للشهادة:
انقر بزر الماوس الأيمن على الشهادة - > جميع المهام -> إدارة المفاتيح الخاصة .
إذا كانت الإجابة لا، فامنح الإذن، قدم ووفر.
الملاحظات
https://aka.ms/ContentUserFeedback.
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجعإرسال الملاحظات وعرضها المتعلقة بـ