Freigeben über


CMG-Serverauthentifizierungszertifikat

Gilt für: Configuration Manager (Current Branch)

Der erste Schritt beim Einrichten eines Cloudverwaltungsgateways (CLOUD Management Gateway, CMG) besteht darin, das Serverauthentifizierungszertifikat abzurufen. Das CMG erstellt einen HTTPS-Dienst, mit dem internetbasierte Clients eine Verbindung herstellen. Der Server erfordert ein Serverauthentifizierungszertifikat, um den sicheren Kanal zu erstellen. Sie können ein Zertifikat zu diesem Zweck von einem öffentlichen Anbieter erwerben oder es aus Ihrer Public Key-Infrastruktur (PKI) ausstellen.

Wenn Sie das CMG in der Configuration Manager-Konsole erstellen, stellen Sie dieses Zertifikat bereit. Der allgemeine Name (Common Name, CN) dieses Zertifikats definiert den Dienstnamen des CMG.

Hinweis

Möglicherweise benötigen Sie zusätzliche Zertifikate für Clients und Verwaltungspunkte. Diese Zertifikate werden im dritten Schritt des CMG-Setupprozesses behandelt, Konfigurieren der Clientauthentifizierung.

Eine Erinnerung an einige CMG-Terminologie, die in diesem Artikel verwendet wird:

  • Dienstname: Der allgemeine Name (Common Name, CN) des CMG-Serverauthentifizierungszertifikats. Clients und die CMG-Verbindungspunkt-Standortsystemrolle kommunizieren mit diesem Dienstnamen. Zum Beispiel GraniteFalls.contoso.com oder GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Bereitstellungsname: Der erste Teil des Dienstnamens sowie der Azure-Standort für die Clouddienstbereitstellung. Die Clouddienst-Manager-Komponente des Dienstverbindungspunkts verwendet diesen Namen bei der Bereitstellung des CMG in Azure. Der Bereitstellungsname befindet sich immer in einer Azure-Domäne. Der Azure-Standort hängt von der Bereitstellungsmethode ab, z. B.:

    • VM-Skalierungsgruppe: GraniteFalls.WestUS.CloudApp.Azure.Com
    • Klassische Bereitstellung: GraniteFalls.CloudApp.Net

    Wichtig

    In diesem Artikel werden Beispiele mit einer VM-Skalierungsgruppe als empfohlene Bereitstellungsmethode in Version 2107 und höher verwendet. Wenn Sie eine klassische Bereitstellung verwenden, beachten Sie den Unterschied, wenn Sie diesen Artikel lesen und das Serverauthentifizierungszertifikat vorbereiten.

Auswählen des Zertifikattyps

Entscheiden Sie zunächst, wo Sie das Zertifikat erhalten möchten. Es gibt mehrere Faktoren, die zu berücksichtigen sind.

Clients müssen dem CMG-Serverauthentifizierungszertifikat vertrauen, um den HTTPS-Kanal mit dem CMG-Dienst einzurichten. Es gibt zwei Methoden, um diese Vertrauensstellung zu erreichen:

  1. Verwenden Sie ein Zertifikat von einem öffentlichen und global vertrauenswürdigen Zertifikatanbieter.

    • Windows-Clients enthalten vertrauenswürdige Stammzertifizierungsstellen (CAs) von diesen Anbietern. Durch die Verwendung eines Zertifikats, das von einem dieser Anbieter ausgestellt wurde, vertrauen Ihre Clients diesem automatisch.

    • Für dieses Zertifikat fallen Kosten an, die für den Anbieter spezifisch sind.

  2. Verwenden Sie ein Zertifikat, das von einer Unternehmenszertifizierungsstelle aus Ihrer Public Key-Infrastruktur (PKI) ausgestellt wurde.

    • Die meisten Unternehmens-PKI-Implementierungen fügen windows-Clients die vertrauenswürdigen Stammzertifizierungsstellen hinzu. Beispielsweise, wenn Sie Active Directory-Zertifikatdienste mit Gruppenrichtlinie verwenden. Wenn Sie das CMG-Serverauthentifizierungszertifikat von einer Zertifizierungsstelle ausstellen, der Ihre Clients nicht automatisch vertrauen, fügen Sie internetbasierten Clients das vertrauenswürdige Stammzertifikat der Zertifizierungsstelle hinzu.

      Wenn Sie planen, den Configuration Manager-Client aus Intune zu installieren, können Sie auch Intune-Zertifikatprofile verwenden, um Zertifikate auf Clients bereitzustellen. Weitere Informationen finden Sie unter Konfigurieren eines Zertifikatprofils.

    • Ihre Organisation hat möglicherweise interne Kosten für die Ausstellung von Zertifikaten, aber es fallen im Allgemeinen keine externen Kosten an, die mit diesem Zertifikat verbunden sind.

Wichtig

Bevor Sie dieses Zertifikat erhalten, stellen Sie sicher, dass der Dienstname global eindeutig für den Clouddienst und das Speicherkonto ist. Stellen Sie außerdem sicher, dass der Name unterstützte Zeichen verwendet. Weitere Informationen finden Sie unter Global eindeutiger Name.

Zusammenfassender Vergleich von Zertifikattypen

Öffentlicher Anbieter Enterprise-PKI
Clientvertrauensstellung Standardmäßig vertrauenswürdig unter Windows Automatisch bei einigen Implementierungen, andernfalls muss bereitgestellt werden.
Cost Ja Nicht typisch
Beispiel für Dienstname GraniteFalls.contoso.com GraniteFalls.contoso.com oder GraniteFalls.WestUS.CloudApp.Azure.Com
DNS CNAME erforderlich Ja Nein für Den Namen des Azure-Domänendiensts (GraniteFalls.WestUS.CloudApp.Azure.Com)

Hinweis

Das CMG-Serverauthentifizierungszertifikat unterstützt Wildcards. Einige Zertifizierungsstellen stellen Zertifikate mit einem Wildcardzeichen für das Dienstnamenpräfix aus. Beispiel: *.contoso.com. Einige Organisationen verwenden Wildcardzertifikate, um ihre PKI zu vereinfachen und die Wartungskosten zu senken.

Weitere Informationen zur Verwendung eines Wildcardzertifikats mit einem CMG finden Sie unter Einrichten eines CMG.

Global eindeutiger Name

Dieses Zertifikat erfordert einen global eindeutigen Namen, um den Dienst in Azure zu identifizieren. Vergewissern Sie sich vor dem Anfordern eines Zertifikats, dass der gewünschte Azure-Bereitstellungsname eindeutig ist. Beispiel: GraniteFalls.WestUS.CloudApp.Azure.Com.

VM-Skalierungsgruppe

  1. Melden Sie sich beim Azure-Portal an.

  2. Wählen Sie auf der Startseite des Azure-Portals unter Azure-Dienste die Option Ressource erstellen aus.

  3. Suchen Sie nach VM-Skalierungsgruppe. Wählen Sie Erstellen aus.

  4. Wählen Sie das Abonnement und die Ressourcengruppe aus, die Sie für das CMG verwenden möchten.

  5. Geben Sie im Feld Name der VM-Skalierungsgruppe das gewünschte Präfix ein. Beispiel: GraniteFalls.

  6. Wählen Sie die Region aus, die Sie für das CMG verwenden möchten. Beispiel: (USA) USA, Westen.

Die Schnittstelle gibt an, ob der Domänenname verfügbar ist oder bereits von einem anderen Dienst verwendet wird.

Wichtig

Erstellen Sie den Dienst nicht im Portal, verwenden Sie einfach diesen Prozess, um die Verfügbarkeit des Namens zu überprüfen.

Wiederholen Sie diesen Vorgang für die Key Vault-Ressource . Die Bereitstellung der VM-Skalierungsgruppe erstellt einen Schlüsseltresor mit demselben Namen, der auch global eindeutig sein muss.

Inhaltsfähiges CMG-Speicherkonto

Wenn Sie das CMG auch für Inhalte aktivieren, vergewissern Sie sich, dass es sich auch um einen eindeutigen Azure-Speicherkontonamen handelt. Wenn der CMG-Bereitstellungsname eindeutig ist, das Speicherkonto jedoch nicht, kann Configuration Manager den Dienst nicht in Azure bereitstellen. Wiederholen Sie den obigen Vorgang im Azure-Portal mit den folgenden Änderungen:

  • Suchen Sie nach Speicherkonto.

  • Testen Sie Ihren Namen im Feld Speicherkontoname .

Wichtig

Das DNS-Namenspräfix sollte 3 bis 24 Zeichen lang sein und nur Zahlen und Kleinbuchstaben enthalten. Verwenden Sie keine Sonderzeichen, z. B. einen Gedankenstrich (-). Beispiel: granitefalls.

Ausstellen des Zertifikats

Das CMG-Serverauthentifizierungszertifikat unterstützt die folgenden Konfigurationen:

  • 2048-Bit- oder 4096-Bit-Schlüssellänge

  • Dieses Zertifikat unterstützt Schlüsselspeicheranbieter für private Zertifikatschlüssel (v3). Weitere Informationen finden Sie unter Übersicht über CNG v3-Zertifikate.

Verwenden eines zertifikats eines öffentlichen Anbieters

Ein Zertifikatanbieter eines Drittanbieters kann kein Zertifikat für eine Azure-Domäne wie cloudapp.azure.comerstellen, da Microsoft besitzer dieser Domänen ist. Sie können nur ein Zertifikat für eine Domäne erhalten, die Sie besitzen. Der Hauptgrund für den Erwerb eines Zertifikats von einem Drittanbieter ist, dass Ihre Clients dem Stammzertifikat dieses Anbieters bereits vertrauen.

Der spezifische Prozess zum Abrufen dieses Zertifikats variiert je nach Anbieter. Wenden Sie sich an Ihren Drittanbieterzertifikatanbieter, um weitere Informationen zu erfahren.

Für den allgemeinen Namen (Common Name, CN) des Webserverzertifikats:

  • Sie haben sichergestellt, dass der Bereitstellungsname in Azure für den Clouddienst und das Speicherkonto global eindeutig ist. Beispiel: GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Um den Dienstnamen zu bestimmen, fügen Sie das Bereitstellungsnamenpräfix (GraniteFalls) an den Domänennamen Ihrer Organisation (contoso.com) an.

  • Verwenden Sie diesen Dienstnamen für den allgemeinen Namen des Zertifikats (Certificate Common Name, CN). Beispiel: GraniteFalls.contoso.com.

Als Nächstes müssen Sie einen DNS-CNAME-Alias erstellen.

Verwenden eines Unternehmens-PKI-Zertifikats

Das Ausstellen eines Webserverzertifikats von der PKI Ihrer Organisation variiert je nach Produkt. Die Anweisungen zum Bereitstellen des Dienstzertifikats für cloudbasierte Verteilungspunkte gelten für Active Directory-Zertifikatdienste. Dieser Prozess gilt in der Regel für das CMG-Serverauthentifizierungszertifikat.

Für den allgemeinen Namen (Common Name, CN) des Webserverzertifikats:

  • Sie haben sichergestellt, dass der Bereitstellungsname in Azure für den Clouddienst und das Speicherkonto global eindeutig ist. Beispiel: GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Um den Dienstnamen zu ermitteln, haben Sie zwei Möglichkeiten:

    • Verwenden Sie Ihren Domänennamen (empfohlen). Fügen Sie das Präfix für den Bereitstellungsnamen (GraniteFalls) an den Domänennamen Ihrer Organisation (contoso.com) an. Beispiel: GraniteFalls.contoso.com. Für diese Option müssen Sie auch einen DNS-CNAME-Alias erstellen.

    • Verwenden Sie den Azure-Bereitstellungsnamen. Für diese Option ist kein DNS-CNAME-Alias erforderlich. Zum Beispiel:

      • Für die öffentliche Azure-Cloud: GraniteFalls.WestUS.CloudApp.Azure.Com.

      • Für die Azure US Government-Cloud: GraniteFalls.usgovcloudapp.net.

      Hinweis

      Wenn sich der Name der Azure-Bereitstellung ändert, müssen Sie den Dienst erneut bereitstellen, um diesen Dienstnamen zu ändern. Wenn sich Ihr Dienstname beispielsweise in der cloudapp.net Domäne befindet, können Sie den klassischen Clouddienst-CMG nicht in eine VM-Skalierungsgruppe konvertieren. Wenn Sie Ihren Domänennamen für den CMG-Dienstnamen verwenden, können Sie den DNS-CNAME für den neuen Bereitstellungsnamen aktualisieren.

  • Verwenden Sie diesen Dienstnamen für den allgemeinen Namen des Zertifikats (Certificate Common Name, CN).

Erstellen eines DNS-CNAME-Alias

Wenn der CMG-Dienstname den Domänennamen Ihrer Organisation (GraniteFalls.contoso.com) verwendet, müssen Sie einen kanonischen DNS-Namenseintrag (CNAME) erstellen. Dieser Alias ordnet den Dienstnamen dem Bereitstellungsnamen zu.

Erstellen Sie einen CNAME-Eintrag im öffentlichen DNS Ihrer Organisation. Der CMG-Dienst in Azure und alle Clients, die ihn verwenden, müssen den Dienstnamen auflösen. Zum Beispiel:

  • Contoso benennt seine CMG GraniteFalls.

  • Der Bereitstellungsname in Azure lautet GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Im öffentlichen DNS-Namespace von Contoso erstellt der DNS-Administrator einen neuen CNAME-Eintrag für den Dienstnamen GraniteFalls.contoso.com für den Azure-Bereitstellungsnamencontoso.com. GraniteFalls.WestUS.CloudApp.Azure.Com

Wenn Sie das CMG erstellen, während das Zertifikat den CN aufweist GraniteFalls.contoso.com , extrahiert Configuration Manager nur das Dienstnamenpräfix, z. B. GraniteFalls. Dieses Präfix wird an die Azure-Dienstdomäne (cloudapp.azure.com) mit der Region (westus) angefügt, um den Bereitstellungsnamen zu erstellen. Beispiel: GraniteFalls.WestUS.CloudApp.Azure.Com. Der CNAME-Alias im DNS-Namespace für Ihre Domäne (contoso.com) ordnet diese beiden FQDNs zu.

Die Configuration Manager-Clientrichtlinie enthält den CMG-Dienstnamen GraniteFalls.contoso.com. Der Client löst den Dienstnamen über den CNAME-Alias in den Bereitstellungsnamen auf. GraniteFalls.WestUS.CloudApp.Azure.Com Anschließend kann die IP-Adresse des Bereitstellungsnamens für die Kommunikation mit dem Dienst in Azure aufgelöst werden.

Nächste Schritte

Setzen Sie ihre CMG-Einrichtung fort, indem Sie die Microsoft Entra-ID konfigurieren: