Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporcionan más detalles sobre el flujo de configuración HTTPS de Windows en la caché conectada.
Requisitos previos
Métodos de conexión de cliente
Pruebe lo siguiente para determinar el método de conexión adecuado al servidor de caché conectada con el fin de configurar la compatibilidad con HTTPS.
Comprobación de la configuración de la directiva de optimización de distribución
El siguiente comando consulta el Registro de Windows para obtener el valor "DOCacheHost" en la ruta de acceso de la directiva optimización de distribución:
Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\DeliveryOptimization" -Name "DOCacheHost" -ErrorAction SilentlyContinueSi el valor está presente en la salida, significa que el cliente está configurado explícitamente para usar un servidor de caché conectada de Microsoft específico.
Si falta el valor en la salida, el cliente podría basarse en la opción DHCP 235 para detectar servidores de caché conectada dinámicamente, suponiendo que DOCacheHostSource esté configurado.
Comprobación de los detalles de la conexión HTTP existente
El siguiente comando comprueba la conectividad TCP con el puerto 80 en el servidor de caché conectada. Reemplace por
insert-mcc-server-nameel nombre completo del equipo del servidor.Test-NetConnection -ComputerName [insert-mcc-server-name] -Port 80 -InformationLevel DetailedDesde la salida:
-
RemoteAddresses la dirección IP que el cliente ha resuelto para el servidor de caché conectada -
NameResolutionResultsenumera el nombre de host que usan los clientes si la resolución DNS está implicada
-
Generación de CSR
Ejemplos de parámetros de Scenario-Based
Revise los ejemplos de parámetros basados en escenarios y realice modificaciones en generateCsr el comando en consecuencia:
Oficina única: solo dirección IP
Escenario: sucursal pequeña donde los clientes están configurados para conectarse a la caché conectada mediante una dirección IP estática (por ejemplo, a través de la directiva DOCacheHost establecida en "192.168.1.100"). Administración usa una cuenta de usuario local.
.\generateCsr.ps1 `
-RunTimeAccountName $credential.Username `
-mccLocalAccountCredential $credential `
-algo RSA `
-keySizeOrCurve 2048 `
-csrName "mcc-branch-office" `
-subjectCommonName "192.168.1.100" `
-subjectCountry "US" `
-subjectState "TX" `
-subjectOrg "Contoso Corp" `
-sanIp "192.168.1.100"
Enterprise Standard: nombre de host DNS
Escenario: entorno empresarial en el que los clientes se conectan a través del nombre de host estandarizado (mcc-server.contoso.com). Administración usa una cuenta de gMSA.
.\generateCsr.ps1 `
-RunTimeAccount "CONTOSO\mcc-gmsa$" `
-algo RSA `
-keySizeOrCurve 4096 `
-csrName "mcc-enterprise-prod" `
-subjectCommonName "mcc-server.contoso.com" `
-subjectCountry "US" `
-subjectState "Washington" `
-subjectOrg "Contoso Corporation" `
-sanDns "mcc-server.contoso.com"
Entorno de detección de DHCP
Escenario: entorno que usa la opción DHCP 235 para la detección de caché conectada, donde los clientes pueden conectarse mediante el nombre de host real del servidor o el nombre proporcionado por DHCP. Administración usa una cuenta de usuario local.
.\generateCsr.ps1 `
-RunTimeAccountName $credential.Username `
-mccLocalAccountCredential $credential `
-algo RSA `
-keySizeOrCurve 2048 `
-csrName "mcc-dhcp-discovery" `
-subjectCommonName "cache-server.corporate.local" `
-subjectCountry "US" `
-subjectState "FL" `
-subjectOrg "Corporate IT Services" `
-sanDns "cache-server.corporate.local,mcc-auto.corporate.local,fileserver.corporate.local"
Entorno híbrido: conexiones de cliente mixtas
Escenario: entorno mixto durante la migración en el que algunos clientes heredados siguen usando direcciones IP mientras que los clientes más recientes usan nombres DNS. Abarca ambos métodos de conexión. Administración usa una cuenta de usuario local.
.\generateCsr.ps1 `
-RunTimeAccountName $credential.Username `
-mccLocalAccountCredential $credential `
-algo RSA `
-keySizeOrCurve 2048 `
-csrName "mcc-hybrid-migration" `
-subjectCommonName "mcc-cache.contoso.com" `
-subjectCountry "US" `
-subjectState "CA" `
-subjectOrg "Contoso Inc" `
-sanDns "mcc-cache.contoso.com,cache.contoso.local" `
-sanIp "10.0.1.50,192.168.100.10"
Multisitio con nomenclatura regional
Escenario: organización grande con varios nodos de caché conectada mediante una convención de nomenclatura coherente (formato mcc-region-site). Este ejemplo es para un nodo de centro de datos de Seattle. Administración usa una cuenta de gMSA.
.\generateCsr.ps1 `
-RunTimeAccount "CORP\mcc-production-gmsa$" `
-algo RSA `
-keySizeOrCurve 4096 `
-csrName "mcc-seattle-dc1" `
-subjectCommonName "mcc-sea-dc1.corp.contoso.com" `
-subjectCountry "US" `
-subjectState "Washington" `
-subjectOrg "Contoso Corporation" `
-sanDns "mcc-sea-dc1.corp.contoso.com,mcc-seattle.contoso.com"
Entorno con equilibrio de carga
Escenario: configuración de alta disponibilidad donde hay varios nodos de caché conectada detrás de un equilibrador de carga. Los clientes se conectan a la VIP del equilibrador de carga, pero el certificado debe admitir el acceso directo al nodo para solucionar problemas. Administración usa una cuenta de gMSA.
.\generateCsr.ps1 `
-RunTimeAccount "ENTERPRISE\mcc-ha-gmsa$" `
-algo RSA `
-keySizeOrCurve 4096 `
-csrName "mcc-node1-ha" `
-subjectCommonName "mcc.enterprise.com" `
-subjectCountry "US" `
-subjectState "NY" `
-subjectOrg "Enterprise Solutions Inc" `
-sanDns "mcc.enterprise.com,mcc-node1.enterprise.com,mcc-cluster.enterprise.local"
Entorno de desarrollo y pruebas
Escenario: entorno de desarrollo con requisitos de nomenclatura relajados. Admite pruebas de localhost y acceso a la red de laboratorio. Administración usa una cuenta de usuario local.
.\generateCsr.ps1 `
-RunTimeAccountName $credential.Username `
-mccLocalAccountCredential $credential `
-algo RSA `
-keySizeOrCurve 2048 `
-csrName "mcc-dev-lab" `
-subjectCommonName "localhost" `
-subjectCountry "US" `
-subjectState "Dev" `
-subjectOrg "IT Development" `
-sanDns "localhost,mcc-dev.lab.local,devserver.local" `
-sanIp "127.0.0.1,192.168.10.100,10.10.10.50"
Alta seguridad con curva elíptica
Escenario: una organización consciente de la seguridad que requiere criptografía ECC moderna para mejorar el rendimiento y el cumplimiento de los estándares de seguridad más recientes. Administración usa una cuenta de gMSA.
.\generateCsr.ps1 `
-RunTimeAccount "SECURE\mcc-prod-gmsa$" `
-algo EC `
-keySizeOrCurve secp384r1 `
-csrName "mcc-secure-prod" `
-subjectCommonName "mcc-secure.defense.gov" `
-subjectCountry "US" `
-subjectState "VA" `
-subjectOrg "Department of Defense" `
-sanDns "mcc-secure.defense.gov"
Azure VM/Implementación de nube híbrida
Escenario: nodo de caché conectada implementado en Azure máquina virtual con conectividad pública y privada. Los clientes del entorno local se conectan a través de ip/nombre de host privado, mientras que los clientes basados en la nube pueden usar el nombre DNS público Azure. Administración usa una cuenta de usuario local.
.\generateCsr.ps1 `
-RunTimeAccountName $credential.Username `
-mccLocalAccountCredential $credential `
-algo RSA `
-keySizeOrCurve 2048 `
-csrName "mcc-azure-hybrid" `
-subjectCommonName "mcc-eastus.cloudapp.azure.com" `
-subjectCountry "US" `
-subjectState "WA" `
-subjectOrg "Contoso Corporation" `
-sanDns "mcc-eastus.cloudapp.azure.com,mcc-azure.contoso.local,mcc-vm01.contoso.com" `
-sanIp "10.0.1.10,172.16.0.50"
Firmar CSR
Conversión al tipo de archivo .crt
Si recibe
.cer:PowerShell:
Rename-Item -Path "xxxx.cer" "xxxx.crt"WSL:
openssl x509 -in xxxx.cer -out xxxx.crt
Si recibe
.der:PowerShell:
certutil -encode "xxxx.der" "xxxx.crt"WSL:
openssl x509 -inform DER -in xxxx.der -out xxxx.crt