Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird beschrieben, wie Sie die HTTPS-Unterstützung Ihrer Connected Cache for Enterprise- und Education-Cacheknoten konfigurieren.
Übersicht
Mit der allgemein verfügbaren Version von Microsoft Connected Cache for Enterprise können Organisationen jetzt ihre Cacheknoten so konfigurieren, dass Inhalte über HTTPS bereitgestellt werden. Diese Erweiterung ermöglicht Connected Cache die sichere Bereitstellung von Intune verwalteten Win32-Anwendungen und erstmals Microsoft Teams-Inhalten, die beide HTTPS-Transport erfordern. Alle anderen Inhaltstypen werden weiterhin über HTTP übermittelt.
Da immer mehr Microsoft-Dienste und Herausgeber von Drittanbietern reine HTTPS-Übermittlungsmodelle einführen, stellt die Aktivierung von HTTPS auf Ihrem Cacheknoten eine kontinuierliche Kompatibilität und optimale Leistung sicher. Ohne HTTPS-Unterstützung umgehen Clients, die sichere URLs anfordern, connected Cache und Fallbacks zur Inhaltsübermittlung über das cloudbasierte Content Delivery Networks (CDN). Dies führt zu einer höheren Bandbreitennutzung und einer verringerten Cacheeffizienz.
Um die HTTPS-Übermittlung zu ermöglichen, müssen Administratoren eine Zertifikatsignieranforderung (Certificate Signing Request, CSR) vom Hostcomputer generieren, sie mit einer vertrauenswürdigen Zertifizierungsstelle signieren und das signierte Zertifikat wieder auf den Hostcomputer importieren. Auf den folgenden Seiten finden Sie Anleitungen zum Einrichten und Skripts für Windows- und Linux-Umgebungen, um diesen Prozess zu optimieren.
Vorteile der Aktivierung von HTTPS-Unterstützung
Durch die Aktivierung der HTTPS-Unterstützung auf Ihrem Connected Cache-Knoten wird sichergestellt, dass Ihr organization mit den sich entwickelnden Anforderungen an die Inhaltsbereitstellung von Microsoft kompatibel bleibt und von verbesserter Sicherheit und Leistung profitiert. Zu den wichtigsten Vorteilen gehören:
Zugriff auf Microsoft Teams-Inhalte: Microsoft Teams-Inhalte sind nur über HTTPS verfügbar. Ohne HTTPS-Unterstützung kann Connected Cache diesen Inhalt nicht zwischenspeichern oder übermitteln, was zu direkten Downloads aus der Cloud führt.
Fortgesetzte Bereitstellung von Intune verwalteten Win32-Apps: Microsoft Intune erzwingen bald die reine HTTPS-Übermittlung für alle verwalteten Win32-Anwendungen. Cacheknoten ohne HTTPS-Unterstützung werden umgangen, und Clients greifen auf die CDN-Übermittlung zurück. Das Erzwingungsdatum ist TBD, aber sobald festgelegt, werden die Kunden rechtzeitig benachrichtigt und erhalten ausreichend Zeit für die Anpassung.
Reduzierter Bandbreitenverbrauch und verbesserte Kosteneffizienz: Durch das lokale Zwischenspeichern von HTTPS-Inhalten minimiert Connected Cache die Abhängigkeit von cloudbasierten CDNs, reduziert die Kosten für ausgehenden Datenverkehr und behält die Netzwerkbandbreite bei – insbesondere in Umgebungen mit eingeschränkter Bandbreite.
Verbesserter Sicherheits- und Compliancestatus: HTTPS stellt eine verschlüsselte, authentifizierte Übermittlung von Inhalten sicher und entspricht den Sicherheitsrichtlinien des Unternehmens und den gesetzlichen Anforderungen. Es schützt vor Manipulation, Lauschangriff und Identitätswechsel.
Nahtlose Fallback- und Dualprotokollunterstützung: Connected Cache unterstützt sowohl HTTP- als auch HTTPS-Übermittlung. Wenn HTTPS nicht konfiguriert ist oder fehlschlägt, greifen Clients automatisch auf die CDN-Übermittlung zurück. Diese Dual-Protokoll-Funktion stellt einen unterbrechungsfreien Zugriff auf Inhalte sicher, ohne die Downloadleistung oder die Peer-to-Peer-Übermittlung (P2P) über die Übermittlungsoptimierung (Delivery Optimization, DO) zu beeinträchtigen.
Von nur HTTP- zu HTTPS-Unterstützung
Wenn ein Client zuvor Inhalte über eine HTTPS-URL angefordert hat, konnte Connected Cache die Anforderung nicht verarbeiten, da er die TLS-Zertifikatverarbeitung oder das Lauschen an Port 443 nicht unterstützte. Daher würde der Client den Cache sofort umgehen und den Inhalt direkt aus dem CDN abrufen.
Während Connected Cache zuvor eine sichere Bereitstellung durch Mechanismen wie Hashvalidierung und Containerhärtung sichergestellt hat, konnten diese Methoden die Anforderungen von Herausgebern, die auf die reine HTTPS-Übermittlung umstellen, nicht erfüllen. Daher unterstützt Connected Cache jetzt HTTPS, um die Kompatibilität mit sich entwickelnden Herausgeberstandards aufrechtzuerhalten und den kontinuierlichen Zugriff auf vorhandene und neue Inhaltstypen sicherzustellen.
Wichtig
Microsoft Intune erzwingen in Kürze die https-only-Übermittlung (Date TBD) für alle verwalteten Win32-Anwendungen.
Um den verbundenen Cache für Intune Inhaltsübermittlung fortzusetzen, müssen alle Intune Kunden die HTTPS-Einrichtung auf ihren Cacheknoten vor diesem Datum abschließen.
Kunden, die Configuration Manager (SCCM) oder Hybridumgebungen verwenden, folgen einem anderen Prozess. Weitere Anleitungen für diese Szenarien werden in Kürze veröffentlicht.
Einrichten des TLS-Zertifikats
Um eine sichere HTTPS-Verbindung herzustellen, muss Connected Cache ein gültiges TLS-Zertifikat für Clientgeräte vorlegen. Anstatt Zertifikate intern zu generieren und zu verteilen oder sich auf selbstsignierte Zertifikate zu verlassen, die Sicherheits- und Betriebsrisiken darstellen, verwendet Connected Cache aus den folgenden Gründen ein CSR-basiertes Modell:
Sicherheit und Vertrauensstellung: Die CSR-Methode ermöglicht es Connected Cache, ein öffentliches/privates Schlüsselpaar lokal zu generieren und ein von einer vertrauenswürdigen Zertifizierungsstelle signiertes Zertifikat zu importieren. Durch das Zurückstellen der ZS-Signatur an den Kunden wird sichergestellt, dass das Zertifikat von Clientgeräten mithilfe der vorinstallierten Vertrauensspeicher der Zertifizierungsstelle überprüft werden kann.
Unternehmenskompatibilität: Viele Organisationen verwalten bereits ihre eigene PKI-Infrastruktur. Das CSR-Modell ermöglicht ES IT-Administratoren, Zertifikate mit ihren vorhandenen vertrauenswürdigen Zertifizierungsstellen zu signieren und so eine nahtlose Integration in Unternehmenssicherheitsrichtlinien zu gewährleisten.
Vermeiden der Offenlegung privater Schlüssel: Durch das Generieren des Schlüsselpaars auf dem Cacheknoten und durch das Exportieren des privaten Schlüssels stellt das CSR-Modell sicher, dass sensibles kryptografisches Material sicher und lokal auf dem Cacheknoten bleibt.
TLS-Zertifikatwartung
TLS-Zertifikate, die von Microsoft Connected Cache-Knoten verwendet werden, erfordern eine fortlaufende Wartung, um eine unterbrechungsfreie sichere Übermittlung von Inhalten zu gewährleisten. Dies umfasst die Überwachung der Zertifikatgültigkeit, das Verlängern ablaufender Zertifikate und das Widerrufen oder Deaktivieren von Zertifikaten bei Bedarf.
Verlängern von ablaufenden Zertifikaten
Um ein Zertifikat zu erneuern, müssen Sie Ihre CSR nicht erneut generieren (Schritt 1). Es wird empfohlen, Ihre vorhandene Zertifikatsignatur (Schritt 2) erneut zu signieren und das resultierende Zertifikat mithilfe des Importbefehls (Schritt 3) zu importieren. Wenn Ihr Signierungsprozess automatisiert werden kann, erstellen Sie ein Skript, das in regelmäßigen Abständen signiert und importiert.
Deaktivieren der HTTPS-Unterstützung
Wenn die HTTPS-Übermittlung nicht mehr erforderlich ist oder ein Zertifikat widerrufen wird, führen Sie das bereitgestellte Deaktivierungsskript auf dem Hostcomputer des verbundenen Caches aus.
Das Skript entfernt die HTTPS-Konfiguration für den Container, aber es löscht nicht das Zertifikat, das Schlüsselpaar oder die CSR aus dem Cacheknoten.
Durch diese Aktion wird der verbundene Cache auf die reine HTTP-Übermittlung zurückgesetzt. Inhalte, die HTTPS erfordern (z. B. Microsoft Teams, Intune Win32-Apps) werden nicht mehr zwischengespeichert und greifen auf die CDN-Übermittlung zurück.
Zertifikataufbewahrungsrichtlinie
- Aktive Zertifikate werden für die Dauer ihrer Gültigkeit aufbewahrt.
- Inaktive Zertifikate (abgelaufen oder widerrufen) werden nach der Deaktivierung zu Überwachungs- und Compliancezwecken 18 Monate lang aufbewahrt.
Diese Richtlinie entspricht den internen Sicherheits- und Datenschutzstandards von Microsoft und stellt die Rückverfolgbarkeit der Zertifikatverwendung in Unternehmensbereitstellungen sicher.
Zukünftige Verbesserungen
Überwachen der zertifikatbasierten status
Connected Cache bietet Über das Azure-Portal Einblick in alle aktiven und inaktiven TLS-Zertifikate. Jeder Zertifikateintrag enthält Folgendes:
- Domänenname
- Ausstellende Zertifizierungsstelle
- Problem- und Ablaufdatum
- Fingerabdruck-ID
Administratoren sollten diese Liste regelmäßig überprüfen, um sicherzustellen, dass Zertifikate gültig und vertrauenswürdig bleiben. Connected Cache zeigt Warnungen an, wenn sich ein Zertifikat dem Ablauf nähert.
Automatisierung der Zertifikatsignatur
Obwohl automatisierung ideal erscheinen mag, kann Connected Cache aufgrund der folgenden Einschränkungen noch keine sichere Zertifikatsignatur im Namen des Unternehmens durchführen:
Anmeldeinformationsverwaltung: Die Automatisierung der Zertifikatsignatur erfordert connected Cache zum Speichern und Verwalten von Anmeldeinformationen für den Zugriff auf Unternehmens- oder öffentliche Zertifizierungsstellen. Dies führt zu erheblichen Sicherheitsrisiken, insbesondere da Connected Cache in einer containerisierten Linux-Umgebung ausgeführt wird.
Verschiedene Unternehmens-PKI-Modelle: Unternehmen verwenden eine Vielzahl von Zertifizierungsstellenkonfigurationen, einschließlich lokaler, cloudbasierter und Hybridmodelle. Für die Automatisierung der Signatur wäre connected Cache erforderlich, um alle Variationen zu unterstützen, was unpraktisch und fehleranfällig ist.
Sicherheitsprinzip der geringsten Rechte: Durch das Delegieren der Signierung an den IT-Administrator wird sichergestellt, dass nur autorisierte Mitarbeiter Zertifikate genehmigen und verteilen können, wodurch die Angriffsfläche reduziert wird.
Nächste Schritte
Um HTTPS-Unterstützung auf Ihrem Microsoft Connected Cache-Knoten zu aktivieren, befolgen Sie die entsprechende Einrichtungsanleitung basierend auf Ihrer Hostumgebung. Diese Anleitungen führen Sie durch das Generieren einer Zertifikatsignieranforderung (Certificate Signing Request, CSR), das Signieren mit einer vertrauenswürdigen Zertifizierungsstelle und das Erneute Importieren des signierten Zertifikats in den verbundenen Cache.
Informationen zum Einrichten der HTTPS-Unterstützung auf einem Linux-Hostcomputer finden Sie unter
Informationen zum Einrichten der HTTPS-Unterstützung auf einem Windows-Hostcomputer finden Sie unter
- CLI/Proxy-Leitfaden: In Kürze verfügbar.