Ověřovací certifikát serveru CMG
Platí pro: Configuration Manager (Current Branch)
Prvním krokem při nastavování brány pro správu cloudu (CMG) je získání ověřovacího certifikátu serveru. CmG vytvoří službu HTTPS, ke které se připojují internetoví klienti. Server k vytvoření zabezpečeného kanálu vyžaduje ověřovací certifikát serveru. Certifikát pro tento účel můžete získat od veřejného poskytovatele nebo ho vydat z infrastruktury veřejných klíčů (PKI).
Při vytváření cmg v konzole nástroje Configuration Manager zadáte tento certifikát. Běžný název (CN) tohoto certifikátu definuje název služby cmg.
Poznámka
Možná budete potřebovat další certifikáty pro klienty a body správy. Tyto certifikáty jsou popsány ve třetím kroku procesu nastavení CMG – Konfigurace ověřování klientů.
Připomenutí terminologie CMG, která se používá v tomto článku:
Název služby: Běžný název (CN) ověřovacího certifikátu serveru CMG. Klienti a role systému lokality spojovacího bodu CMG komunikují s tímto názvem služby. Například
GraniteFalls.contoso.com
neboGraniteFalls.WestUS.CloudApp.Azure.Com
.Název nasazení: První část názvu služby plus umístění Azure pro nasazení cloudové služby. Komponenta správce cloudových služeb spojovacího bodu služby používá tento název při nasazování CMG v Azure. Název nasazení je vždy v doméně Azure. Umístění Azure závisí na metodě nasazení, například:
- Škálovací sada virtuálních počítačů:
GraniteFalls.WestUS.CloudApp.Azure.Com
- Nasazení Classic:
GraniteFalls.CloudApp.Net
Důležité
Tento článek používá příklady se škálovací sadou virtuálních počítačů jako doporučenou metodou nasazení ve verzi 2107 a novější. Pokud používáte nasazení Classic, všimněte si rozdílu při čtení tohoto článku a připravte ověřovací certifikát serveru.
- Škálovací sada virtuálních počítačů:
Zvolte typ certifikátu.
Nejprve se rozhodněte, kde chcete certifikát získat. Je potřeba zvážit několik faktorů.
Klienti musí důvěřovat ověřovacímu certifikátu serveru CMG, aby mohli vytvořit kanál HTTPS se službou CMG. Existují dvě metody, jak dosáhnout tohoto vztahu důvěryhodnosti:
Použijte certifikát od veřejného a globálně důvěryhodného zprostředkovatele certifikátů.
Klienti Windows zahrnují důvěryhodné kořenové certifikační autority od těchto zprostředkovatelů. Když použijete certifikát vystavený jedním z těchto zprostředkovatelů, budou mu klienti automaticky důvěřovat.
S tímto certifikátem jsou spojené náklady, které jsou specifické pro daného poskytovatele.
Použijte certifikát vystavený certifikační autoritou organizace z infrastruktury veřejných klíčů (PKI).
Většina podnikových implementací infrastruktury veřejných klíčů přidává důvěryhodné kořenové certifikační autority do klientů s Windows. Například pokud používáte službu Active Directory Certificate Services se zásadami skupiny. Pokud vydáte ověřovací certifikát serveru CMG z certifikační autority, které vaši klienti automaticky nedůvěřují, přidejte důvěryhodný kořenový certifikát certifikační autority do internetových klientů.
Pokud plánujete nainstalovat klienta Configuration Manageru z Intune, můžete také pomocí profilů certifikátů Intune zřizovat certifikáty na klientech. Další informace najdete v tématu Konfigurace profilu certifikátu.
Vaše organizace může mít interní náklady na vydávání certifikátů, ale obecně s tímto certifikátem nejsou spojené žádné externí náklady.
Důležité
Než tento certifikát získáte, ujistěte se, že je název služby pro cloudovou službu a účet úložiště globálně jedinečný. Ujistěte se také, že název používá podporované znaky. Další informace najdete v tématu Globálně jedinečný název.
Souhrnné porovnání typů certifikátů
Veřejný poskytovatel | Infrastruktura veřejných klíčů organizace | |
---|---|---|
Vztah důvěryhodnosti klienta | Ve Windows je ve výchozím nastavení důvěryhodná | Automaticky s některými implementacemi, jinak je potřeba nasadit |
Cena | Ano | Není typické |
Příklad názvu služby | GraniteFalls.contoso.com |
GraniteFalls.contoso.com nebo GraniteFalls.WestUS.CloudApp.Azure.Com |
Vyžaduje se CNAME DNS. | Ano | Ne pro název služby Azure Domain Service (GraniteFalls.WestUS.CloudApp.Azure.Com ) |
Poznámka
Ověřovací certifikát serveru CMG podporuje zástupné cardy. Některé certifikační autority vydávají certifikáty pomocí zástupné znaky pro předponu názvu služby. Například: *.contoso.com
. Některé organizace používají zástupné certifikáty ke zjednodušení infrastruktury veřejných klíčů a snížení nákladů na údržbu.
Další informace o tom, jak používat certifikát se zástupným znakem s CMG, najdete v tématu Nastavení cmg.
Globálně jedinečný název
Tento certifikát vyžaduje globálně jedinečný název k identifikaci služby v Azure. Než požádáte o certifikát, ověřte, že požadovaný název nasazení Azure je jedinečný. Například: GraniteFalls.WestUS.CloudApp.Azure.Com
.
Škálovací sada virtuálních počítačů
Přihlaste se na portál Microsoft Azure.
Na domovské stránce webu Azure Portal vyberte Vytvořit prostředek v části Služby Azure.
Vyhledejte škálovací sadu virtuálních počítačů. Vyberte Vytvořit.
Vyberte předplatné a skupinu prostředků , které budete používat pro cmg.
Do pole Název škálovací sady virtuálních počítačů zadejte požadovanou předponu. Například:
GraniteFalls
.Vyberte oblast , kterou použijete pro cmg. Například (USA) USA – západ.
Rozhraní odráží, zda je název domény dostupný nebo již používán jinou službou.
Důležité
Nevytvovávejte službu na portálu, stačí pomocí tohoto postupu zkontrolovat dostupnost názvu.
Tento postup opakujte pro prostředek služby Key Vault . Nasazení škálovací sady virtuálních počítačů vytvoří trezor klíčů se stejným názvem, který musí být také globálně jedinečný.
Účet úložiště CMG s podporou obsahu
Pokud také povolíte CMG pro obsah, ověřte, že se jedná také o jedinečný název účtu úložiště Azure. Pokud je název nasazení CMG jedinečný, ale účet úložiště není, Configuration Manageru se nepodaří službu zřídit v Azure. Výše uvedený postup opakujte na webu Azure Portal s následujícími změnami:
Vyhledejte účet úložiště.
Otestujte své jméno v poli Název účtu úložiště .
Důležité
Předpona názvu DNS by měla mít délku 3 až 24 znaků a obsahovat pouze číslice a malá písmena. Nepoužívejte speciální znaky, například pomlčku (-
). Příklad: granitefalls
.
Vystavení certifikátu
Ověřovací certifikát serveru CMG podporuje následující konfigurace:
Délka 2048bitového nebo 4096bitového klíče
Tento certifikát podporuje poskytovatele úložiště klíčů pro privátní klíče certifikátu (v3). Další informace najdete v tématu Přehled certifikátů CNG v3.
Použití certifikátu veřejného poskytovatele
Externí poskytovatel certifikátů nemůže vytvořit certifikát pro doménu Azure, jako je , jako je cloudapp.azure.com
, protože tyto domény vlastní Microsoft. Můžete získat pouze certifikát vystavený pro doménu, kterou vlastníte. Hlavním důvodem pro získání certifikátu od poskytovatele třetí strany je to, že vaši klienti už důvěřují kořenovému certifikátu tohoto zprostředkovatele.
Konkrétní proces získání tohoto certifikátu se liší podle poskytovatele. Další informace získáte od jiného poskytovatele certifikátů.
Běžný název certifikátu webového serveru:
Ujistili jste se, že název nasazení je globálně jedinečný v Azure pro cloudovou službu a účet úložiště. Například:
GraniteFalls.WestUS.CloudApp.Azure.Com
.Pokud chcete určit název služby, připojte předponu názvu nasazení (
GraniteFalls
) k názvu domény vaší organizace (contoso.com
).Jako běžný název certifikátu použijte tento název služby . Například:
GraniteFalls.contoso.com
.
Dále musíte vytvořit alias DNS CNAME.
Použití podnikového certifikátu PKI
Vystavení certifikátu webového serveru z infrastruktury veřejných klíčů vaší organizace se liší podle produktu. Pokyny k nasazení certifikátu služby pro cloudové distribuční body jsou určené pro službu Active Directory Certificate Services. Tento proces obecně platí pro ověřovací certifikát serveru CMG.
Běžný název certifikátu webového serveru:
Ujistili jste se, že název nasazení je globálně jedinečný v Azure pro cloudovou službu a účet úložiště. Například:
GraniteFalls.WestUS.CloudApp.Azure.Com
.Pokud chcete určit název služby, máte dvě možnosti:
Použijte název domény (doporučeno). Připojte předponu názvu nasazení (
GraniteFalls
) k názvu domény vaší organizace (contoso.com
). Například:GraniteFalls.contoso.com
. Pro tuto možnost musíte také vytvořit alias DNS CNAME.Použijte název nasazení Azure. Tato možnost nevyžaduje alias DNS CNAME. Příklady:
Pro veřejný cloud Azure:
GraniteFalls.WestUS.CloudApp.Azure.Com
.Pro cloud Azure US Government:
GraniteFalls.usgovcloudapp.net
.
Poznámka
Pokud se název nasazení Azure změní, budete muset službu znovu nasadit, abyste tento název služby změnili. Pokud je například název vaší služby v
cloudapp.net
doméně, nemůžete převést cmg klasické cloudové služby na škálovací sadu virtuálních počítačů. Pokud jako název služby CMG použijete název domény, můžete aktualizovat název DNS CNAME pro nový název nasazení.
Jako běžný název certifikátu použijte tento název služby .
Vytvoření aliasu DNS CNAME
Pokud název služby CMG používá název domény vaší organizace (GraniteFalls.contoso.com
), musíte vytvořit záznam kanonického názvu DNS (CNAME). Tento alias mapuje název služby na název nasazení.
Vytvořte záznam CNAME ve veřejném DNS vaší organizace. Služba CMG v Azure a všichni klienti, kteří ji používají, musí přeložit název služby. Příklady:
Společnost Contoso pojmenuje jejich CMG GraniteFalls.
Název nasazení v Azure je
GraniteFalls.WestUS.CloudApp.Azure.Com
.Ve veřejném oboru názvů DNS
contoso.com
společnosti Contoso vytvoří správce DNS nový záznam CNAME pro názevGraniteFalls.contoso.com
služby na název nasazení Azure.GraniteFalls.WestUS.CloudApp.Azure.Com
Když vytvoříte CMG, zatímco certifikát má GraniteFalls.contoso.com
jako CN, Nástroj Configuration Manager extrahuje pouze předponu názvu služby, například GraniteFalls. Tuto předponu připojí k doméně služby Azure (cloudapp.azure.com
) s oblastí (westus
) a vytvoří název nasazení. Například: GraniteFalls.WestUS.CloudApp.Azure.Com
. Alias CNAME v oboru názvů DNS pro vaši doménu (contoso.com
) mapuje tyto dva plně kvalifikované názvy domén.
Zásady klienta nástroje Configuration Manager zahrnují název GraniteFalls.contoso.com
služby CMG . Klient přeloží název služby prostřednictvím aliasu CNAME na název GraniteFalls.WestUS.CloudApp.Azure.Com
nasazení . Pak může přeložit IP adresu názvu nasazení pro komunikaci se službou v Azure.
Další kroky
Pokračujte v nastavení CMG konfigurací ID Microsoft Entra: