Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für: Azure Local 2311.2 und höher; Windows Server 2022 und Windows Server 2019
Dieser Artikel enthält Anweisungen zum Verlängern oder Ändern von Zertifikaten für Software Defined Networking (SDN)-Server und Software Load Balancer (SLB)-Multiplexer (MUX). Wenn Beim Erneuern Ihrer Zertifikate Probleme auftreten, wenden Sie sich an Microsoft-Support.
Informationen zum Verlängern von Netzwerkcontrollerzertifikaten finden Sie unter Verlängern von Netzwerkcontrollerzertifikaten, bevor sie ablaufen.
In Ihrer SDN-Infrastruktur verwendet der Netzwerkcontroller zertifikatbasierte Authentifizierung, um die südgebundene Kommunikation mit Netzwerkgeräten wie der SLB und den physischen Hosts zu sichern. Die Zertifikate für die SLB und den Server verfügen über einen Gültigkeitszeitraum, nach dem sie ungültig werden und nicht mehr als vertrauenswürdig eingestuft werden können. Sie müssen sie verlängern, bevor sie ablaufen.
Zeitpunkt der Verlängerung oder Änderung von Zertifikaten
Sie können SDN-Server- und SLB-MUX-Zertifikate verlängern oder ändern, wenn:
Die Zertifikate nähern sich dem Ablaufdatum. Sie können diese Zertifikate jederzeit verlängern, bevor sie ablaufen.
Hinweis
Wenn Sie vorhandene Zertifikate mit demselben Schlüssel verlängern, müssen Sie nichts weiter tun.
Sie möchten ein selbstsigniertes Zertifikat durch ein von einer Zertifizierungsstelle signiertes Zertifikat ersetzen.
Hinweis
Stellen Sie beim Ändern der Zertifikate sicher, dass Sie denselben Betreffnamen wie für das alte Zertifikat verwenden.
Zertifikattypen
In Azure Local und Windows Server verwenden physische Hosts und virtuelle SLB MUX-Computer (VMs) jeweils ein Zertifikat, um die südgebundene Kommunikation mit dem Netzwerkcontroller zu sichern. Der Netzwerkcontroller überträgt die Richtlinie an die physischen Hosts und die SLB MUX-VMs.
Anzeigen des Zertifikatablaufs
Verwenden Sie das folgende Cmdlet auf jedem physischen Host und jedem virtuellen SLB-MUX-Computer, um das Ablaufdatum eines Zertifikats zu überprüfen:
Get-ChildItem Cert:\LocalMachine\My | where{$_.Subject -eq "CN=<Certificate-subject-name>"} | Select-Object NotAfter, Subject
Dabei gilt Folgendes:
Certificate-subject-nameist der vollqualifizierte Domänenname (FQDN) des Servers und der SLB-MUX-VMs.
Verlängern von SDN-Servern und SLB-MUX-Zertifikaten
Verwenden Sie die Cmdlets Start-SdnServerCertificateRotation und Start-SdnMuxCertificateRotation, um neue selbstsignierte Zertifikate zu generieren und sie automatisch für alle Server bzw. SLB MUX-VMs zu erneuern. Standardmäßig generieren die Cmdlets Zertifikate mit einer Gültigkeitsdauer von drei Jahren, sie können jedoch einen anderen Gültigkeitszeitraum angeben. Die automatische Zertifikatverlängerung trägt dazu bei, Ausfallzeiten oder ungeplante Ausfälle zu minimieren, die aufgrund von Zertifikatablaufproblemen verursacht wurden.
Hinweis
Die Funktionalität zum Erneuern von Bring-your-own-Certificates und vorinstallierten Zertifikaten ist noch nicht verfügbar.
Anforderungen
Hier sind die Anforderungen für die Verlängerung von Zertifikaten:
Sie müssen die Cmdlets auf jedem Computer ausführen, der Zugriff auf das Verwaltungsnetzwerk hat. Installationsanweisungen finden Sie im Modul "SdnDiagnostics installieren".
Sie müssen über Anmeldeinformationen für das
CredentialKonto verfügen, um ein Benutzerkonto mit lokalen Administratorrechten auf Netzwerkcontroller, SLB MUXes und Servern anzugeben.
Automatisches Erneuern eines selbstsignierten Zertifikats
Führen Sie die folgenden Schritte aus, um selbstsignierte Zertifikate zu generieren und diese automatisch zu erneuern:
Führen Sie das
Start-SdnServerCertificateRotationCmdlet aus, um selbstsignierte Zertifikate auf den physischen Hosts zu generieren. Sie können den-ForceParameter mit dem Cmdlet verwenden, um bestätigungs- oder manuelle Eingaben während des Drehvorgangs zu vermeiden.Hinweis
Um die SLB MUX-Zertifikate zu erneuern, ersetzen Sie den Cmdlet-Namen durch
Start-SdnMuxCertificateRotationdie folgenden Befehle.Führen Sie die folgenden Befehle aus, um selbstsignierte Zertifikate mit dem Standardzeitraum von drei Jahren zu generieren:
Import-Module -Name SdnDiagnostics -Force Start-SdnServerCertificateRotation -GenerateCertificate -CertPassword (Get-Credential).Password -Credential (Get-Credential)Um selbstsignierte Zertifikate mit einem bestimmten Gültigkeitszeitraum zu generieren, verwenden Sie den
NotAfterParameter, um den Gültigkeitszeitraum anzugeben. Um beispielsweise selbstsignierte Zertifikate mit einer Gültigkeitsdauer von fünf Jahren zu generieren, führen Sie die folgenden Befehle aus:Import-Module -Name SdnDiagnostics -Force Start-SdnServerCertificateRotation -GenerateCertificate -CertPassword (Get-Credential).Password -NotAfter (Get-Date).AddYears(5) -Credential (Get-Credential)
Nachdem Sie bestätigt haben, dass Sie mit der Zertifikatsrotation fortfahren möchten, können Sie den Status der laufenden Vorgänge im PowerShell-Befehlsfenster anzeigen.
Wichtig
Schließen Sie das PowerShell-Fenster nicht, bis das Cmdlet beendet wurde. Je nach Umgebung, z. B. der Anzahl der physischen Server im Cluster, kann es mehrere Minuten oder mehr als eine Stunde dauern.