مشاركة عبر

تمكين الوصول عن بعد من الشبكة الداخلية مع شهادة TLS/SSL (متقدم)

  • مقالة

في هذا البرنامج التعليمي، ستتعلم كيفية إعداد وقت تشغيل التكامل المستضاف ذاتيًا باستخدام أجهزة متعددة محلية وتمكين الوصول عن بُعد من الشبكة الداخلية مع شهادة TLS/SSL (متقدم) لتأمين الاتصال بين عقد وقت تشغيل التكامل.

المتطلبات الأساسية

  • مقدمة لتشفير SSL/TLS القوي.
  • يمكن أن تكون الشهادة شهادة TLS عامة لخادم ويب. المتطلبات:
    • يجب أن تكون الشهادة شهادة X 509 v 3 موثوق بها علنًا. نوصيك باستخدام الشهادات التي تصدرها هيئة تصديق شريكة عامة (CA).
    • يجب أن تثق كل عقدة وقت تشغيل التكامل بهذه الشهادة.
    • نوصي بشهادات اسم الموضوع البديل (SAN) لأن جميع أسماء النطاقات المؤهلة بالكامل (FQDN) لعقد وقت تشغيل التكامل مطلوبة لتأمينها بواسطة هذه الشهادة. (تحقق WCF TLS/SSL فقط من أن آخر اسم DNS في SAN قد تم إصلاحه في .NET Framework 4.6.1. راجع التخفيف: X 509 CertificateClaimSet.FindClaims Method لمزيد من المعلومات.)
    • شهادات Wildcard (*) غير مدعومة.
    • يجب أن تحتوي الشهادة على مفتاح خاص (مثل تنسيق PFX).
    • يمكن أن تستخدم الشهادة أي حجم مفتاح يدعمه Windows Server 2012 R 2 لشهادات TLS/SSL.
    • نحن ندعم شهادة CSP (مزود خدمة التشفير) فقط حتى الآن. الشهادات التي تستخدم مفاتيح CNG (موفر تخزين المفاتيح) غير مدعومة.

‏‏الخطوات

  1. تشغيل أسفل أمر PowerShell على جميع الأجهزة للحصول على FQDNs الخاصة بها:

    [System.Net.Dns]::GetHostByName("localhost").HostName

    على سبيل المثال، FQDNs هي node1.domain.contoso.com و node2.domain.contoso.com .

  2. إنشاء شهادة مع FQDNs لجميع الآلات في الموضوع اسم بديل.

    لقطة شاشة تظهر إنشاء شهادة باسم بديل للموضوع .

  3. قم بتثبيت الشهادة على جميع العقد إلى الجهاز المحلي ->شخصي بحيث يمكن تحديده على مدير تكوين وقت تشغيل التكامل:

    1. انقر على الشهادة وقم بتثبيتها.

    2. حدد الجهاز المحلي وأدخل كلمة المرور.

      لقطة شاشة توضح اختيار الجهاز المحلي.

    3. حدد وضع جميع الشهادات في المتجر التالي. انقر فوق تصفح. حدد شخصي.

    4. حدد إنهاء لتثبيت الشهادة.

  4. تمكين الوصول البعيد من intranet:

    1. أثناء تسجيل عقدة وقت تشغيل التكامل المستضافة ذاتيًا:

      1. حدد تمكين الوصول عن بعد من intranet وحدد التالي.

        لقطة شاشة توضح إمكانية الوصول عن بعد من intranet.

      2. قم بتعيين منفذ Tcp (8060 افتراضيًا). تأكد من فتح المنفذ على جدار الحماية.

      3. انقر فوق تحديد. في النافذة المنبثقة، اختر الشهادة الصحيحة وحدد إنهاء.

        لقطة شاشة تعرض شهادة الاختيار.

    2. بعد تسجيل عقدة وقت تشغيل التكامل المستضافة ذاتيًا:

      ملاحظة

      يمكن أن يؤدي وقت تشغيل التكامل المستضاف ذاتيًا إلى تغيير إعدادات الوصول عن بُعد فقط عندما يحتوي على عقدة واحدة ، والتي تكون حسب التصميم. خلاف ذلك، لا يمكن فحص زر الراديو.

      لقطة شاشة تظهر التمكين مع شهادة TLS/SSL (متقدم ).

      1. انتقل إلى مدير تكوين وقت التشغيل للتكامل ->الإعدادات -> المستضافة ذاتيًا الوصول عن بعد من الشبكة الداخلية. انقر فوق تغيير.

      2. اختر تمكين مع شهادة TLS/SSL (متقدم).

      3. انقر فوق تحديد. في النافذة المنبثقة، اختر الشهادة الصحيحة وحدد موافق.

        لقطة شاشة تُظهر اختيار الشهادة.

    3. تحقق من إعدادات الوصول عن بعد في إدارة تكوين وقت التشغيل للتكامل المستضافة ذاتيًا.

      لقطة شاشة تُظهر التحقق من إعدادات الوصول عن بُعد في الخطوة 1 من مدير تكوين وقت التشغيل للتكامل المستضاف ذاتيًا.

      لقطة شاشة تُظهر التحقق من إعدادات الوصول عن بُعد من مدير تكوين وقت التشغيل للتكامل المستضاف ذاتيًا في الخطوة 2.

  5. استخدام شهادة موقعة ذاتيًا إذا لم تكن لديك الشهادة الموثوقة علنًا:

    1. إنشاء شهادة موقعة ذاتيا وتصديرها (يمكن تخطي هذه الخطوة إذا كان لديك بالفعل الشهادة):

      1. إنشاء شهادة موقعة ذاتيا عبر PowerShell (بامتيازات مرتفعة):

        New-SelfSignedCertificate -DnsName contoso.com, node1.domain.contoso.com, node2.domain.contoso.com -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" -CertStoreLocation cert:\LocalMachine\My

      2. لتصدير الشهادة التي تم إنشاؤها باستخدام مفتاح خاص إلى ملف PFX محمي بكلمة مرور، ستحتاج إلى بصمة إبهامه. يمكن نسخه من نتائج New-SelfSignedCertificate الأمر. على سبيل المثال، هوCEB5B4372AA7BF877E56BCE27542F9F0A1AD197F.

      3. تصدير الشهادة التي تم إنشاؤها باستخدام المفتاح الخاص عبر PowerShell (مع امتيازات مرتفعة):

        $CertPassword = ConvertTo-SecureString -String “Password” -Force -AsPlainText
Export-PfxCertificate -Cert
cert:\LocalMachine\My\CEB5B4372AA7BF877E56BCE27542F9F0A1AD197F -FilePath C:\self-signedcertificate.pfx -Password $CertPassword

      4. لقد قمت بتصدير الشهادة باستخدام المفتاح الخاص إلى C:\ self -signedcertificate.pfx .

    2. قم بتثبيت الشهادة على جميع العقد من أجل: الجهاز المحلي -> مخزن شهادات الجذر الموثوق به :

      1. انقر على الشهادة وقم بتثبيتها.
      2. حدد الجهاز المحلي وأدخل كلمة المرور.
      3. حدد وضع جميع الشهادات في المتجر التالي. انقر فوق Browse. حدد شهادات اعتماد الجذر الموثوق بها .
      4. حدد إنهاء لتثبيت الشهادة.

      لقطة شاشة تعرض تثبيت الشهادة على جميع العقد.

  6. استكشاف الأخطاء وإصلاحها

    1. تحقق من وجود الشهادة في المتجر المستهدف:

      1. اتبع هذا الإجراء كيفية: عرض الشهادات باستخدام الأداة الإضافية MMC - WCF لعرض الشهادات (الكمبيوتر المحلي) في الأداة الإضافية MMC.

        لقطة شاشة تعرض شهادات المشاهدة في MMC.

      2. تأكد من تثبيت الشهادة في متجر شهادات الجذر الشخصي و (إذا كانت شهادة موقعة ذاتيًا).

        لقطة شاشة تعرض الشهادة المثبتة في متجر شهادات الجذر الشخصي والموثوق به.

    2. تحقق من أن الشهادة تحتوي على مفتاح خاص ولم تنته صلاحيتها.

      لقطة شاشة تظهر أن التحقق من الشهادة يحتوي على مفتاح خاص ولم تنته صلاحيته.

    3. تأكد من أن حساب الخدمة الخاص بوقت تشغيل التكامل المستضاف ذاتيًا (الحساب الافتراضي هو خدمة NT\ DIAHostService ) قد قرأ الإذن للمفاتيح الخاصة للشهادة:

      1. انقر بزر الماوس الأيمن على الشهادة - > جميع المهام -> إدارة المفاتيح الخاصة .

      2. إذا كانت الإجابة لا، فامنح الإذن، قدم ووفر.

        لقطة شاشة تعرض حساب الخدمة الخاص بوقت تشغيل التكامل المستضاف ذاتيًا قد قرأ الإذن للمفاتيح الخاصة للشهادة.