Renovación de certificados para controladora de red

Se aplica a: Azure Local 2311.2 y versiones posteriores; Windows Server 2022 y Windows Server 2019

En este artículo se proporcionan instrucciones sobre cómo renovar o cambiar certificados de controladora de red, tanto automáticamente como manualmente. Si tiene algún problema al renovar los certificados de Controladora de red, póngase en contacto con Soporte técnico de Microsoft.

En la infraestructura de redes definidas por software (SDN), la controladora de red usa la autenticación basada en certificados para proteger los canales de comunicación de Northbound con clientes de administración, y las comunicaciones de Southbound con dispositivos de red, como Software Load Balancer. Los certificados de la controladora de red tienen con un período de validez establecido, después del cual se vuelven inválidos y ya no se puede confiar en su uso. Se recomienda encarecidamente renovarlos antes de que expiren.

Para obtener información general sobre la controladora de red, consulte ¿Qué es la controladora de red?

Cuándo renovar o cambiar los certificados de la controladora de red

Puede renovar o cambiar los certificados de la controladora de red cuando:

• Los certificados están a punto de expirar. De hecho, puede renovar los certificados de la controladora de red en cualquier momento antes de que expiren.

  Nota:

  Si renueva los certificados existentes con la misma clave, tendrá todo listo y no necesita hacer nada más.

• Quiere reemplazar un certificado autofirmado por un certificado firmado por una entidad de certificación (CA).

  Nota:

  Al cambiar los certificados, asegúrese de usar el mismo nombre de sujeto que el certificado anterior.

Tipos de certificados de la controladora de red

En Azure Local, cada máquina virtual de controladora de red usa dos tipos de certificados:

• Certificado de REST. Un único certificado para la comunicación de Northbound con clientes de REST (como Windows Admin Center) y la comunicación de Southbound con hosts de Hyper-V y equilibradores de carga de software. Este mismo certificado está presente en todas las VM de la controladora de red. Para renovar certificados REST, consulte Renovación de certificados REST.

• Certificado de nodo de la controladora de red. Un certificado en cada VM de la controladora de red para la autenticación entre nodos. Para renovar certificados de nodo de controladora de red, consulte Renovación de certificados de nodo.

Advertencia

No deje que estos certificados expiren. Renuévelos antes de que expiren para evitar cualquier problema de autenticación. Además, no quite ningún certificado que haya expirado antes de renovarlos. Para averiguar la fecha de expiración de un certificado, consulte Visualización de la expiración del certificado.

Visualización de la expiración del certificado

Use el siguiente cmdlet en cada VM de la controladora de red para comprobar la fecha de expiración de un certificado:

Get-ChildItem Cert:\LocalMachine\My | where{$_.Subject -eq "CN=<Certificate-subject-name>"} | Select-Object NotAfter, Subject

• Para obtener la expiración de un certificado REST, reemplace "Certificate-subject-name" por restIPAddress o RestName del controlador de red. Puede encontrar este valor en el cmdlet Get-NetworkController.

• Para obtener la expiración de un certificado de nodo, reemplace "Certificate-subject-name" por el nombre de dominio completo (FQDN) de la VM de la controladora de red. Puede encontrar este valor en el cmdlet Get-NetworkController.

Renovación de certificados de controladora de red

Puede renovar los certificados de Controladora de red de forma automática o manual.

Renovación automática

El Start-SdnCertificateRotation cmdlet le permite automatizar la renovación de los certificados de controladora de red. La renovación automática de certificados ayuda a minimizar cualquier tiempo de inactividad o interrupciones no planeadas causadas debido a problemas de expiración de certificados.

Estos son los escenarios en los que puede usar el Start-SdnCertificateRotation cmdlet para renovar automáticamente los certificados de controladora de red:

• Certificados autofirmados. Use el Start-SdnCertificateRotation cmdlet para generar certificados autofirmados y renovarlos en todos los nodos de controladora de red.
• Traiga sus propios certificados. Traiga sus propios certificados, autofirmados o firmados por la entidad de certificación y use el Start-SdnCertificateRotation cmdlet para la renovación de certificados. El cmdlet instala los certificados en todos los nodos de controladora de red y los distribuye a otros componentes de infraestructura de SDN.
• Certificados preinstalados. Ya tiene instalados los certificados necesarios en los nodos de controladora de red. Use el Start-SdnCertificateRotation cmdlet para renovar esos certificados a otros componentes de infraestructura de SDN.

Para obtener más información sobre cómo crear y administrar certificados SDN, consulte Administración de certificados para redes definidas por software.

Requisitos

Estos son los requisitos para la renovación automática del certificado:

• Debe ejecutar el Start-SdnCertificateRotation cmdlet en uno de los nodos de controladora de red. Para obtener instrucciones de instalación, consulte Instalación del módulo SdnDiagnostics.

• Debe tener credenciales para los dos tipos siguientes de cuentas para autorizar la comunicación entre nodos de controladora de red:

  • Credential para especificar una cuenta de usuario con privilegios de administrador local en controladora de red.

  • NcRestCredential para especificar una cuenta de usuario con acceso a la API REST de controladora de red. Es miembro de ClientSecurityGroup .Get-NetworkController Esta cuenta se usa para llamar a la API REST para actualizar el recurso de credenciales con el nuevo certificado.

  Para obtener más información sobre cómo configurar la autorización para la comunicación hacia el norte del Controlador de red, consulte Autorización para la comunicación hacia el norte.

Renovación automática de certificados autofirmados

Puede usar el Start-SdnCertificateRotation cmdlet para generar nuevos certificados autofirmados y renovarlos automáticamente a todos los nodos de controladora de red. De forma predeterminada, el cmdlet genera certificados con un período de validez de tres años, pero puede especificar un período de validez diferente.

Realice estos pasos en uno de los nodos de Controladora de red para generar certificados autofirmados y renovarlos automáticamente:

1. Para generar certificados autofirmados, ejecute el Start-SdnCertificateRotation cmdlet . Puede usar el -Force parámetro con el cmdlet para evitar las solicitudes de confirmación o entradas manuales durante el proceso de rotación.

   • Para generar certificados autofirmados con el período de validez predeterminado de tres años, ejecute los siguientes comandos:

     Import-Module -Name SdnDiagnostics -Force
     Start-SdnCertificateRotation -GenerateCertificate -CertPassword (Get-Credential).Password -Credential (Get-Credential)
     

   • Para generar certificados autofirmados con un período de validez específico, use el NotAfter parámetro para especificar el período de validez.

     Por ejemplo, para generar certificados autofirmados con un período de validez de cinco años, ejecute los siguientes comandos:

     Import-Module -Name SdnDiagnostics -Force
     Start-SdnCertificateRotation -GenerateCertificate -CertPassword (Get-Credential).Password -NotAfter (Get-Date).AddYears(5) -Credential (Get-Credential)
     

2. Escriba las credenciales. Recibirá dos mensajes para proporcionar dos tipos de credenciales:

   • En el primer símbolo del sistema, escriba la contraseña para proteger el certificado generado. El nombre de usuario puede ser cualquier cosa y no se usa.
   • En el segundo símbolo del sistema, use la credencial que tiene acceso de administrador a todos los nodos de controladora de red.

3. Después de generar los nuevos certificados, recibirá una advertencia para confirmar si desea continuar con el proceso de rotación de certificados. El texto de advertencia muestra la lista de certificados de controladora de red que se reemplazarán por los recién generados. Escriba Y para continuar.

   Esta es una captura de pantalla de ejemplo de la advertencia:

   

4. Después de confirmar que continúa con la rotación de certificados, puede ver el estado de las operaciones en curso en la ventana de comandos de PowerShell.

   Importante

   No cierre la ventana de PowerShell hasta que finalice el cmdlet. Según el entorno, como el número de nodos de controladora de red del clúster, puede tardar varios minutos o más de una hora en finalizar.

   Esta es una captura de pantalla de ejemplo de la ventana de comandos de PowerShell que muestra el estado de las operaciones en curso:

   

Renovar automáticamente sus propios certificados

Además de generar certificados autofirmados de Controladora de red, también puede traer sus propios certificados, autofirmados o firmados por ca, y usar el Start-SdnCertificateRotation cmdlet para renovar esos certificados.

Realice estos pasos en uno de los nodos de controladora de red para renovar automáticamente sus propios certificados:

1. Prepare los certificados en .pfx formato y guárdelos en una carpeta en uno de los nodos de controladora de red desde donde ejecute el Start-SdnCertificateRotation cmdlet. Puede usar el -Force parámetro con el cmdlet para evitar las solicitudes de confirmación o entradas manuales durante el proceso de rotación.

2. Para iniciar la renovación de certificados, ejecute los siguientes comandos:

   Import-Module -Name SdnDiagnostics -Force
   Start-SdnCertificateRotation -CertPath "<Path where you put your certificates>" -CertPassword (Get-Credential).Password -Credential (Get-Credential)
   

3. Escriba las credenciales. Recibirá dos mensajes para proporcionar dos tipos de credenciales:

   • En el primer símbolo del sistema, escriba la contraseña del certificado. El nombre de usuario puede ser cualquier cosa y no se usa.
   • En el segundo símbolo del sistema, use la credencial que tiene acceso de administrador a todos los nodos de controladora de red.

4. Recibirá una advertencia para confirmar si desea continuar con el proceso de rotación de certificados. El texto de advertencia muestra la lista de certificados de controladora de red que se reemplazarán por los recién generados. Escriba Y para continuar.

   Esta es una captura de pantalla de ejemplo de la advertencia:

   

5. Después de confirmar que continúa con la rotación de certificados, puede ver el estado de las operaciones en curso en la ventana de comandos de PowerShell.

   Importante

   No cierre la ventana de PowerShell hasta que finalice el cmdlet. Según el entorno, como el número de nodos de controladora de red del clúster, puede tardar varios minutos o más de una hora en finalizar.

Renovación automática de certificados preinstalados

En este escenario, tiene instalados los certificados necesarios en los nodos de controladora de red. Use el Start-SdnCertificateRotation cmdlet para renovar esos certificados en otros componentes de infraestructura de SDN.

Realice estos pasos en uno de los nodos de controladora de red para renovar automáticamente los certificados preinstalados:

1. Instale los certificados de controladora de red en todos los nodos de controladora de red según su método preferido. Asegúrese de que otros componentes de infraestructura de SDN confían en los certificados, incluidos los servidores MUX de SDN y los hosts de SDN.

2. Cree la configuración de rotación de certificados:

   1. Para generar la configuración de rotación de certificados predeterminada, ejecute los siguientes comandos:

      Import-Module -Name SdnDiagnostics -Force
      $certConfig = New-SdnCertificateRotationConfig
      $certConfig
      

   2. Revise la configuración de rotación de certificados predeterminada para confirmar si los certificados detectados automáticamente son los que desea usar. De forma predeterminada, recupera el certificado emitido más reciente que se va a usar.

      Esta es una configuración de rotación de certificados de ejemplo:

      PS C:\Users\LabAdmin> $certConfig
      
      Name					Value
      ----					-----
      ws22ncl.corp.contoso.com 	F4AAF14991DAF282D9056E147AE60C2C5FE80A49
      ws22nc3.corp.contoso.com 	BC3E6B090E2AA80220B7BAED7F8F981A1E1DD115
      ClusterCredentialType 		X509
      ws22nc2.corp.contoso.corn 	75DC229A8E61AD855CC445C42482F9F919CC1077
      NcRestCert				029D7CA0067A60FB24827D8434566787114AC30C
      

      donde:

      • ws22ncx.corp.contoso.com muestra la huella digital del certificado para cada nodo de controladora de red.
      • ClusterCredentialType muestra el tipo de autenticación de clúster de controladora de red. Si el tipo de autenticación no es X509, no se usa el certificado de nodo y no se muestra en la salida.
      • NcRestCert muestra la huella digital del certificado REST del Controlador de Red.

   3. (Opcional) Si el generado $certConfig no es correcto, puede cambiarlo especificando la huella digital de un nuevo certificado. Por ejemplo, para cambiar la huella digital del certificado rest de controladora de red, ejecute el siguiente comando:

      $certConfig.NcRestCert = <new certificate thumbprint>
      

3. Inicie la rotación de certificados. Puede usar el -Force parámetro con el cmdlet para evitar las solicitudes de confirmación o entradas manuales durante el proceso de rotación.

   Import-Module -Name SdnDiagnostics -Force
   Start-SdnCertificateRotation -CertRotateConfig $certConfig -Credential (Get-Credential)
   

4. Cuando se le pidan credenciales, escriba la credencial que tiene acceso de administrador a todos los nodos de controlador de red.

5. Recibirá una advertencia para confirmar si desea continuar con la rotación automática de certificados. La advertencia muestra la lista de certificados de controladora de red que se reemplazarán por sus propios certificados. Escriba Y para continuar.

   Esta es una captura de pantalla de ejemplo de la advertencia que le pide que confirme la rotación de certificados:

   

6. Después de confirmar que continúa con la rotación de certificados, puede ver el estado de las operaciones en curso en la ventana de comandos de PowerShell.

   Importante

   No cierre la ventana de PowerShell hasta que finalice el cmdlet. Según el entorno, como el número de nodos de controladora de red del clúster, puede tardar varios minutos o más de una hora en finalizar.

Renovación manual

Siga las instrucciones siguientes para renovar manualmente los certificados REST y los certificados de nodo de controlador de red.

Importante

Si los certificados de controladora de red ya han expirado, siga las instrucciones de la sección renovación automática para renovar los certificados.

Renovación de certificados de REST

Use el certificado de REST de la controladora de red para:

• La comunicación de Northbound con clientes de REST
• El cifrado de credenciales
• La comunicación de Southbound con hosts y VM de software de Load Balancer

Al actualizar un certificado de REST, debe actualizar los clientes de administración y los dispositivos de red para usar el nuevo certificado.

Para renovar el certificado de REST, complete los pasos siguientes:

1. Asegúrese de que el certificado en las VM de la controladora de red no haya expirado antes de renovarlo. Consulte Visualización de la expiración del certificado.

2. Adquiera el nuevo certificado y colóquelo en el almacén personal del equipo local (LocalMachine\My). Si es un certificado autofirmado, colóquelo en el almacén raíz (LocalMachine\Root) de cada VM de la controladora de red. Para obtener información sobre cómo crear un nuevo certificado o emitirlo desde una entidad de certificación, consulte Administración de certificados para redes definidas por software.

3. Asigne el nuevo certificado a una variable:

   $cert= Get-ChildItem Cert:\LocalMachine\My | where{$_.Thumbprint -eq "<thumbprint of the new certificate>"}
   

4. Copie el certificado en todas las máquinas virtuales de controladora de red.

5. Proporcione permisos de lectura y un permiso para NT Authority/Network Service en el certificado:

   $targetCertPrivKey = $Cert.PrivateKey
   $privKeyCertFile = Get-Item -path
   "$ENV:ProgramData\Microsoft\Crypto\RSA\MachineKeys\*" | where-object {$_.Name -eq $targetCertPrivKey.CspKeyContainerInfo.UniqueKeyContainerName}
   $privKeyAcl = Get-Acl $privKeyCertFile
   $permission = "NT AUTHORITY\NETWORK SERVICE","Read","Allow"
   $accessRule = new-object System.Security.AccessControl.FileSystemAccessRule $permission
   $privKeyAcl.AddAccessRule($accessRule)
   Set-Acl $privKeyCertFile.FullName $privKeyAcl
   

6. (Solo para el certificado autofirmado) Copie la clave pública del certificado en todos los hosts y máquinas virtuales del equilibrador de carga de software.

7. Modifique la configuración de controladora de red para usar el nuevo certificado.

Copia del certificado en todas las VM de la controladora de red

Siga estos pasos para copiar un certificado en todas las VM de la controladora de red.

1. Asegúrese de adquirir el nuevo certificado y colóquelo en el almacén personal de la máquina local (Mi – cert:\localmachine\my).

2. En la primera VM de la controladora de red, exporte el certificado a un archivo de Intercambio de información personal (PFX).

   $mypwd = ConvertTo-SecureString -String "<password>" -Force -AsPlainText
   Export-PfxCertificate -FilePath "C:\newpfx.pfx" -Password $mypwd -Cert $cert    
   # Here, $cert is the new certificate
   

3. En otras VM de la controladora de red, importe el certificado y las claves privadas desde un archivo PFX al almacén de destino:

   $mypwd = ConvertTo-SecureString -String "<password>" -Force -AsPlainText
   Import-PfxCertificate -FilePath C:\newpfx.pfx -CertStoreLocation Cert:\LocalMachine\My -Password $mypwd
   # Ensure that you copy the pfx file into the local machine before importing the cert
   

Copia de la clave pública del certificado en todos los hosts y VM de Software Load Balancer (Solo para el certificado autofirmado)

Si usa un certificado autofirmado, colóquelo en el almacén raíz del equipo local (LocalMachine\Root) según lo siguiente:

• Cada VM de la controladora de red.
• Cada máquina local de Azure y todas las máquinas virtuales del equilibrador de carga de software. Esto garantiza que las entidades del mismo nivel confíen en el certificado.

Este es un comando de ejemplo para importar la clave pública del certificado que ya se ha exportado:

Import-Certificate -FilePath "\\sa18fs\SU1_LibraryShare1\RestCert.cer\" -CertStoreLocation cert:\localMachine\Root

Modificación de la configuración de la controladora de red para usar el nuevo certificado

Modifique la configuración del nodo, el clúster y la aplicación de la controladora de red para usar el nuevo certificado.

Para la comunicación de Northbound

Para cambiar el certificado que usa la controladora de red para la comunicación de Northbound, ejecute el siguiente comando en cualquiera de las VM de la controladora de red:

Set-NetworkController -ServerCertificate \$cert

Para el cifrado de credenciales

Para cambiar el certificado que usa la controladora de red para el cifrado de credenciales, ejecute el siguiente comando en cualquiera de las VM de la controladora de red:

Set-NetworkControllerCluster -CredentialEncryptionCertificate $cert

Para la comunicación hacia el sur

Para cambiar el certificado que usa la controladora de red para comunicarse con hosts y equilibradores de carga de software, ejecute el siguiente comando:

$certCred = Get-NetworkControllerCredential -ConnectionUri <REST uri of deployment> |where-object { $_.properties.type -eq "X509Certificate" }
$certCred[0].Properties.Value ="<Thumbprint of the new certificate>"

New-NetworkControllerCredential -ConnectionUri <REST uri of deployment> -ResourceId $certCred[0].ResourceId -Properties $certCred[0].Properties -Force

Renovación de certificados de nodo

Para renovar el certificado de nodo de la controladora de red, realice los pasos siguientes en cada VM de la controladora de red:

1. Adquiera el nuevo certificado y colóquelo en el almacén personal del equipo local (LocalMachine\My). Si es un certificado autofirmado, colóquelo en el almacén (LocalMachine\Root) de cada VM de la controladora de red. Para obtener información sobre cómo crear un nuevo certificado o emitirlo desde una entidad de certificación, consulte Administración de certificados para redes definidas por software.

2. Asigne el nuevo certificado a una variable:

   $cert = Get-ChildItem Cert:\LocalMachine\My | where{$_.Thumbprint -eq "<thumbprint of the new certificate>"}
   

3. Proporcione permisos de lectura y un permiso para NT Authority/Network Service en el certificado:

   $targetCertPrivKey = $Cert.PrivateKey
   $privKeyCertFile = Get-Item -path
   "$ENV:ProgramData\Microsoft\Crypto\RSA\MachineKeys\*" | where-object {$_.Name -eq $targetCertPrivKey.CspKeyContainerInfo.UniqueKeyContainerName}
   $privKeyAcl = Get-Acl $privKeyCertFile
   $permission = "NT AUTHORITY\NETWORK SERVICE","Read","Allow"
   $accessRule = new-object System.Security.AccessControl.FileSystemAccessRule $permission
   $privKeyAcl.AddAccessRule($accessRule)
   Set-Acl $privKeyCertFile.FullName $privKeyAcl
   

4. Ejecute el siguiente comando para cambiar el certificado de nodo:

   Set-NetworkControllerNode -Name "<Name of the Network Controller node>" -NodeCertificate $cert
   

Volver a importar certificados en Windows Admin Center

Si ha renovado el certificado REST de controladora de red y usa Windows Admin Center para administrar SDN, debe quitar la instancia local de Azure de Windows Admin Center y agregarla de nuevo. Al hacerlo, asegúrate de que Windows Admin Center importa el certificado renovado y lo usas para la administración de SDN.

Siga estos pasos para volver a importar el certificado renovado en Windows Admin Center:

1. En Windows Admin Center, seleccione Administrador de clústeres en el menú desplegable superior.
2. Seleccione el clúster que desea quitar y, a continuación, seleccione Quitar.
3. Seleccione Agregar, escriba el nombre del clúster y, a continuación, seleccione Agregar.
4. Una vez cargado el clúster, seleccione Infraestructura de SDN. Esto obliga a Windows Admin Center a volver a importar automáticamente el certificado renovado.

Pasos siguientes

• Actualice la infraestructura de SDN para Azure Local.