Zertifikate für Netzwerk-Controller erneuern

Gilt für: Azure Local 2311.2 und höher; Windows Server 2022 und Windows Server 2019

In diesem Artikel finden Sie Anweisungen, wie Sie Netzwerk-Controller-Zertifikate sowohl automatisch als auch manuell erneuern oder ändern können. Wenn Sie Probleme bei der Erneuerung Ihrer Network Controller-Zertifikate haben, wenden Sie sich an den Microsoft-Support.

In Ihrer SDN-Infrastruktur (Software Defined Networking, softwaredefiniertes Netzwerk) verwendet der Netzwerkcontroller zertifikatbasierte Authentifizierung, um Northbound-Kommunikationskanäle mit Verwaltungsclients und Southbound-Kommunikation mit Netzwerkgeräten (etwa Software Load Balancer) zu schützen. Die Netzwerkcontrollerzertifikate verfügen über einen Gültigkeitszeitraum, nach dem sie ungültig werden und nicht mehr als vertrauenswürdig gelten. Wir empfehlen Ihnen dringend, sie zu erneuern, bevor sie ablaufen.

Einen Überblick über Network Controller finden Sie unter Was ist Netzwerk-Controller?

Zeitpunkt zum Verlängern oder Ändern von Netzwerkcontrollerzertifikaten

Sie können Netzwerkcontrollerzertifikate verlängern oder ändern, wenn:

• sich die Zertifikate dem Ablaufdatum nähern. Sie können Netzwerkcontrollerzertifikate tatsächlich jederzeit verlängern, bevor sie ablaufen.

  Hinweis

  Wenn Sie vorhandene Zertifikate mit demselben Schlüssel verlängern, müssen Sie nichts weiter tun.

• Sie möchten ein selbstsigniertes Zertifikat durch ein von einer Zertifizierungsstelle signiertes Zertifikat ersetzen.

  Hinweis

  Stellen Sie beim Ändern der Zertifikate sicher, dass Sie denselben Antragstellername wie für das alte Zertifikat verwenden.

Arten von Netzwerkcontrollerzertifikaten

In Azure Local verwendet jede Netzwerk-Controller-VM zwei Arten von Zertifikaten:

• REST-Zertifikat: Ein einzelnes Zertifikat für die Northbound-Kommunikation mit REST-Clients (z. B. Windows Admin Center) und die Southbound-Kommunikation mit Hyper-V-Hosts und Software-Lastenausgleichsmodulen. Das gleiche Zertifikat ist auf allen Netzwerkcontroller-VMs vorhanden. Informationen zum Verlängern von REST-Zertifikaten finden Sie unter Verlängern von REST-Zertifikaten.

• Netzwerkcontroller-Knotenzertifikat: Ein Zertifikat auf jeder Netzwerkcontroller-VM für die Authentifizierung zwischen Knoten. Informationen zum Verlängern von Netzwerkcontroller-Knotenzertifikaten finden Sie unter Verlängern von Knotenzertifikaten.

Warnung

Lassen Sie dieses Zertifikat nicht ablaufen. Verlängern Sie sie vor ihrem Ablauf, um Authentifizierungsprobleme zu vermeiden. Entfernen Sie außerdem keine vorhandenen abgelaufenen Zertifikate, bevor Sie sie verlängern. Um das Ablaufdatum eines Zertifikats zu erfahren, siehe Zertifikatsablauf anzeigen.

Anzeigen des Zertifikatablaufs

Verwenden Sie das folgende Cmdlet auf jeder Netzwerkcontroller-VM, um das Ablaufdatum eines Zertifikats zu überprüfen:

Get-ChildItem Cert:\LocalMachine\My | where{$_.Subject -eq "CN=<Certificate-subject-name>"} | Select-Object NotAfter, Subject

• Um das Ablaufdatum eines REST-Zertifikats abzurufen, ersetzen Sie "Certificate-subject-name" durch die RestIPAdresse oder den RestName des Netzwerk-Controllers. Diesen Wert können Sie mit dem Cmdlet Get-NetworkController abrufen.

• Um das Ablaufdatum eines Knotenzertifikats abzurufen, ersetzen Sie „Certificate-subject-name“ durch den vollqualifizierten Domänennamen (FQDN) der Netzwerkcontroller-VM. Diesen Wert können Sie mit dem Cmdlet Get-NetworkController abrufen.

Netzwerk-Controller-Zertifikate erneuern

Sie können Ihre Network Controller-Zertifikate entweder automatisch oder manuell erneuern.

Automatische Erneuerung

Mit dem Cmdlet Start-SdnCertificateRotation können Sie die Erneuerung der Zertifikate Ihres Netzwerk-Controllers automatisieren. Die automatische Zertifikatserneuerung trägt dazu bei, Ausfallzeiten oder ungeplante Ausfälle aufgrund von Problemen mit dem Ablauf von Zertifikaten zu minimieren.

Hier sind die Szenarien, in denen Sie das Cmdlet Start-SdnCertificateRotation zur automatischen Erneuerung von Netzwerk-Controller-Zertifikaten verwenden können:

• Selbstsignierte Zertifikate. Verwenden Sie das Cmdlet Start-SdnCertificateRotation , um selbstsignierte Zertifikate zu erzeugen und diese Zertifikate in allen Netzwerk-Controller-Knoten zu erneuern.
• Bringen Sie Ihre eigenen Zertifikate mit. Sie bringen Ihre eigenen Zertifikate mit, entweder selbst signiert oder von einer Zertifizierungsstelle signiert, und verwenden das Cmdlet Start-SdnCertificateRotation zur Zertifikatserneuerung. Das Cmdlet installiert die Zertifikate auf allen Netzwerk-Controller-Knoten und verteilt sie an andere SDN-Infrastrukturkomponenten.
• Vorinstallierte Zertifikate. Sie haben die erforderlichen Zertifikate bereits auf den Netzwerk-Controller-Knoten installiert. Verwenden Sie das Cmdlet Start-SdnCertificateRotation , um diese Zertifikate für andere SDN-Infrastrukturkomponenten zu erneuern.

Weitere Informationen über das Erstellen und Verwalten von SDN-Zertifikaten finden Sie unter Verwalten von Zertifikaten für Software Defined Networking.

Anforderungen

Hier sind die Voraussetzungen für die automatische Erneuerung des Zertifikats:

• Sie müssen das Cmdlet Start-SdnCertificateRotation auf einem der Netzwerk-Controller-Knoten ausführen. Installationsanweisungen finden Sie unter Installieren des SdnDiagnostics-Moduls.

• Um die Kommunikation zwischen Netzwerk-Controller-Knoten zu autorisieren, benötigen Sie die Zugangsdaten für die folgenden zwei Arten von Konten:

  • Credential, um ein Benutzerkonto mit lokalen Admin-Rechten auf dem Network Controller anzugeben.

  • NcRestCredential, um ein Benutzerkonto mit Zugriff auf die Network Controller REST API anzugeben. Element von ClientSecurityGroup in Get-NetworkController. Dieses Konto wird verwendet, um die REST-API aufzurufen, um die Credential-Ressource mit dem neuen Zertifikat zu aktualisieren.

  Weitere Informationen zur Konfiguration der Autorisierung für die Northbound-Kommunikation des Netzwerk-Controllers finden Sie unter Autorisierung für Northbound-Kommunikation.

Selbstsignierte Zertifikate automatisch erneuern

Sie können das Cmdlet Start-SdnCertificateRotation verwenden, um neue selbstsignierte Zertifikate zu generieren und sie automatisch für alle Netzwerk-Controller-Knoten zu erneuern. Standardmäßig erzeugt das Cmdlet Zertifikate mit einer Gültigkeitsdauer von drei Jahren, aber Sie können auch eine andere Gültigkeitsdauer angeben.

Führen Sie diese Schritte auf einem der Netzwerk-Controller-Knoten aus, um selbstsignierte Zertifikate zu erzeugen und automatisch zu erneuern:

1. Um selbstsignierte Zertifikate zu erzeugen, führen Sie das Cmdlet Start-SdnCertificateRotation aus. Sie können den Parameter -Force mit dem Cmdlet verwenden, um Aufforderungen zur Bestätigung oder manuelle Eingaben während des Rotationsvorgangs zu vermeiden.

   • Um selbstsignierte Zertifikate mit der standardmäßigen Gültigkeitsdauer von drei Jahren zu erzeugen, führen Sie die folgenden Befehle aus:

     Import-Module -Name SdnDiagnostics -Force
     Start-SdnCertificateRotation -GenerateCertificate -CertPassword (Get-Credential).Password -Credential (Get-Credential)
     

   • Um selbstsignierte Zertifikate mit einer bestimmten Gültigkeitsdauer zu erzeugen, verwenden Sie den Parameter NotAfter , um die Gültigkeitsdauer anzugeben.

     Um beispielsweise selbstsignierte Zertifikate mit einer Gültigkeitsdauer von fünf Jahren zu erzeugen, führen Sie die folgenden Befehle aus:

     Import-Module -Name SdnDiagnostics -Force
     Start-SdnCertificateRotation -GenerateCertificate -CertPassword (Get-Credential).Password -NotAfter (Get-Date).AddYears(5) -Credential (Get-Credential)
     

2. Geben Sie die Anmeldedaten ein. Sie erhalten zwei Aufforderungen, zwei Arten von Anmeldeinformationen anzugeben:

   • Geben Sie in der ersten Eingabeaufforderung das Kennwort ein, mit dem das generierte Zertifikat geschützt werden soll. Der Benutzername kann beliebig sein und wird nicht verwendet.
   • Verwenden Sie an der zweiten Eingabeaufforderung Anmeldeinformationen, die Administratorzugriff auf alle Netzwerkcontrollerknoten gewähren.

3. Nachdem die neuen Zertifikate generiert wurden, erhalten Sie eine Warnung, in der Sie bestätigen müssen, ob Sie mit der Zertifikatsrotation fortfahren möchten. Der Warntext zeigt die Liste der Netzwerk-Controller-Zertifikate an, die durch die neu generierten Zertifikate ersetzt werden. Geben Sie zur Bestätigung Y ein.

   Hier ist ein Beispiel für einen Screenshot der Warnung:

   

4. Nachdem Sie die Fortsetzung der Zertifikatsrotation bestätigt haben, können Sie den Status der laufenden Vorgänge im PowerShell-Befehlsfenster einsehen.

   Wichtig

   Schließen Sie das PowerShell-Fenster erst, nachdem das Cmdlet abgeschlossen wurde. In Abhängigkeit von der Umgebung, also z. B. der Anzahl an Netzwerkcontrollerknoten im Cluster, kann es von einigen Minuten bis über eine Stunde dauern, bevor der Prozess abgeschlossen ist.

   Hier sehen Sie ein Beispiel für einen Screenshot des PowerShell-Befehlsfensters, das den Status der laufenden Vorgänge anzeigt:

   

Erneuern Sie Ihre eigenen Zertifikate automatisch

Zusätzlich zur Erzeugung von selbstsignierten Netzwerk-Controller-Zertifikaten können Sie auch Ihre eigenen Zertifikate mitbringen, entweder selbstsigniert oder CA-signiert, und das Cmdlet Start-SdnCertificateRotation verwenden, um diese Zertifikate zu erneuern.

Führen Sie diese Schritte auf einem der Netzwerk-Controller-Knoten aus, um Ihre eigenen Zertifikate automatisch zu erneuern:

1. Bereiten Sie Ihre Zertifikate im Format .pfx vor und speichern Sie sie in einem Ordner auf einem der Netzwerk-Controller-Knoten, von dem aus Sie das Cmdlet Start-SdnCertificateRotation ausführen. Sie können den Parameter -Force mit dem Cmdlet verwenden, um Aufforderungen zur Bestätigung oder manuelle Eingaben während des Rotationsvorgangs zu vermeiden.

2. Um die Zertifikatserneuerung zu starten, führen Sie die folgenden Befehle aus:

   Import-Module -Name SdnDiagnostics -Force
   Start-SdnCertificateRotation -CertPath "<Path where you put your certificates>" -CertPassword (Get-Credential).Password -Credential (Get-Credential)
   

3. Geben Sie die Anmeldedaten ein. Sie erhalten zwei Aufforderungen, zwei Arten von Anmeldeinformationen anzugeben:

   • Geben Sie in der ersten Aufforderung das Kennwort Ihres Zertifikats ein. Der Benutzername kann beliebig sein und wird nicht verwendet.
   • Verwenden Sie an der zweiten Eingabeaufforderung Anmeldeinformationen, die Administratorzugriff auf alle Netzwerkcontrollerknoten gewähren.

4. Sie erhalten eine Warnung, in der Sie bestätigen müssen, ob Sie mit der Zertifikatsrotation fortfahren möchten. Der Warntext zeigt die Liste der Netzwerk-Controller-Zertifikate an, die durch die neu generierten Zertifikate ersetzt werden. Geben Sie zur Bestätigung Y ein.

   Hier ist ein Beispiel für einen Screenshot der Warnung:

   

5. Nachdem Sie die Fortsetzung der Zertifikatsrotation bestätigt haben, können Sie den Status der laufenden Vorgänge im PowerShell-Befehlsfenster einsehen.

   Wichtig

   Schließen Sie das PowerShell-Fenster erst, nachdem das Cmdlet abgeschlossen wurde. In Abhängigkeit von der Umgebung, also z. B. der Anzahl an Netzwerkcontrollerknoten im Cluster, kann es von einigen Minuten bis über eine Stunde dauern, bevor der Prozess abgeschlossen ist.

Vorinstallierte Zertifikate automatisch erneuern

In diesem Szenario haben Sie die erforderlichen Zertifikate auf den Netzwerk-Controller-Knoten installiert. Verwenden Sie das Cmdlet Start-SdnCertificateRotation , um diese Zertifikate auf anderen SDN-Infrastrukturkomponenten zu erneuern.

Führen Sie diese Schritte auf einem der Netzwerk-Controller-Knoten aus, um die vorinstallierten Zertifikate automatisch zu erneuern:

1. Installieren Sie die Netzwerk-Controller-Zertifikate auf allen Netzwerk-Controller-Knoten nach der von Ihnen bevorzugten Methode. Stellen Sie sicher, dass die Zertifikate von anderen SDN-Infrastrukturkomponenten, einschließlich SDN MUX-Servern und SDN-Hosts, als vertrauenswürdig eingestuft werden.

2. Konfiguration der Zertifikatsrotation erstellen:

   1. Um die Standardkonfiguration für die Zertifikatsrotation zu erstellen, führen Sie die folgenden Befehle aus:

      Import-Module -Name SdnDiagnostics -Force
      $certConfig = New-SdnCertificateRotationConfig
      $certConfig
      

   2. Überprüfen Sie die Standardkonfiguration für die Zertifikatsrotation, um sicherzustellen, dass die automatisch erkannten Zertifikate diejenigen sind, die Sie verwenden möchten. Standardmäßig wird das zuletzt ausgestellte Zertifikat abgerufen, das verwendet werden soll.

      Hier sehen Sie ein Beispiel für die Konfiguration der Zertifikatsrotation:

      PS C:\Users\LabAdmin> $certConfig
      
      Name					Value
      ----					-----
      ws22ncl.corp.contoso.com 	F4AAF14991DAF282D9056E147AE60C2C5FE80A49
      ws22nc3.corp.contoso.com 	BC3E6B090E2AA80220B7BAED7F8F981A1E1DD115
      ClusterCredentialType 		X509
      ws22nc2.corp.contoso.corn 	75DC229A8E61AD855CC445C42482F9F919CC1077
      NcRestCert				029D7CA0067A60FB24827D8434566787114AC30C
      

      Dabei gilt Folgendes:

      • ws22ncx.corp.contoso.com zeigt den Fingerabdruck des Zertifikats für jeden Netzwerk-Controller-Knoten.
      • ClusterCredentialType zeigt den Authentifizierungstyp des Netzwerk-Controller-Clusters. Wenn der Authentifizierungstyp nicht X509 ist, wird das Knotenzertifikat nicht verwendet und in der Ausgabe nicht angezeigt.
      • NcRestCert NcRestCert zeigt den Thumbprint des Network Controller Rest-Zertifikats an.

   3. (Optional) Wenn das generierte $certConfig nicht korrekt ist, können Sie es ändern, indem Sie den Thumbprint eines neuen Zertifikats angeben. Um beispielsweise den Fingerabdruck des Restzertifikats des Netzwerk-Controllers zu ändern, führen Sie den folgenden Befehl aus:

      $certConfig.NcRestCert = <new certificate thumbprint>
      

3. Start der Zertifikatsrotation. Sie können den Parameter -Force mit dem Cmdlet verwenden, um Aufforderungen zur Bestätigung oder manuelle Eingaben während des Rotationsvorgangs zu vermeiden.

   Import-Module -Name SdnDiagnostics -Force
   Start-SdnCertificateRotation -CertRotateConfig $certConfig -Credential (Get-Credential)
   

4. Wenn Sie zur Eingabe der Anmeldedaten aufgefordert werden, geben Sie die Anmeldedaten ein, mit denen Sie auf alle Netzwerk-Controller-Knoten als Administrator zugreifen können.

5. Sie erhalten eine Warnung, in der Sie bestätigen müssen, ob Sie mit der automatischen Rotation der Zertifikate fortfahren möchten. Die Warnung zeigt die Liste der Netzwerk-Controller-Zertifikate an, die durch Ihre eigenen Zertifikate ersetzt werden sollen. Geben Sie zur Bestätigung Y ein.

   Hier ist ein Beispielscreenshot der Warnung, die Sie auffordert, die Rotation von Zertifikaten zu bestätigen.

   

6. Nachdem Sie die Fortsetzung der Zertifikatsrotation bestätigt haben, können Sie den Status der laufenden Vorgänge im PowerShell-Befehlsfenster einsehen.

   Wichtig

   Schließen Sie das PowerShell-Fenster erst, nachdem das Cmdlet abgeschlossen wurde. In Abhängigkeit von der Umgebung, also z. B. der Anzahl an Netzwerkcontrollerknoten im Cluster, kann es von einigen Minuten bis über eine Stunde dauern, bevor der Prozess abgeschlossen ist.

Manuelle Erneuerung

Verwenden Sie die folgenden Anweisungen, um REST-Zertifikate und Netzwerk-Controller-Knotenzertifikate manuell zu erneuern.

Wichtig

Wenn Ihre Network Controller-Zertifikate bereits abgelaufen sind, verwenden Sie die Anweisungen im Abschnitt Automatische Erneuerung , um die Zertifikate zu erneuern.

Verlängern von REST-Zertifikaten

Sie verwenden das REST-Zertifikat des Netzwerkcontrollers für Folgendes:

• Northbound-Kommunikation mit REST-Clients
• Verschlüsselung von Anmeldeinformationen
• Southbound-Kommunikation mit Hosts und Software Load Balancer-VMs

Wenn Sie ein REST-Zertifikat aktualisieren, müssen Sie die Verwaltungsclients und Netzwerkgeräte aktualisieren, um das neue Zertifikat zu verwenden.

Führen Sie zum Verlängern des REST-Zertifikats die folgenden Schritte aus:

1. Stellen Sie sicher, dass das Zertifikat auf den Netzwerkcontroller-VMs nicht abgelaufen ist, bevor Sie es verlängern. Informationen finden Sie unter Anzeigen des Zertifikatablaufs.

2. Beschaffen Sie das neue Zertifikat, und platzieren Sie es im persönlichen Speicher des lokalen Computers (LocalMachine\My). Wenn es sich um ein selbstsigniertes Zertifikat handelt, platzieren Sie es im Stammspeicher (LocalMachine\Root) jeder Netzwerkcontroller-VM. Informationen dazu, wie Sie ein neues Zertifikat erstellen oder von einer Zertifizierungsstelle ausstellen, finden Sie unter Zertifikate für softwaredefinierte Netzwerke verwalten.

3. Weisen Sie das neue Zertifikat einer Variablen zu:

   $cert= Get-ChildItem Cert:\LocalMachine\My | where{$_.Thumbprint -eq "<thumbprint of the new certificate>"}
   

4. Kopieren Sie das Zertifikat auf alle Netzwerk-Controller VMs.

5. Gewähren Sie der NT-Autorität/dem Netzwerkdienst Berechtigungen vom Typ „Lesen“ und Zulassen“ für das Zertifikat:

   $targetCertPrivKey = $Cert.PrivateKey
   $privKeyCertFile = Get-Item -path
   "$ENV:ProgramData\Microsoft\Crypto\RSA\MachineKeys\*" | where-object {$_.Name -eq $targetCertPrivKey.CspKeyContainerInfo.UniqueKeyContainerName}
   $privKeyAcl = Get-Acl $privKeyCertFile
   $permission = "NT AUTHORITY\NETWORK SERVICE","Read","Allow"
   $accessRule = new-object System.Security.AccessControl.FileSystemAccessRule $permission
   $privKeyAcl.AddAccessRule($accessRule)
   Set-Acl $privKeyCertFile.FullName $privKeyAcl
   

6. (Nur für selbstsignierte Zertifikate) Kopieren Sie den öffentlichen Schlüssel des Zertifikats auf alle Hosts und Software Load Balancer VMs.

7. Ändern Sie die Einstellungen des Netzwerk-Controllers, um das neue Zertifikatzu verwenden.

Kopieren des Zertifikats auf alle Netzwerkcontroller-VMs

Führen Sie die folgenden Schritte aus, um ein Zertifikat auf alle Netzwerkcontroller-VMs zu kopieren.

1. Stellen Sie sicher, dass Sie das neue Zertifikat beschaffen und im persönlichen Speicher des lokalen Computers (LocalMachine\My) platzieren.

2. Exportieren Sie auf der ersten Netzwerkcontroller-VM das Zertifikat in eine PFX-Datei (Personal Information Exchange, persönlicher Informationsaustausch).

   $mypwd = ConvertTo-SecureString -String "<password>" -Force -AsPlainText
   Export-PfxCertificate -FilePath "C:\newpfx.pfx" -Password $mypwd -Cert $cert    
   # Here, $cert is the new certificate
   

3. Importieren Sie auf anderen Netzwerkcontroller-VMs das Zertifikat und die privaten Schlüssel aus einer PFX-Datei in den Zielspeicher:

   $mypwd = ConvertTo-SecureString -String "<password>" -Force -AsPlainText
   Import-PfxCertificate -FilePath C:\newpfx.pfx -CertStoreLocation Cert:\LocalMachine\My -Password $mypwd
   # Ensure that you copy the pfx file into the local machine before importing the cert
   

Kopieren des öffentlichen Schlüssels des Zertifikats auf alle Hosts und Software Load Balancer-VMs (nur bei selbstsignierten Zertifikaten)

Wenn Sie ein selbstsigniertes Zertifikat verwenden, platzieren Sie es für alle folgenden Komponenten im Stammspeicher des lokalen Computers (LocalMachine\Root):

• Alle Netzwerkcontroller-VMs
• Jede Azure Local Maschine und alle Software Load Balancer VMs. Dadurch wird sichergestellt, dass das Zertifikat von den Peerentitäten als vertrauenswürdig eingestuft wird.

Hier sehen Sie einen Beispielbefehl zum Importieren des öffentlichen Zertifikatschlüssels, der bereits exportiert wurde:

Import-Certificate -FilePath "\\sa18fs\SU1_LibraryShare1\RestCert.cer\" -CertStoreLocation cert:\localMachine\Root

Ändern der Netzwerkcontrollereinstellungen, um das neue Zertifikat zu verwenden

Ändern Sie die Einstellungen für den Netzwerkcontrollerknoten, den Cluster und die Anwendungen, um das neue Zertifikat zu verwenden.

Für Kommunikation in Richtung Norden

Um das Zertifikat zu ändern, das der Netzwerkcontroller für die Northbound-Kommunikation verwendet, führen Sie den folgenden Befehl auf einem der Netzwerkcontroller-VMs aus:

Set-NetworkController -ServerCertificate \$cert

Für die Verschlüsselung von Anmeldeinformationen

Um das Zertifikat zu ändern, das der Netzwerkcontroller für die Verschlüsselung der Anmeldeinformationen verwendet, führen Sie den folgenden Befehl auf einem der Netzwerkcontroller-VMs aus:

Set-NetworkControllerCluster -CredentialEncryptionCertificate $cert

Für die Kommunikation in Richtung Süden

Um das Zertifikat zu ändern, das der Netzwerkcontroller für die Kommunikation mit Hosts und Software Load Balancer-Instanzen verwendet, führen Sie den folgenden Befehl aus:

$certCred = Get-NetworkControllerCredential -ConnectionUri <REST uri of deployment> |where-object { $_.properties.type -eq "X509Certificate" }
$certCred[0].Properties.Value ="<Thumbprint of the new certificate>"

New-NetworkControllerCredential -ConnectionUri <REST uri of deployment> -ResourceId $certCred[0].ResourceId -Properties $certCred[0].Properties -Force

Verlängern von Knotenzertifikaten

Führen Sie die folgenden Schritte auf jeder Netzwerkcontroller-VM aus, um das Knotenzertifikat des Netzwerkcontrollers zu verlängern:

1. Beschaffen Sie das neue Zertifikat, und platzieren Sie es im persönlichen Speicher des lokalen Computers (LocalMachine\My). Wenn es sich um ein selbstsigniertes Zertifikat handelt, muss es außerdem im Speicher (LocalMachine\Root) jeder Netzwerkcontroller-VM abgelegt werden. Informationen dazu, wie Sie ein neues Zertifikat erstellen oder von einer Zertifizierungsstelle ausstellen, finden Sie unter Zertifikate für softwaredefinierte Netzwerke verwalten.

2. Weisen Sie das neue Zertifikat einer Variablen zu:

   $cert = Get-ChildItem Cert:\LocalMachine\My | where{$_.Thumbprint -eq "<thumbprint of the new certificate>"}
   

3. Gewähren Sie der NT-Autorität/dem Netzwerkdienst Berechtigungen vom Typ „Lesen“ und Zulassen“ für das Zertifikat:

   $targetCertPrivKey = $Cert.PrivateKey
   $privKeyCertFile = Get-Item -path
   "$ENV:ProgramData\Microsoft\Crypto\RSA\MachineKeys\*" | where-object {$_.Name -eq $targetCertPrivKey.CspKeyContainerInfo.UniqueKeyContainerName}
   $privKeyAcl = Get-Acl $privKeyCertFile
   $permission = "NT AUTHORITY\NETWORK SERVICE","Read","Allow"
   $accessRule = new-object System.Security.AccessControl.FileSystemAccessRule $permission
   $privKeyAcl.AddAccessRule($accessRule)
   Set-Acl $privKeyCertFile.FullName $privKeyAcl
   

4. Führen Sie den folgenden Befehl aus, um das Knotenzertifikat zu ändern:

   Set-NetworkControllerNode -Name "<Name of the Network Controller node>" -NodeCertificate $cert
   

Zertifikate im Windows Admin Center erneut importieren

Wenn Sie das Network Controller REST-Zertifikat erneuert haben und Sie Windows Admin Center zur Verwaltung von SDN verwenden, müssen Sie die Azure Local-Instanz aus Windows Admin Center entfernen und erneut hinzufügen. Auf diese Weise stellen Sie sicher, dass Windows Admin Center das erneuerte Zertifikat importiert und für die SDN-Verwaltung verwendet.

Folgen Sie diesen Schritten, um das erneuerte Zertifikat in Windows Admin Center erneut zu importieren:

1. Wählen Sie im Windows Admin Center Cluster Manager aus dem oberen Dropdown-Menü.
2. Markieren Sie den Cluster, den Sie entfernen möchten, und wählen Sie dann Entfernen.
3. Wählen Sie Hinzufügen, geben Sie den Clusternamen ein und wählen Sie dann Hinzufügen.
4. Sobald der Cluster geladen ist, wählen Sie SDN-Infrastruktur. Dadurch wird Windows Admin Center gezwungen, das erneuerte Zertifikat automatisch zu importieren.

Nächste Schritte

• Aktualisieren Sie die SDN-Infrastruktur für Azure Local.