Compartir a través de

Administración de certificados para redes definidas por software

Se aplica a: Azure Local 2311.2 y versiones posteriores; Windows Server 2022, Windows Server 2019, Windows Server 2016

En este artículo se describe cómo administrar certificados para las comunicaciones hacia el norte y hacia el sur del controlador de red cuando se implementan redes definidas por software (SDN) y al usar System Center Virtual Machine Manager (SCVMM) como cliente de administración de SDN.

Nota:

Para información general sobre la Controladora de red, consulte ¿Qué es la Controladora de red?

Si no usa Kerberos para proteger la comunicación de controladora de red, puede usar certificados X.509 para la autenticación, autorización y cifrado.

SDN en Windows Server 2019 y 2016 Datacenter admite certificados X.509 autofirmados y firmados por la entidad de certificación (CA). En este tema se proporcionan instrucciones paso a paso para crear estos certificados y aplicarlos para proteger los canales de comunicación Northbound de la Controladora de red con clientes de administración y de comunicaciones Southbound con dispositivos de red, como Software Load Balancer (SLB).

Al usar la autenticación basada en certificados, debe inscribir un certificado en los nodos de controladora de red que se usan de las maneras siguientes.

  1. Cifrado de la comunicación Northbound con Capa de sockets seguros (SSL) entre nodos de la Controladora de red y clientes de administración, como System Center Virtual Machine Manager.
  2. Autenticación entre nodos de la Controladora de red y dispositivos y servicios Southbound, como hosts de Hyper-V y equilibradores de carga de software (SLA).

Creación e inscripción de un certificado X.509

Puede crear e inscribir un certificado autofirmado o un certificado emitido por una entidad de certificación.

Nota:

Al usar SCVMM para implementar la controladora de red, debe especificar el certificado X.509 que se usa para cifrar las comunicaciones de entrada norte durante la configuración de la plantilla de servicio de controladora de red.

La configuración del certificado debe incluir los siguientes valores.

  • El valor del cuadro de texto RestEndPoint debe ser el nombre de dominio completo (FQDN) o la dirección IP del Controlador de red.
  • El valor RestEndPoint debe coincidir con el nombre del firmante (Nombre común, CN) del certificado X.509.

Creación de un certificado X.509 autofirmado

Puede crear un certificado X.509 autofirmado y exportarlo con la clave privada (protegida con una contraseña) siguiendo estos pasos para implementaciones de uno y varios nodos de la Controladora de red.

Al crear certificados autofirmados, puede usar las instrucciones siguientes.

  • Puede usar la dirección IP del punto de conexión REST de controladora de red para el parámetro DnsName, pero esto no se recomienda porque requiere que todos los nodos de controladora de red se encuentren dentro de una sola subred de administración (por ejemplo, en un único bastidor).
  • En el caso de las implementaciones de controladora de red de varios nodos, el nombre DNS que especifique se convertirá en el FQDN del clúster de controladora de red (los registros de host A de DNS se crean automáticamente).
  • En el caso de implementaciones de la Controladora de red de un solo nodo, el nombre DNS puede ser el nombre de host de la Controladora de red seguido del nombre de dominio completo.

Nodo múltiple

Puede usar el comando New-SelfSignedCertificate de Windows PowerShell para crear un certificado autofirmado.

Sintaxis

New-SelfSignedCertificate -KeyUsageProperty All -Provider "Microsoft Strong Cryptographic Provider" -FriendlyName "<YourNCComputerName>" -DnsName @("<NCRESTName>")

Ejemplo de uso

New-SelfSignedCertificate -KeyUsageProperty All -Provider "Microsoft Strong Cryptographic Provider" -FriendlyName "MultiNodeNC" -DnsName @("NCCluster.Contoso.com")

Nodo único

Puede usar el comando New-SelfSignedCertificate de Windows PowerShell para crear un certificado autofirmado.

Sintaxis

New-SelfSignedCertificate -KeyUsageProperty All -Provider "Microsoft Strong Cryptographic Provider" -FriendlyName "<YourNCComputerName>" -DnsName @("<NCFQDN>")

Ejemplo de uso

New-SelfSignedCertificate -KeyUsageProperty All -Provider "Microsoft Strong Cryptographic Provider" -FriendlyName "SingleNodeNC" -DnsName @("SingleNodeNC.Contoso.com")

Creación de un certificado X.509 firmado por ca

Para crear un certificado mediante una entidad de certificación, ya debe haber implementado una infraestructura de clave pública (PKI) con Servicios de certificados de Active Directory (AD CS).

Nota:

Puede usar entidades de certificación o herramientas de terceros, como openssl, para crear un certificado para su uso con la Controladora de red, pero las instrucciones de este tema son específicas para AD CS. Para obtener información sobre cómo usar una entidad de certificación o herramienta de terceros, consulte la documentación del software que usa.

La creación de un certificado con una entidad de certificación incluye los pasos siguientes.

  1. El administrador de dominio o seguridad de su organización configura la plantilla de certificado.
  2. Usted o el administrador de la Controladora de red de la organización o el administrador de SCVMM solicitan un nuevo certificado a la entidad de certificación.

Requisitos de configuración de certificados

Mientras configura una plantilla de certificado en el paso siguiente, asegúrese de que la plantilla que configure incluye los siguientes elementos necesarios.

  1. El nombre del sujeto del certificado debe ser el FQDN del host de Hyper-V.
  2. El certificado debe colocarse en el almacén personal de la máquina local (My – cert:\localmachine\my).
  3. El certificado debe tener las directivas de aplicación de autenticación de servidor (EKU: 1.3.6.1.5.5.7.3.1) y autenticación de cliente (EKU: 1.3.6.1.5.5.7.3.2).

Nota:

Si el almacén de certificados personal (My – cert:\localmachine\my) del host de Hyper-V tiene más de un certificado X.509 con el Nombre del Sujeto (CN) como nombre de dominio totalmente cualificado (FQDN) del host, asegúrese de que el certificado que use SDN tenga una propiedad personalizada para el uso mejorado de clave con el OID 1.3.6.1.4.1.311.95.1.1.1. De lo contrario, es posible que la comunicación entre el controlador de red y el host no funcione.

Para configurar la plantilla de certificado

Nota:

Antes de realizar este procedimiento, debe revisar los requisitos de certificado y las plantillas de certificado disponibles en la consola Plantillas de certificado. Puede modificar una plantilla existente o crear un duplicado de una plantilla existente y, luego, modificar la copia de la plantilla. Se recomienda crear una copia de una plantilla existente.

  1. En el servidor donde está instalado AD CS, en Administrador del servidor, haga clic en Herramientas y, luego, haga clic en Entidad de certificación. Se abre Microsoft Management Console (MMC) de la entidad de certificación.
  2. En MMC, haga doble clic en el nombre de la entidad de certificación, haga clic con el botón derecho en Plantillas de certificado y, luego, haga clic en Administrar.
  3. Se abre la consola Plantillas de certificado. Se mostrarán todas las plantillas de certificado en el panel de detalles.
  4. En el panel de detalles, haga clic en la plantilla que quiere duplicar.
  5. Haga clic en el menú Acción y, luego, haga clic en Duplicar plantilla. Se abre el cuadro de diálogo Propiedades de la plantilla.
  6. En el cuadro de diálogo Propiedades de la plantilla, en la pestaña Nombre del asunto, haga clic en Suministrar en la solicitud. (Esta configuración es necesaria para los certificados SSL de la Controladora de red).
  7. En el cuadro de diálogo Propiedades de la plantilla, en la pestaña Control de solicitudes, asegúrese de que la opción Permitir que se exporte la clave privada esté seleccionada. Asegúrese también de que la firma y el propósito de cifrado estén seleccionados.
  8. En el cuadro de diálogo Propiedades de la plantilla, en la pestaña Extensiones, seleccione Uso de claves y, luego, haga clic en Editar.
  9. En Firma, asegúrese de que esté seleccionada la opción Firma digital.
  10. En el cuadro de diálogo Propiedades de la plantilla, en la pestaña Extensiones, seleccione Directivas de aplicación y, luego, haga clic en Editar.
  11. En Directivas de aplicación, asegúrese de que se muestran las opciones Autenticación de cliente y Autenticación de servidor.
  12. Guarde la copia de la plantilla de certificado con un nombre único, como Plantilla de Controladora de red.

Solicitud de un certificado a una entidad de certificación

Puede usar el complemento Certificados para solicitar certificados. Puede solicitar cualquier tipo de certificado disponible y preconfigurado por el administrador de la entidad de certificación que va a procesar la solicitud de certificado.

La pertenencia a grupos mínima necesaria para realizar este procedimiento es Usuarios o Administradores locales.

  1. Abra el complemento Certificados de un equipo.
  2. En el árbol de consola, haga clic en Certificados (equipo local). Seleccione el almacenamiento de certificados Personal.
  3. En el menú Acción, seleccione **Todas las tareas y, luego, haga clic en **Solicitar un nuevo certificado para iniciar el Asistente para la inscripción de certificados. Haga clic en Next.
  4. Seleccione la directiva de inscripción de certificados configurada por el administrador y haga clic en Siguiente.
  5. Seleccione la directiva de inscripción de Active Directory (basada en la plantilla de CA que configuró en la sección anterior).
  6. Expanda la sección Detalles y configure los siguientes elementos.
  7. Asegúrese de que Uso de claves incluya Firma digital **y **Cifrado de claves.
  8. Asegúrese de que Directivas de aplicación incluya Autenticación de servidor (1.3.6.1.5.5.7.3.1) y Autenticación de cliente (1.3.6.1.5.5.7.3.2).
  9. Haga clic en Propiedades.
  10. En la pestaña Firmante, en Nombre del firmante, en Tipo, seleccione Nombre común. En Valor, especifique Punto de conexión REST de la Controladora de red.
  11. Haga clic en Aplicar y en Aceptar.
  12. Haga clic en Inscribir.

En MMC de certificados, haga clic en el almacén personal para ver el certificado que ha inscrito de la entidad de certificación.

Exportar y copiar el certificado en la biblioteca SCVMM

Después de crear un certificado autofirmado o firmado por una entidad de certificación, debe exportarlo con la clave privada (en formato .pfx) y sin la clave privada (en formato .cer de base-64) desde el complemento Certificados.

A continuación, debe copiar los dos archivos exportados en las carpetas ServerCertificate.cr y NCCertificate.cr que especificó en el momento en que importó la plantilla de servicio de la Controladora de red.

  1. Abra el complemento Certificados (certlm.msc) y busque el certificado en el almacén de certificados Personal del equipo local.
  2. Haga clic con el botón secundario en el certificado, haga clic en Todas las tareasy, a continuación, haga clic en Exportar. Se abre el Asistente para exportar certificados. Haga clic en Next.
  3. Seleccione , exporte la opción de clave privada y haga clic en Siguiente.
  4. Seleccione Intercambio de información personal: PKCS #12 (.PFX) y acepte el valor predeterminado Incluir todos los certificados en la ruta de certificación (si es posible).
  5. Asigne los usuarios o grupos y una contraseña para el certificado que va a exportar, haga clic en Siguiente.
  6. En la página Archivo que se va a exportar, busque la ubicación en la que quiere colocar el archivo exportado y asígnele un nombre.
  7. Exporte del mismo modo el certificado en formato .CER. Nota: Para exportar al formato .CER, desactive la opción Exportar la clave privada.
  8. Copie el archivo .PFX en la carpeta ServerCertificate.cr.
  9. Copie el archivo .CER en la carpeta NCCertificate.cr.

Cuando haya terminado, actualice estas carpetas en la biblioteca SCVMM y asegúrese de que ha copiado estos certificados. Continúe con la configuración y la implementación de la plantilla de servicio de la Controladora de red.

Autenticación de servicios y dispositivos Southbound

En la comunicación de la Controladora de red con hosts y dispositivos MUX de SLB se usan certificados para la autenticación. La comunicación con los hosts se realiza a través del protocolo OVSDB, mientras que la comunicación con los dispositivos MUX de SLB se realiza a través del protocolo WCF.

Comunicación de host de Hyper-V con controladora de red

Para la comunicación con los hosts de Hyper-V a través de OVSDB, la Controladora de red debe presentar un certificado a las máquinas host. De forma predeterminada, SCVMM selecciona el certificado SSL configurado en la Controladora de red y lo usa para la comunicación Southbound con los hosts.

Esa es la razón por la que el certificado SSL debe tener configurada la EKU de autenticación de cliente. Este certificado se configura en el recurso REST "Servidores" (los hosts de Hyper-V se representan en la Controladora de red como un recurso de servidor) y se pueden ver ejecutando el comando Get-NetworkControllerServer de Windows PowerShell.

A continuación, se muestra un ejemplo parcial del recurso REST del servidor.

   "resourceId": "host31.fabrikam.com",
      "properties": {
        "connections": [
          {
            "managementAddresses": [
               "host31.fabrikam.com"
            ],
            "credential": {
              "resourceRef": "/credentials/a738762f-f727-43b5-9c50-cf82a70221fa"
            },
            "credentialType": "X509Certificate"
          }
        ],

Para la autenticación mutua, el host de Hyper-V también debe tener un certificado para comunicarse con la Controladora de red.

Puede inscribir el certificado desde una entidad de certificación (CA). Si no se encuentra un certificado basado en una entidad de certificación en la máquina host, SCVMM crea un certificado autofirmado y lo aprovisiona en dicha máquina.

Los certificados del Controlador de red y el host Hyper-V deben ser de confianza mutua. El certificado raíz del certificado del host de Hyper-V debe estar presente en el almacén de entidades de certificación raíz de confianza de la Controladora de red para el equipo local y viceversa.

Cuando se usan certificados autofirmados, SCVMM garantiza que los certificados necesarios están presentes en el almacén de entidades de certificación raíz de confianza en el equipo local.

Si usa certificados basados en una entidad de certificación para los hosts de Hyper-V, debe asegurarse de que el certificado raíz de la entidad de certificación esté presente en el almacén de entidades de certificación raíz de confianza de la Controladora de red en el equipo local.

Comunicación MUX del equilibrador de carga de software con controladora de red

El multplexor (MUX) de Software Load Balancer y la Controladora de red se comunican a través del protocolo WCF, usando certificados para la autenticación.

De forma predeterminada, SCVMM selecciona el certificado SSL configurado en la Controladora de red y lo usa para la comunicación Southbound con los dispositivos MUX. Este certificado se configura en el recurso REST "NetworkControllerLoadBalancerMux" y se puede ver ejecutando el cmdlet Get-NetworkControllerLoadBalancerMux de PowerShell.

Ejemplo de recurso REST de MUX (parcial):

      "resourceId": "slbmux1.fabrikam.com",
      "properties": {
        "connections": [
          {
            "managementAddresses": [
               "slbmux1.fabrikam.com"
            ],
            "credential": {
              "resourceRef": "/credentials/a738762f-f727-43b5-9c50-cf82a70221fa"
            },
            "credentialType": "X509Certificate"
          }
        ],

Para la autenticación mutua, también debe tener un certificado en los dispositivos MUX de SLB. SCVMM configura automáticamente este certificado al implementar el equilibrador de carga de software mediante SCVMM.

Importante

En los nodos host y SLB, es fundamental que el almacén de certificados de entidades de certificación raíz de confianza no incluya ningún certificado en el que el emisor y el destinatario no sean la misma persona. Si esto ocurre, se produce un error en la comunicación entre la Controladora de red y el dispositivo Southbound.

Los certificados de la Controladora de red y MUX de SLB deben basarse en la confianza mutua (el certificado raíz del certificado MUX de SLB debe estar presente en el almacén de entidades de certificación raíz de confianza de la máquina de la Controladora de red y viceversa). Cuando se usan certificados autofirmados, SCVMM garantiza que los certificados necesarios están presentes en el almacén de entidades de certificación raíz de confianza en el equipo local.