Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält weitere Details zum Windows HTTPS-Setupflow für connected Cache.
Voraussetzungen
Clientverbindungsmethoden
Probieren Sie Folgendes aus, um die geeignete Verbindungsmethode für Ihren Connected Cache-Server für die Einrichtung der HTTPS-Unterstützung zu ermitteln.
Überprüfen der Konfiguration der Übermittlungsoptimierungsrichtlinie
Der folgende Befehl fragt die Windows-Registrierung nach dem Wert "DOCacheHost" unter dem Pfad der Übermittlungsoptimierungsrichtlinie ab:
Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\DeliveryOptimization" -Name "DOCacheHost" -ErrorAction SilentlyContinueWenn der Wert in der Ausgabe vorhanden ist, bedeutet dies, dass der Client explizit für die Verwendung eines bestimmten Microsoft Connected Cache-Servers konfiguriert ist.
Wenn der Wert in der Ausgabe fehlt , kann der Client die DHCP-Option 235 verwenden, um verbundene Cacheserver dynamisch zu ermitteln – vorausgesetzt, DOCacheHostSource ist konfiguriert.
Überprüfen der Details einer vorhandenen HTTP-Verbindung
Der folgende Befehl überprüft die TCP-Konnektivität mit Port 80 auf dem Connected Cache-Server. Ersetzen Sie durch
insert-mcc-server-nameden vollständigen Computernamen des Servers.Test-NetConnection -ComputerName [insert-mcc-server-name] -Port 80 -InformationLevel DetailedAus der Ausgabe:
-
RemoteAddressist die IP-Adresse, die Ihr Client für den Connected Cache-Server aufgelöst hat. -
NameResolutionResultslistet den Hostnamen auf, der von Ihren Clients verwendet wird, wenn die DNS-Auflösung betroffen ist.
-
Csr generieren
Beispiele für Scenario-Based-Parameter
Überprüfen Sie szenariobasierte Parameterbeispiele, und bearbeiten Sie Ihren generateCsr Befehl entsprechend:
Einzelnes Office – nur IP-Adresse
Szenario: Kleine Filiale, in der Clients so konfiguriert sind, dass sie über eine statische IP-Adresse eine Verbindung mit Connected Cache herstellen (z. B. über die DOCacheHost-Richtlinie, die auf "192.168.1.100" festgelegt ist). Admin verwendet ein lokales Benutzerkonto.
.\generateCsr.ps1 `
-RunTimeAccountName $credential.Username `
-mccLocalAccountCredential $credential `
-algo RSA `
-keySizeOrCurve 2048 `
-csrName "mcc-branch-office" `
-subjectCommonName "192.168.1.100" `
-subjectCountry "US" `
-subjectState "TX" `
-subjectOrg "Contoso Corp" `
-sanIp "192.168.1.100"
Enterprise Standard – DNS-Hostname
Szenario: Unternehmensumgebung, in der Clients eine Verbindung über einen standardisierten Hostnamen (mcc-server.contoso.com) herstellen. Admin verwendet ein gMSA-Konto.
.\generateCsr.ps1 `
-RunTimeAccount "CONTOSO\mcc-gmsa$" `
-algo RSA `
-keySizeOrCurve 4096 `
-csrName "mcc-enterprise-prod" `
-subjectCommonName "mcc-server.contoso.com" `
-subjectCountry "US" `
-subjectState "Washington" `
-subjectOrg "Contoso Corporation" `
-sanDns "mcc-server.contoso.com"
DHCP-Ermittlungsumgebung
Szenario: Umgebung mit DHCP-Option 235 für die Ermittlung des verbundenen Caches, in der Clients eine Verbindung mit dem tatsächlichen Hostnamen des Servers oder dem von DHCP bereitgestellten Namen herstellen können. Admin verwendet ein lokales Benutzerkonto.
.\generateCsr.ps1 `
-RunTimeAccountName $credential.Username `
-mccLocalAccountCredential $credential `
-algo RSA `
-keySizeOrCurve 2048 `
-csrName "mcc-dhcp-discovery" `
-subjectCommonName "cache-server.corporate.local" `
-subjectCountry "US" `
-subjectState "FL" `
-subjectOrg "Corporate IT Services" `
-sanDns "cache-server.corporate.local,mcc-auto.corporate.local,fileserver.corporate.local"
Hybridumgebung – Gemischte Clientverbindungen
Szenario: Gemischte Umgebung während der Migration, in der einige Legacyclients weiterhin IP-Adressen verwenden, während neuere Clients DNS-Namen verwenden. Deckt beide Verbindungsmethoden ab. Admin verwendet ein lokales Benutzerkonto.
.\generateCsr.ps1 `
-RunTimeAccountName $credential.Username `
-mccLocalAccountCredential $credential `
-algo RSA `
-keySizeOrCurve 2048 `
-csrName "mcc-hybrid-migration" `
-subjectCommonName "mcc-cache.contoso.com" `
-subjectCountry "US" `
-subjectState "CA" `
-subjectOrg "Contoso Inc" `
-sanDns "mcc-cache.contoso.com,cache.contoso.local" `
-sanIp "10.0.1.50,192.168.100.10"
Mehrere Standorte mit regionaler Benennung
Szenario: Große organization mit mehreren Verbundenen Cacheknoten unter Verwendung einer konsistenten Namenskonvention (mcc-region-site-Format). Dieses Beispiel gilt für einen Rechenzentrumsknoten in Seattle. Admin verwendet ein gMSA-Konto.
.\generateCsr.ps1 `
-RunTimeAccount "CORP\mcc-production-gmsa$" `
-algo RSA `
-keySizeOrCurve 4096 `
-csrName "mcc-seattle-dc1" `
-subjectCommonName "mcc-sea-dc1.corp.contoso.com" `
-subjectCountry "US" `
-subjectState "Washington" `
-subjectOrg "Contoso Corporation" `
-sanDns "mcc-sea-dc1.corp.contoso.com,mcc-seattle.contoso.com"
Umgebung mit Lastenausgleich
Szenario: Hochverfügbarkeitseinrichtung, bei der sich mehrere verbundene Cacheknoten hinter einem Lastenausgleich befinden. Clients stellen eine Verbindung mit der Load Balancer-VIP her, aber das Zertifikat muss den direkten Knotenzugriff für die Problembehandlung unterstützen. Admin verwendet ein gMSA-Konto.
.\generateCsr.ps1 `
-RunTimeAccount "ENTERPRISE\mcc-ha-gmsa$" `
-algo RSA `
-keySizeOrCurve 4096 `
-csrName "mcc-node1-ha" `
-subjectCommonName "mcc.enterprise.com" `
-subjectCountry "US" `
-subjectState "NY" `
-subjectOrg "Enterprise Solutions Inc" `
-sanDns "mcc.enterprise.com,mcc-node1.enterprise.com,mcc-cluster.enterprise.local"
Entwicklungs-/Testumgebung
Szenario: Entwicklungsumgebung mit gelockerten Benennungsanforderungen. Unterstützt localhost-Tests und Lab-Netzwerkzugriff. Admin verwendet ein lokales Benutzerkonto.
.\generateCsr.ps1 `
-RunTimeAccountName $credential.Username `
-mccLocalAccountCredential $credential `
-algo RSA `
-keySizeOrCurve 2048 `
-csrName "mcc-dev-lab" `
-subjectCommonName "localhost" `
-subjectCountry "US" `
-subjectState "Dev" `
-subjectOrg "IT Development" `
-sanDns "localhost,mcc-dev.lab.local,devserver.local" `
-sanIp "127.0.0.1,192.168.10.100,10.10.10.50"
Hohe Sicherheit mit elliptischer Kurve
Szenario: Sicherheitsbewusste organization, die moderne ECC-Kryptografie für eine bessere Leistung und Einhaltung neuerer Sicherheitsstandards erfordern. Admin verwendet ein gMSA-Konto.
.\generateCsr.ps1 `
-RunTimeAccount "SECURE\mcc-prod-gmsa$" `
-algo EC `
-keySizeOrCurve secp384r1 `
-csrName "mcc-secure-prod" `
-subjectCommonName "mcc-secure.defense.gov" `
-subjectCountry "US" `
-subjectState "VA" `
-subjectOrg "Department of Defense" `
-sanDns "mcc-secure.defense.gov"
Azure-VM/Hybrid Cloud-Bereitstellung
Szenario: Connected Cache-Knoten, der auf Azure VM mit öffentlicher und privater Konnektivität bereitgestellt wird. Lokale Clients stellen eine Verbindung über private IP-Adresse/Hostname her, während cloudbasierte Clients den Azure öffentlichen DNS-Namen verwenden können. Admin verwendet ein lokales Benutzerkonto.
.\generateCsr.ps1 `
-RunTimeAccountName $credential.Username `
-mccLocalAccountCredential $credential `
-algo RSA `
-keySizeOrCurve 2048 `
-csrName "mcc-azure-hybrid" `
-subjectCommonName "mcc-eastus.cloudapp.azure.com" `
-subjectCountry "US" `
-subjectState "WA" `
-subjectOrg "Contoso Corporation" `
-sanDns "mcc-eastus.cloudapp.azure.com,mcc-azure.contoso.local,mcc-vm01.contoso.com" `
-sanIp "10.0.1.10,172.16.0.50"
Sign CSR
Konvertieren in den CRT-Dateityp
Wenn Sie erhalten
.cer:PowerShell:
Rename-Item -Path "xxxx.cer" "xxxx.crt"WSL:
openssl x509 -in xxxx.cer -out xxxx.crt
Wenn Sie erhalten
.der:PowerShell:
certutil -encode "xxxx.der" "xxxx.crt"WSL:
openssl x509 -inform DER -in xxxx.der -out xxxx.crt