Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält Anweisungen zum Aktivieren der HTTPS-Unterstützung auf Microsoft Connected Cache for Enterprise- und Education-Knoten, die auf einem Windows-Hostcomputer ausgeführt werden.
Der Setupprozess erfordert das Generieren einer Zertifikatsignieranforderung (Certificate Signing Request, CSR) auf Ihrem Hostcomputer, das Signieren der CSR mithilfe der Unternehmens- oder öffentlichen PKI und anschließendes Zurückimport auf den Hostcomputer.
Voraussetzungen
Stellen Sie vor dem Einrichten der HTTPS-Funktionalität sicher, dass die folgenden Anforderungen erfüllt sind:
Der Cacheknoten befindet sich in der allgemein verfügbaren Softwareversion.
- Öffnen Sie Azure-Portal, und navigieren Sie zur Ressource Connected Cache for Enterprise, die Ihre Cacheknoten enthält.
- Suchen Sie unter Cacheknotenverwaltung nach dem Cacheknotenknoten, für den Sie HTTPS aktivieren möchten.
- Vergewissern Sie sich, dass sich der Knoten in der allgemein verfügbaren Version befindet. In der Spalte Migriert sollte "Ja" oder "Nicht verfügbar" angezeigt werden.
- Wenn nicht für die allgemein verfügbare Version ("Nein" in der Spalte Migriert ) wählen Sie den Cacheknoten aus, navigieren Sie zur Registerkarte Bereitstellung , und befolgen Sie die Anweisungen zum erneuten Bereitstellen des verbundenen Caches.
Zugriff auf eine Zertifizierungsstelle
Sie benötigen Zugriff auf Ihre Unternehmens-PKI oder eine öffentliche Zertifizierungsstelle. Wenn Sie eine Unternehmens-PKI verwenden, überprüfen Sie die Anforderungen Ihrer organization für die Übermittlung einer CSR an die Zertifizierungsstelle.
Dokumentieren von Clientverbindungsmethoden
Notieren Sie sich die IP-Adresse oder den Hostnamen (FQDN), die Ihre Clients zum Herstellen einer Verbindung mit Ihrem Connected Cache-Server verwenden. Dieser Wert wird während des Generierens einer CSR als SAN-Eingabe (Subject Alternative Name) verwendet.
Sicherstellen der Port 443-Verfügbarkeit
Um eine HTTPS-Verbindung mit Connected Cache herzustellen, muss Port 443 auf Ihrem Hostcomputer verfügbar sein. Führen Sie den folgenden Befehl aus, um dies zu überprüfen:
netstat -an | findstr :443Ausgabebeispiel Bedeutung TCP 0.0.0.0:443 0.0.0.0:0 LISTENING Port 443 ist geöffnet und lauscht auf eingehende Verbindungen. Fahren Sie mit der HTTPS-Einrichtung fort. Keine Ausgabe Port 443 wird nicht verwendet oder lauscht nicht. Fahren Sie mit der HTTPS-Einrichtung fort. TCP [Ihre IP]:443 [Remote-IP]:[Port] ESTABLISHED Port 443 wird aktiv in einer Verbindung verwendet. Sie müssen den in Konflikt stehenden Dienst beenden, bevor der verbundene Cache Port 443 verwenden kann. Überprüfen der Konfiguration des Unternehmensproxys
Wenn Ihre Firewall oder Ihr Unternehmensproxy HTTPS-Datenverkehr an Ihren Connected Cache-Server abfängt (z. B. über TLS-Überprüfung), schlägt die Zertifikatüberprüfung unabhängig von der Zertifikatkonfiguration immer fehl.
Weitere Informationen zu den Vorabrequitten finden Sie auf der Referenzseite HTTPS unter Windows.
Generieren einer Zertifikatsignieranforderung (Csr)
Wichtig
Jeder Cacheknoten benötigt ein eigenes CSR/Zertifikat (kann nicht freigegeben werden):
- Verwenden Sie konsistente Benennungen: mcc-node1.company.com, mcc-node2.company.com usw.
- Dokumentieren, welches Zertifikat zu welchem Knoten gehört
- Wildcardzertifikate funktionieren nicht. Die zertifikatbasierte Zertifikatsanforderung für die HTTPS-Verbindung mit connected Cache ist aus Sicherheitsgründen eindeutig an jeden Cacheknoten gebunden.
Öffnen Sie PowerShell als Administrator, und navigieren Sie zum Ordner Connected Cache, der die zugehörigen PowerShell-Skripts enthält.
Führen Sie den folgenden Befehl aus, um zu diesem Ordner connected cache scripts zu navigieren:
cd (deliveryoptimization-cli mcc-get-scripts-path)Konfigurieren Sie die Parameter für
generateCsr.ps1, und führen Sie das Skript mit ihren angegebenen Werten aus.Grundlegende Syntax
.\generateCsr.ps1 [Required Parameters] [Subject Parameters] [SAN Parameters]Erforderliche Parameter
Parameter Beschreibung -algoZertifikatalgorithmus: RSA,EC,ED25519oderED448-keySizeOrCurveFür RSA: Schlüsselgröße ( 2048,3072,4096). Für EC: Kurvenname (prime256v1,secp384r1). Für ED25519 und ED448: Keine Schlüsselgröße erforderlich.-csrNameGewünschter Name für die CSR-Datei -RunTimeAccountNameDas Konto, unter dem die Connected Cache-Software ausgeführt wird. Dies sollte eine PowerShell-Variable sein, die den Benutzernamen des Kontos enthält, das Sie als Laufzeitkonto für den verbundenen Cache festlegen möchten. Beispielsweise $User = "LocalMachineName\Username"für ein lokales Benutzerkonto. Wenn Sie ein gruppenverwaltetes Dienstkonto (Group Managed Service Account, gMSA) verwenden, sollte es als"Domain\Username$"formatiert sein.-mccLocalAccountCredentialEin PowerShell-Anmeldeinformationsobjekt für das Laufzeitkonto des verbundenen Caches. Dies ist nur erforderlich, wenn Sie ein lokales Benutzerkonto, ein Domänenbenutzerkonto oder ein Dienstkonto verwenden. Der Befehl $myLocalAccountCredential = Get-Credentialkann verwendet werden, um die GUI zum Abrufen von Anmeldeinformationen in die Warteschlange zu stellen.Hinweis
Wenn Sie ein gMSA-Laufzeitkonto verwenden, verwenden Sie den Parameter
-RunTimeAccountanstelle von-RunTimeAccountName.Diese Diskrepanz wird in der nächsten Version des Windows-Installers behoben.
Subject-Parameter
Parameter Erforderlich Beschreibung Beispiel -subjectCommonNameJa Allgemeiner Name für das Zertifikat "localhost","example.com"-subjectCountryNein Ländercode aus zwei Buchstaben "US","CA","GB"-subjectStateNein Bundesland/Kanton "WA","TX","Ontario"-subjectOrgNein Organisationsname "MyCompany","ACME Corp"Warnung
Die SAN-Konfiguration ist für die Zertifikatüberprüfung von entscheidender Bedeutung. Ihr Zertifikat muss genau mit der Verbindung von Clients mit Ihrem verbundenen Cache übereinstimmen. Andernfalls umgehen die Clients den Cacheknoten.
Wenn Ihre Clients beispielsweise eine Verbindung über die IP-Adresse
192.168.1.100herstellen, Ihr Zertifikat jedoch nur über verfügt-sanDns "server.local", schlägt die Zertifikatüberprüfung fehl.Alternative Antragstellernamen (mindestens ein Erforderlicher)
Parameter Beschreibung Beispiel -sanDnsDNS-Namen (durch Trennzeichen getrennt) "localhost,example.com,api.example.com"-sanIpIP-Adressen (durch Trennzeichen getrennt) "127.0.0.1,192.168.1.100"-sanUriURIs (durch Trennzeichen getrennt) "https://example.com,http://localhost"-sanEmailEmail Adressen (durch Trennzeichen getrennt) "admin@example.com,user@domain.com"-sanRidRegistrierte IDs (durch Trennzeichen getrennt) -sanDirNameVerzeichnisnamen (durch Trennzeichen getrennt) -sanOtherNameAndere Namen (durch Trennzeichen getrennt) Weitere Details und szenariobasierte Beispiele zu CSR-Skriptparametern finden Sie in der Referenz zu HTTPS unter Windows.
Überprüfen Sie, ob der CSR-Generierungsprozess erfolgreich abgeschlossen wurde.
Wenn Fehler auftreten, suchen Sie die Zeitstempeldatei
GenerateCsr.login dem Ordner, der in der Skriptausgabe angegeben ist. Suchen Sie nach der Ausgabezeile, die mit "Protokolle auf detaillierte Fehlerinformationen überprüfen:" beginnt. Das Verzeichnis endet mit (...\Certificates\logs).- Dateiformat: GenerateCsr_YYYYMMDD-HHMMSS.log
- Beispiel: GenerateCsr_20251201_143022.log ist eine Datei, die am 1. Dezember 2025 um 14:30:22 Uhr erstellt wurde.
Suchen Sie die generierte CSR-Datei im Ordner Zertifikate auf Ihrem Hostcomputer, und übertragen Sie sie bei Bedarf.
Der Speicherort des Ordners Zertifikate wird in der Skriptausgabe angegeben, beginnend mit "CSR-Datei erstellt unter: ..." Das Verzeichnis endet mit (...\Certificates\certs).
Signieren der CSR
Auswählen einer öffentlichen oder unternehmensweiten Zertifizierungsstelle zum Signieren der Csr
Wichtig
Die Signatur der Zertifizierungsstelle muss mit einem Stammzertifikat im vertrauenswürdigen Stammspeicher des Clients übereinstimmen.
Die meisten Kunden nutzen ihre Unternehmens-PKI-Infrastruktur, um ihre CSR zu signieren. Wenn Sie eine öffentliche Zertifizierungsstelle verwenden müssen, sollten Sie die folgenden Ressourcen in Betracht ziehen:
- DigiCert Certificate Utility
- Lassen Sie uns den CSR-Prozess verschlüsseln
- Cloud-PKI mit Intune - Useful für Unternehmensszenarien, die bereits Intune nutzen.
Übermitteln Sie die CSR an die ausgewählte Zertifizierungsstelle, und speichern Sie das signierte Zertifikat.
Ihr signiertes Zertifikat muss im CRT-Format mit X.509-Codierung vorliegen. Wenn Ihre Zertifizierungsstelle andere Formate bereitstellt, überprüfen Sie die HTTPS-Referenz unter Windows , um zu erfahren, wie Sie in das CRT-Format konvertieren.
Hinweis
Connected Cache unterstützt derzeit keine kennwortgeschützten Formate (.pfx, .p12, .p7b). Unterstützung für diese wird bald als Teil unserer Zertifikatautomatisierungs-Roadmap hinzugefügt.
Vergewissern Sie sich, dass das signierte Zertifikat das richtige Format aufweist.
Bestätigen der PEM-Codierung:
Get-Content "xxxx.crt" | Select-String "BEGIN CERTIFICATE"Erfolgreiche Ausgabe erwartet:
-----BEGIN CERTIFICATE-----Verschieben Sie Ihr signiertes Zertifikat in den Ordner Zertifikate auf Ihrem Windows-Hostcomputer.
Dies ist derselbe Ordner, in dem Sie ihre CSR ursprünglich gefunden haben, nachdem sie generiert wurde: (...\Certificates\certs).
Achtung
Geben Sie keine privaten Schlüssel gemeinsam, connected Cache erfordert nur das signierte Zertifikat.
Importieren eines signierten TLS-Zertifikats
Hinweis
Das importCert Skript unterstützt derzeit folgendes nicht :
- Zwischenspeichern von Knoten, die unter Windows Server 2022 oder Windows Server 2025 ausgeführt werden, mit einem gMSA-Laufzeitkonto.
- Der Parameter
-RunTimeAccountName, wenn gMSA unter unterstützten Windows-Versionen verwendet wird (stattdessen verwenden-RunTimeAccount).
Beide Probleme werden in der nächsten Version des Windows Installers behoben.
Öffnen Sie PowerShell als Administrator, und navigieren Sie zum Ordner Connected Cache, der die zugehörigen PowerShell-Skripts enthält.
Konfigurieren Sie die Parameter für
importCert.ps1, und führen Sie das Skript mit ihren angegebenen Werten aus.Grundlegende Syntax
.\importCert.ps1 [Required Parameters]Erforderliche Parameter
Parameter Beschreibung -certNameVollständiger Dateiname Des signierten TLS-Zertifikats (mit oder ohne Crt-Erweiterung) -RunTimeAccountNameDas Konto, unter dem die Connected Cache-Software ausgeführt wird. Dies sollte eine PowerShell-Variable sein, die den Benutzernamen des Kontos enthält, das Sie als Laufzeitkonto für den verbundenen Cache festlegen möchten. Beispielsweise $User = "LocalMachineName\Username"für ein lokales Benutzerkonto. Wenn Sie ein gruppenverwaltetes Dienstkonto (Group Managed Service Account, gMSA) verwenden, sollte es als"Domain\Username$"formatiert sein.-mccLocalAccountCredentialEin PowerShell-Anmeldeinformationsobjekt für das Laufzeitkonto des verbundenen Caches. Dies ist nur erforderlich, wenn Sie ein lokales Benutzerkonto, ein Domänenbenutzerkonto oder ein Dienstkonto verwenden. Beispiel: $myLocalAccountCredential = Get-Credential.Beispiel
.\importCert.ps1 ` -RunTimeAccountName $myLocalAccountCredential.Username ` -LocalAccountCredential $myLocalAccountCredential ` -certName "myTlsCert.crt"Überprüfen Sie, ob der Importvorgang erfolgreich abgeschlossen wurde.
Wenn Fehler auftreten, suchen Sie die Zeitstempeldatei
ImportCert.login dem Ordner, der in der Skriptausgabe angegeben ist. Suchen Sie nach der Ausgabezeile, die mit "Protokolle finden Sie hier: ..." beginnt.- Dateiformat: ImportCert_YYYYMMDD-HHMMSS.log
- Beispiel: ImportCert_20251201_143022.log ist eine Datei, die am 1. Dezember 2025 um 14:30:22 Uhr erstellt wurde.
Stellen Sie sicher, dass der verbundene Cache für externe Clients über Port 443 zugänglich ist.
Hinweis
Überprüfen Sie erneut, ob Port 443 verfügbar ist, bevor Sie die Portweiterleitung konfigurieren:
netstat -an | findstr :443Weiterleiten von Port 443-Datenverkehr
Verwenden Sie den folgenden Befehl, um Datenverkehr von Ihrem Windows-Hostcomputer zum Connected Cache-Container zu überbrücken:
$ipFilePath = Join-Path ([System.Environment]::GetEnvironmentVariable("MCC_INSTALLATION_FOLDER", "Machine")) "wslIp.txt" $ipAddress = (Get-Content $ipFilePath | Select-Object -First 1).Trim() netsh interface portproxy add v4tov4 listenport=443 listenaddress=0.0.0.0 connectport=443 connectaddress=$ipAddressDadurch wird ein Portproxy eingerichtet, sodass eingehender Datenverkehr an Port 443 an die interne IP-Adresse des Containers umgeleitet wird.
Öffnen Von Port 443 in der Firewall
Selbst bei der Portweiterleitung kann die Windows-Firewall eingehenden oder ausgehenden Datenverkehr an Port 443 blockieren. Verwenden Sie die folgenden Befehle, um sicherzustellen, dass HTTPS-Datenverkehr frei zu Und von Ihrem verbundenen Cache fließen kann.
[void](New-NetFirewallRule -DisplayName "WSL2 Port Bridge (HTTPS)" -Direction Inbound -Action Allow -Protocol TCP -LocalPort "443") [void](New-NetFirewallRule -DisplayName "WSL2 Port Bridge (HTTPS)" -Direction Outbound -Action Allow -Protocol TCP -LocalPort "443")
Anweisungen zum weiteren Überprüfen des Zertifikatimports finden Sie auf der Seite HTTPS unter Windows-Überprüfung.
Deaktivieren der HTTPS-Unterstützung
Führen Sie die folgenden Schritte aus, wenn Sie die Kommunikation zwischen Ihrem verbundenen Cache und nur HTTP rückgängig machen müssen. Dieser Prozess löscht nichts im Ordner Zertifikate, einschließlich CSR-Dateien, Zertifikate und Protokolle.
Öffnen Sie PowerShell als Administrator, und navigieren Sie zum Ordner PowerShell-Skripts.
Konfigurieren Sie die Parameter für
disableTls.ps1, und führen Sie das Skript mit Ihren getrennten Werten aus.Grundlegende Syntax
.\disableTls.ps1 [Required Parameters]Erforderliche Parameter
Parameter Beschreibung -RunTimeAccountNameDas Konto, unter dem die Connected Cache-Software ausgeführt wird. Dies sollte eine PowerShell-Variable sein, die den Benutzernamen des Kontos enthält, das Sie als Laufzeitkonto für den verbundenen Cache festlegen möchten. Beispielsweise $User = "LocalMachineName\Username"für ein lokales Benutzerkonto. Wenn Sie ein gruppenverwaltetes Dienstkonto (Group Managed Service Account, gMSA) verwenden, sollte es als"Domain\Username$"formatiert sein.-mccLocalAccountCredentialEin PowerShell-Anmeldeinformationsobjekt für das Laufzeitkonto des verbundenen Caches. Dies ist nur erforderlich, wenn Sie ein lokales Benutzerkonto, ein Domänenbenutzerkonto oder ein Dienstkonto verwenden. Beispiel: $myLocalAccountCredential = Get-Credential.Hinweis
Wenn Sie gMSA verwenden, verwenden Sie den Parameter
-RunTimeAccountanstelle von-RunTimeAccountName. Diese Diskrepanz wird in Kürze in den Skripts behoben.Beispiel
.\disableTls.ps1 ` -RunTimeAccountName $myLocalAccountCredential.Username ` -LocalAccountCredential $myLocalAccountCredential `Überprüfen Sie, ob der Deaktivierungsprozess erfolgreich abgeschlossen wurde.
Nachdem HTTPS deaktiviert wurde, sollten HTTP-Anforderungen funktionieren, während HTTPS-Anforderungen fehlschlagen sollten. Anweisungen zum Testen finden Sie auf der Seite HTTPS unter Windows-Überprüfung .