Požadavky na certifikáty infrastruktury veřejných klíčů (PKI) služby Azure Stack Hub
Azure Stack Hub má síť veřejné infrastruktury využívající externě přístupné veřejné IP adresy přiřazené malé sadě služeb Azure Stack Hub a případně virtuálním počítačům tenanta. Při nasazování služby Azure Stack Hub se vyžadují certifikáty PKI s příslušnými názvy DNS pro tyto koncové body veřejné infrastruktury služby Azure Stack Hub. Tento článek obsahuje informace o:
- Požadavky na certifikáty pro službu Azure Stack Hub
- Povinné certifikáty vyžadované pro nasazení služby Azure Stack Hub.
- Volitelné certifikáty vyžadované při nasazování poskytovatelů prostředků s přidanou hodnotou.
Poznámka
Azure Stack Hub ve výchozím nastavení používá k ověřování mezi uzly také certifikáty vydané interní certifikační autoritou (CA) integrovanou službou Active Directory. Při ověřování certifikátu všechny počítače infrastruktury služby Azure Stack Hub důvěřují kořenovému certifikátu interní certifikační autority přidáním tohoto certifikátu do místního úložiště certifikátů. Ve službě Azure Stack Hub nedochází k připínání ani filtrování certifikátů. Síť SAN každého certifikátu serveru se ověří podle plně kvalifikovaného názvu domény cíle. Ověří se také celý řetězec důvěryhodnosti spolu s datem vypršení platnosti certifikátu (standardní ověřování serveru TLS bez připnutí certifikátu).
Požadavky na certifikáty
Následující seznam popisuje obecné požadavky na vystavování certifikátů, zabezpečení a formátování:
- Certifikáty musí být vydané interní certifikační autoritou nebo veřejnou certifikační autoritou. Pokud se používá veřejná certifikační autorita, musí být součástí základní bitové kopie operačního systému jako součást programu Microsoft Trusted Root Authority Program. Úplný seznam najdete v tématu Seznam účastníků – Microsoft Trusted Root Program.
- Infrastruktura služby Azure Stack Hub musí mít síťový přístup k umístění seznamu odvolaných certifikátů (CRL) certifikační autority publikovanému v certifikátu. Tento seznam odvolaných certifikátů musí být koncovým bodem HTTP. Poznámka: Pro odpojená nasazení se nepodporují certifikáty vydané veřejnou certifikační autoritou (CA), pokud koncový bod seznamu CRL není přístupný. Další podrobnosti najdete v tématu Funkce, které jsou v odpojených nasazeních poškozené nebo nedostupné.
- Při obměně certifikátů v buildech před verzí 1903 musí být certifikáty vydány buď od stejné interní certifikační autority, která se používá k podepisování certifikátů poskytovaných při nasazení, nebo jakékoli veřejné certifikační autority shora.
- Při obměně certifikátů pro sestavení 1903 a novější může certifikáty vydávat libovolná podniková nebo veřejná certifikační autorita.
- Použití certifikátů podepsaných svým držitelem se nepodporuje.
- K nasazení a obměně můžete použít jeden certifikát pokrývající všechny názvové prostory v názvu subjektu certifikátu a alternativním názvu subjektu (SAN). Alternativně můžete pro každý obor názvů níže použít jednotlivé certifikáty, které služby Azure Stack Hub, které plánujete využívat, vyžadují. Oba přístupy vyžadují použití zástupných znaků pro koncové body, kde jsou potřeba, jako jsou KeyVault a KeyVaultInternal.
- Algoritmus podpisu certifikátu by neměl být SHA1.
- Certifikát musí mít formát PFX, protože pro instalaci služby Azure Stack Hub se vyžaduje veřejný i privátní klíč. Privátní klíč musí mít nastavený atribut klíče místního počítače.
- Šifrování PFX musí být 3DES (toto šifrování je výchozí při exportu z klienta Windows 10 nebo Windows Server 2016 úložiště certifikátů).
- Soubory pfx certifikátu musí mít v poli Použití klíče hodnotu Digitální podpis a KeyEncipherment.
- Soubory pfx certifikátu musí mít v poli Rozšířené použití klíče hodnoty Ověření serveru (1.3.6.1.5.5.7.3.1)" a "Ověření klienta (1.3.6.1.5.5.7.3.2)".
- Pole Vystaveno certifikátu nesmí být stejné jako pole Vystavit:
- Hesla ke všem souborům pfx certifikátu musí být v době nasazení stejná.
- Heslo k certifikátu pfx musí být složité heslo. Poznamenejte si toto heslo, protože ho použijete jako parametr nasazení. Heslo musí splňovat následující požadavky na složitost hesla:
- Minimální délka je osm znaků.
- Aspoň tři z následujících znaků: velké písmeno, malá písmena, čísla od 0 do 9, speciální znaky, abecední znak, který není velkými ani malými písmeny.
- Zajistěte, aby se názvy subjektů a alternativní názvy subjektů v příponě alternativního názvu subjektu (x509v3_config) shodovaly. Pole alternativního názvu subjektu umožňuje zadat další názvy hostitelů (weby, IP adresy, běžné názvy), které budou chráněny jedním certifikátem SSL.
Poznámka
Certifikáty podepsané svým držitelem se nepodporují.
Při nasazování služby Azure Stack Hub v odpojené režimu se doporučuje používat certifikáty vystavené podnikovou certifikační autoritou. To je důležité, protože klienti, kteří přistupují ke koncovým bodům služby Azure Stack Hub, musí být schopni kontaktovat seznam odvolaných certifikátů (CRL).
Poznámka
Přítomnost zprostředkující certifikační autority v řetězu vztahů důvěryhodnosti certifikátu je podporovaná .
Povinné certifikáty
Tabulka v této části popisuje certifikáty PKI veřejného koncového bodu služby Azure Stack Hub, které se vyžadují pro Microsoft Entra ID i pro nasazení služby AD FS Azure Stack Hub. Požadavky na certifikát jsou seskupené podle oblasti a použitých oborů názvů a certifikátů, které jsou pro každý obor názvů vyžadovány. Tabulka také popisuje složku, do které poskytovatel řešení kopíruje různé certifikáty pro veřejný koncový bod.
Vyžadují se certifikáty s příslušnými názvy DNS pro každý koncový bod veřejné infrastruktury služby Azure Stack Hub. Název DNS každého koncového bodu se vyjadřuje ve formátu:< předpona>.<oblast>.<plně kvalifikovaný název domény>.
Pro vaše nasazení <se hodnoty oblasti> a <plně kvalifikovaného názvu domény> musí shodovat s názvy oblastí a externích domén, které jste zvolili pro svůj systém Azure Stack Hub. Pokud je například oblast Redmond a název externí domény je contoso.com, názvy DNS budou mít <formát prefix.redmond.contoso.com>. Hodnoty <předpon> jsou předem navržené Microsoftem, aby popisovaly koncový bod zabezpečený certifikátem. Hodnoty <předpon> externích koncových bodů infrastruktury navíc závisí na službě Azure Stack Hub, která používá konkrétní koncový bod.
Pro produkční prostředí doporučujeme vygenerovat jednotlivé certifikáty pro každý koncový bod a zkopírovat je do odpovídajícího adresáře. Pro vývojová prostředí je možné certifikáty poskytnout jako jeden certifikát se zástupným znakem pokrývající všechny obory názvů v polích Předmět a Alternativní název subjektu (SAN) zkopírované do všech adresářů. Jeden certifikát, který pokrývá všechny koncové body a služby, je nezabezpečený stav, a proto je jen pro vývoj. Nezapomeňte, že obě možnosti vyžadují použití zástupných certifikátů pro koncové body, jako je acs a Key Vault tam, kde se vyžadují.
Poznámka
Během nasazování musíte zkopírovat certifikáty do složky nasazení, která odpovídá zprostředkovateli identity, se kterým nasazujete (Microsoft Entra ID nebo AD FS). Pokud používáte jeden certifikát pro všechny koncové body, musíte tento soubor certifikátu zkopírovat do každé složky nasazení, jak je popsáno v následujících tabulkách. Struktura složek je předem vytvořená ve virtuálním počítači nasazení a najdete ji tady: C:\CloudDeployment\Setup\Certificates.
| Složka nasazení | Požadovaný subjekt certifikátu a alternativní názvy subjektů (SAN) | Obor (podle oblasti) | Obor názvů subdomény |
|---|---|---|---|
| Veřejný portál | Portál.<oblast>.<Fqdn> | Portály | <oblast>.<Fqdn> |
| Portál pro správu | adminportal.<oblast>.<Fqdn> | Portály | <oblast>.<Fqdn> |
| Azure Resource Manager Public | Správa.<oblast>.<Fqdn> | Azure Resource Manager | <oblast>.<Fqdn> |
| Azure Resource Manager Správa | adminmanagement.<oblast>.<Fqdn> | Azure Resource Manager | <oblast>.<Fqdn> |
| ACSBlob | *.Blob.<oblast>.<Fqdn> (Zástupný certifikát SSL) |
Blob Storage | Blob.<oblast>.<Fqdn> |
| Tabulka ACS | *.Tabulka.<oblast>.<Fqdn> (Zástupný certifikát SSL) |
Table Storage | Tabulka.<oblast>.<Fqdn> |
| ACSQueue | *.Fronty.<oblast>.<Fqdn> (Zástupný certifikát SSL) |
Queue Storage | Fronty.<oblast>.<Fqdn> |
| KeyVault | *.Trezoru.<oblast>.<Fqdn> (Zástupný certifikát SSL) |
Key Vault | Trezoru.<oblast>.<Fqdn> |
| KeyVaultInternal | *.adminvault.<oblast>.<Fqdn> (Zástupný certifikát SSL) |
Interní trezor klíčů | adminvault.<oblast>.<Fqdn> |
| Hostitel rozšíření Správa | *.adminhosting.<oblast>.<fqdn> (zástupné certifikáty SSL) | Hostitel rozšíření Správa | adminhosting.<oblast>.<Fqdn> |
| Veřejný hostitel rozšíření | *.Hosting.<oblast>.<fqdn> (zástupné certifikáty SSL) | Veřejný hostitel rozšíření | Hosting.<oblast>.<Fqdn> |
Pokud nasadíte službu Azure Stack Hub pomocí režimu nasazení Microsoft Entra, stačí si vyžádat pouze certifikáty uvedené v předchozí tabulce. Pokud ale azure Stack Hub nasadíte pomocí režimu nasazení služby AD FS, musíte si také vyžádat certifikáty popsané v následující tabulce:
| Složka nasazení | Požadovaný subjekt certifikátu a alternativní názvy subjektů (SAN) | Obor (podle oblasti) | Obor názvů subdomény |
|---|---|---|---|
| ADFS | Adfs. <oblast>.<Fqdn> (Certifikát SSL) |
ADFS | <oblast>.<Fqdn> |
| Graph | Grafu. <oblast>.<Fqdn> (Certifikát SSL) |
Graph | <oblast>.<Fqdn> |
Důležité
Všechny certifikáty uvedené v této části musí mít stejné heslo.
Volitelné certifikáty PaaS
Pokud plánujete nasadit služby Azure Stack Hub PaaS (jako jsou SQL, MySQL, App Service nebo Event Hubs) po nasazení a konfiguraci služby Azure Stack Hub, musíte si vyžádat další certifikáty pro pokrytí koncových bodů služeb PaaS.
Důležité
Certifikáty, které používáte pro poskytovatele prostředků, musí mít stejnou kořenovou autoritu jako certifikáty používané pro globální koncové body služby Azure Stack Hub.
Následující tabulka popisuje koncové body a certifikáty požadované pro poskytovatele prostředků. Tyto certifikáty nemusíte kopírovat do složky nasazení služby Azure Stack Hub. Místo toho tyto certifikáty zadáte během instalace poskytovatele prostředků.
| Obor (podle oblasti) | Certifikát | Požadované předměty certifikátu a alternativní názvy subjektů (SAN) | Obor názvů subdomény |
|---|---|---|---|
| App Service | Výchozí certifikát SSL webového provozu | *.appservice. <oblast>.<Fqdn> *.scm.appservice. <oblast>.<Fqdn> *.sso.appservice. <oblast>.<Fqdn> (Zástupný certifikát SSL pro více domén1) |
appservice. <oblast>.<Fqdn> scm.appservice. <oblast>.<Fqdn> |
| App Service | rozhraní API | api.appservice. <oblast>.<Fqdn> (Certifikát SSL2) |
appservice. <oblast>.<Fqdn> scm.appservice. <oblast>.<Fqdn> |
| App Service | FTP | ftp.appservice. <oblast>.<Fqdn> (Certifikát SSL2) |
appservice. <oblast>.<Fqdn> scm.appservice. <oblast>.<Fqdn> |
| App Service | Jednotné přihlašování | sso.appservice. <oblast>.<Fqdn> (Certifikát SSL2) |
appservice. <oblast>.<Fqdn> scm.appservice. <oblast>.<Fqdn> |
| Event Hubs | SSL | *.eventhub. <oblast>.<Fqdn> (Zástupný certifikát SSL) |
eventhub. <oblast>.<Fqdn> |
| SQL, MySQL | SQL a MySQL | *.dbadapter. <oblast>.<Fqdn> (Zástupný certifikát SSL) |
dbadapter. <oblast>.<Fqdn> |
1 Vyžaduje jeden certifikát s několika alternativními názvy podmětů se zástupnými znakůýmimi sadou. U jednoho certifikátu nemusí být podporováno více sítí SAN se zástupnými ýmimi sadou.
2 A *.appservice. <oblast>.<Místo těchto tří certifikátů není možné použít zástupný certifikát fqdn> (api.appservice).<oblast>.<fqdn>, ftp.appservice. <oblast>.<fqdn> a sso.appservice. <oblast>.<plně kvalifikovaný název domény>. AppService explicitně vyžaduje použití samostatných certifikátů pro tyto koncové body.
Další kroky
Zjistěte, jak generovat certifikáty PKI pro nasazení služby Azure Stack Hub.