Aktivieren der HTTPS-Unterstützung für Microsoft Connected Cache auf Linux

Dieser Artikel enthält schrittweise Anweisungen zum Aktivieren der HTTPS-Unterstützung auf Microsoft Connected Cache for Enterprise-Knoten, die auf einem Linux Hostcomputer ausgeführt werden.

Der Setupprozess erfordert das Generieren einer Zertifikatsignieranforderung (Certificate Signing Request, CSR) auf Ihrem Hostcomputer, das Signieren der CSR mithilfe der Unternehmens- oder öffentlichen PKI und anschließendes Zurückimport auf den Hostcomputer.

Voraussetzungen

Stellen Sie vor dem Einrichten der HTTPS-Funktionalität sicher, dass die folgenden Anforderungen erfüllt sind:

• Der Cacheknoten befindet sich in der allgemein verfügbaren Softwareversion.

  1. Öffnen Sie Azure-Portal, und navigieren Sie zur Ressource Connected Cache for Enterprise, die Ihre Cacheknoten enthält.
  2. Suchen Sie unter Cacheknotenverwaltung nach dem Cacheknotenknoten, für den Sie HTTPS aktivieren möchten.
  3. Vergewissern Sie sich, dass sich der Knoten in der allgemein verfügbaren Version befindet. In der Spalte Migriert sollte "Ja" oder "Nicht verfügbar" angezeigt werden.
  4. Wenn nicht für die allgemein verfügbare Version ("Nein" in der Spalte Migriert ) wählen Sie den Cacheknoten aus, navigieren Sie zur Registerkarte Bereitstellung , und befolgen Sie die Anweisungen zum erneuten Bereitstellen des verbundenen Caches.

• Zugriff auf eine Zertifizierungsstelle

  Sie benötigen Zugriff auf Ihre Unternehmens-PKI oder eine öffentliche Zertifizierungsstelle. Wenn Sie eine Unternehmens-PKI verwenden, überprüfen Sie die Anforderungen Ihrer organization für die Übermittlung einer CSR an die Zertifizierungsstelle.

• Dokumentieren von Clientverbindungsmethoden

  Notieren Sie sich die IP-Adresse oder den Hostnamen (FQDN), die Ihre Clients zum Herstellen einer Verbindung mit Ihrem Connected Cache-Server verwenden. Dieser Wert wird während des Generierens einer CSR als SAN-Eingabe (Subject Alternative Name) verwendet.

• Sicherstellen der Port 443-Verfügbarkeit

  Um eine HTTPS-Verbindung mit Connected Cache herzustellen, muss Port 443 auf Ihrem Hostcomputer verfügbar sein. Führen Sie den folgenden Befehl aus, um dies zu überprüfen:

  sudo ss -tulpn | grep :443
  

  Überprüfen Sie die Ausgabe:

  • Keine Ausgabe – Port 443 wird nicht verwendet. Fahren Sie mit der HTTPS-Einrichtung fort.
  • Ausgabe enthält LISTEN (Beispiel: tcp LISTEN 0 128 0.0.0.0:443 0.0.0.0:* users:(("nginx",pid=1234,fd=6))) – Port 443 wird bereits von einem anderen Dienst verwendet. Identifizieren und beenden Sie den in Konflikt stehenden Dienst, bevor Connected Cache Port 443 verwenden kann.

  Tipp

  Die ss Ausgabe zeigt den Prozessnamen und die PID in der letzten Spalte an. Im obigen nginx Beispiel verwendet (PID 1234) Port 443. Beenden Oder neu konfigurieren Sie den in Konflikt stehenden Dienst, bevor Sie fortfahren. Führen Sie beispielsweise aus sudo systemctl stop nginx , um nginx zu beenden.

• Überprüfen der Firewallkonfiguration

  Wenn Ihre Firewall oder Ihr Unternehmensproxy HTTPS-Datenverkehr an Ihren Connected Cache-Server abfängt (z. B. über TLS-Überprüfung), schlägt die Zertifikatüberprüfung unabhängig von der Zertifikatkonfiguration immer fehl.

Weitere Informationen zu den Voraussetzungen finden Sie auf der Referenzseite HTTPS auf Linux.

Generieren einer Zertifikatsignieranforderung (Csr)

Wichtig

Jeder Cacheknoten benötigt ein eigenes CSR/Zertifikat (kann nicht freigegeben werden):

• Verwenden Sie konsistente Benennungen: mcc-node1.company.com, mcc-node2.company.com usw.
• Dokumentieren, welches Zertifikat zu welchem Knoten gehört
• Wildcardzertifikate funktionieren nicht. Die zertifikatbasierte Zertifikatsanforderung für die HTTPS-Verbindung mit connected Cache ist aus Sicherheitsgründen eindeutig an jeden Cacheknoten gebunden.

1. Öffnen Sie ein Terminal, und navigieren Sie zu dem Ordner, der das extrahierte Bereitstellungspaket enthält.

2. Fügen Sie dem CSR-Generierungsskript Ausführungsberechtigungen hinzu:

   sudo chmod +x ./generateCsr.sh
   

3. Konfigurieren Sie die Parameter für generateCsr.sh , und führen Sie das Skript mit ihren angegebenen Werten aus.

   Grundlegende Syntax

   sudo ./generateCsr.sh [Required Parameters] [Subject Parameters] [SAN Parameters]
   

   Erforderliche Parameter

   Parameter	Typ	Beschreibung
   -algo	Zeichenfolge	Zertifikatalgorithmus: RSA, EC, ED25519oder ED448
   -keySizeOrCurve	Zeichenfolge	Für RSA: Schlüsselgröße (2048, 3072, 4096). Für EC: Kurvenname (prime256v1, secp384r1)
   -csrName	Zeichenfolge	Name für die generierte CSR-Datei

   Subject-Parameter

   Parameter	Erforderlich	Beschreibung	Beispiel
   -subjectCommonName	Ja	Allgemeiner Name für das Zertifikat	"localhost", "example.com"
   -subjectCountry	Nein	Ländercode aus zwei Buchstaben	"US", "CA", "GB"
   -subjectState	Nein	Bundesland/Kanton	"WA", "TX", "Ontario"
   -subjectOrg	Nein	Organisationsname	"MyCompany", "ACME Corp"

   Warnung

   Die SAN-Konfiguration (Subject Alternative Name) ist für die Zertifikatüberprüfung von entscheidender Bedeutung. Ihr Zertifikat muss genau mit der Verbindung von Clients mit Ihrem verbundenen Cache übereinstimmen. Andernfalls umgehen die Clients den Cacheknoten.

   Wenn Ihre Clients beispielsweise eine Verbindung über die IP-Adresse 192.168.1.100 herstellen, Ihr Zertifikat jedoch nur über verfügt -sanDns "server.local", schlägt die Zertifikatüberprüfung fehl.

   SAN-Parameter (mindestens einer erforderlich)

   Parameter	Beschreibung	Beispiel
   -sanDns	DNS-Namen (durch Trennzeichen getrennt)	"localhost,example.com,api.example.com"
   -sanIp	IP-Adressen (durch Trennzeichen getrennt)	"127.0.0.1,192.168.1.100"
   -sanUri	URIs (durch Trennzeichen getrennt)	"https://example.com,http://localhost"
   -sanEmail	Email Adressen (durch Trennzeichen getrennt)	"admin@example.com,user@domain.com"
   -sanRid	Registrierte IDs (durch Trennzeichen getrennt)
   -sanDirName	Verzeichnisnamen (durch Trennzeichen getrennt)
   -sanOtherName	Andere Namen (durch Trennzeichen getrennt)

   Weitere Details und szenariobasierte Beispiele zu CSR-Skriptparametern finden Sie auf der Referenzseite HTTPS auf Linux.

4. Überprüfen Sie, ob der CSR-Generierungsprozess erfolgreich abgeschlossen wurde.

   Wenn Fehler auftreten, suchen Sie die Zeitstempeldatei GenerateCsr.log in dem Ordner, der in der Skriptausgabe angegeben ist. Suchen Sie nach der Ausgabezeile, die mit "Protokolle finden Sie hier: ..." beginnt.

   • Dateiformat: GenerateCsr_YYYYMMDD-HHMMSS.log
   • Beispiel: GenerateCsr_20251201_143022.log ist eine Datei, die am 1. Dezember 2025 um 14:30:22 Uhr erstellt wurde.

5. Suchen Sie die generierte CSR-Datei im Ordner Zertifikate auf Ihrem Hostcomputer, und übertragen Sie sie bei Bedarf.

   Der Speicherort des Ordners Zertifikate wird in der Skriptausgabe angegeben, beginnend mit "CSR-Datei erstellt unter: ..." Das Verzeichnis endet mit (...\Certificates\certs).

Signieren der CSR

1. Wählen Sie eine Zertifizierungsstelle (ZS) aus, um die Zertifikatsignieranforderung zu signieren.

   Wichtig

   Die Signatur der Zertifizierungsstelle muss mit einem Stammzertifikat im vertrauenswürdigen Stammspeicher des Clients übereinstimmen.

   • Unternehmens-PKI: Die meisten Kunden verwenden die interne PKI-Infrastruktur ihrer organization, um die CSR zu signieren. Wenden Sie sich an Ihr IT- oder Sicherheitsteam über den Prozess Ihrer organization zum Übermitteln einer CSR an Ihre interne Zertifizierungsstelle.

   • Öffentliche Zertifizierungsstelle: Wenn Sie nicht über eine Unternehmens-PKI verfügen, können Sie eine öffentliche Zertifizierungsstelle verwenden. Die folgenden Ressourcen können Ihnen bei den ersten Schritten helfen:

     • DigiCert Certificate Utility
     • Lassen Sie uns den CSR-Prozess verschlüsseln

2. Übermitteln Sie die CSR an die ausgewählte Zertifizierungsstelle, und speichern Sie das signierte Zertifikat.

   Ihr signiertes Zertifikat muss im CRT-Format mit X.509-Codierung vorliegen. Wenn Ihre Zertifizierungsstelle andere Formate bereitstellt, überprüfen Sie auf der Referenzseite HTTPS auf Linux, wie Sie in das CRT-Format konvertieren.

   Hinweis

   Connected Cache unterstützt derzeit keine kennwortgeschützten Formate (.pfx, .p12, .p7b). Unterstützung für diese wird bald als Teil unserer Zertifikatautomatisierungs-Roadmap hinzugefügt.

3. Vergewissern Sie sich, dass das signierte Zertifikat das richtige Format aufweist.

   Bestätigen der PEM-Codierung:

   grep "BEGIN CERTIFICATE" xxxx.crt
   

   Erfolgreiche Ausgabe erwartet:

   -----BEGIN CERTIFICATE-----
   

4. Verschieben Sie Ihr signiertes Zertifikat in den Ordner Zertifikate auf Ihrem Linux Hostcomputer.

   Dies ist derselbe Ordner, in dem Sie ihre CSR ursprünglich gefunden haben, nachdem sie generiert wurde.

   Achtung

   Geben Sie keine privaten Schlüssel gemeinsam, connected Cache erfordert nur das signierte Zertifikat.

Importieren eines signierten TLS-Zertifikats

1. Öffnen Sie ein Terminal, und navigieren Sie zum Speicherort des Installationsprogramms für verbundene Caches.

2. Fügen Sie dem Zertifikatimportskript Ausführungsberechtigungen hinzu:

   sudo chmod +x ./importCert.sh
   

3. Konfigurieren Sie die Parameter für importCert.sh , und führen Sie das Skript mit ihren angegebenen Werten aus.

   Grundlegende Syntax

   sudo ./importCert.sh [Required Parameters]
   

   Erforderliche Parameter

   Parameter	Typ	Beschreibung
   -certName	Zeichenfolge	Vollständiger Dateiname Des signierten TLS-Zertifikats (mit oder ohne Crt-Erweiterung)

   Beispiel

   sudo ./importCert.sh -certName "myTlsCert.crt"
   

4. Überprüfen Sie, ob der Importvorgang erfolgreich abgeschlossen wurde.

   Wenn Fehler auftreten, suchen Sie die Zeitstempeldatei ImportCert.log in dem Ordner, der in der Skriptausgabe angegeben ist. Suchen Sie nach der Ausgabezeile, die mit "Protokolle finden Sie hier: ..." beginnt.

   • Dateiformat: ImportCert_YYYYMMDD-HHMMSS.log
   • Beispiel: ImportCert_20251201_143022.log ist eine Datei, die am 1. Dezember 2025 um 14:30:22 Uhr erstellt wurde.

5. Überprüfen Sie, ob das richtige Zertifikat importiert wurde, indem Sie das ShowCertDetails.sh Skript ausführen.

   Hinweis

   Das ShowCertDetails.sh Skript ist ab Linux Bereitstellungspaket v1.10 verfügbar.

   Fügen Sie dem Skript Ausführungsberechtigungen hinzu:

   sudo chmod +x ./ShowCertDetails.sh
   

   Führen Sie das Skript aus:

   sudo ./ShowCertDetails.sh
   

   Dieses Skript zeigt den Zertifikatfingerabdruck und das Ablaufdatum für das TLS-Zertifikat an, das derzeit in den Cacheknoten importiert wurde.

Anweisungen zum weiteren Überprüfen des Zertifikatimports finden Sie auf der Seite HTTPS auf Linux Validierung.

Deaktivieren der HTTPS-Unterstützung

Führen Sie die folgenden Schritte aus, wenn Sie die Kommunikation zwischen Ihrem verbundenen Cache und nur HTTP rückgängig machen müssen. Dieser Prozess löscht nichts im Ordner Zertifikate – CSR-Dateien, Zertifikate oder Protokolle.

1. Öffnen Sie auf Ihrem Linux Host ein Terminal, und navigieren Sie zu dem Ordner, der das extrahierte Bereitstellungspaket enthält.

2. Fügen Sie dem TLS-Deaktivierungsskript Ausführungsberechtigungen hinzu:

   sudo chmod +x ./disableTls.sh
   

3. Führen Sie das Deaktivierungsskript aus (keine Parameter erforderlich):

   sudo ./disableTls.sh
   

4. Überprüfen Sie, ob der Deaktivierungsprozess erfolgreich abgeschlossen wurde.

5. Nachdem HTTPS deaktiviert wurde, sollten HTTP-Anforderungen funktionieren, während HTTPS-Anforderungen fehlschlagen sollten. Anweisungen zum Testen finden Sie auf der Seite HTTPS auf Linux Validierung.

Nächste Schritte

• HTTPS bei Linux Überprüfung
• Problembehandlung beim verbundenen Cache