Compartir vía


Certificado de autenticación de servidor de CMG

Se aplica a: Configuration Manager (rama actual)

El primer paso al configurar una puerta de enlace de administración en la nube (CMG) es obtener el certificado de autenticación del servidor. CMG crea un servicio HTTPS al que se conectan los clientes basados en Internet. El servidor requiere un certificado de autenticación de servidor para compilar el canal seguro. Puede adquirir un certificado para este fin de un proveedor público o emitirlo desde la infraestructura de clave pública (PKI).

Al crear la instancia de CMG en la consola de Configuration Manager, se proporciona este certificado. El nombre común (CN) de este certificado define el nombre de servicio de CMG.

Nota:

Es posible que necesite certificados adicionales para clientes y puntos de administración. Estos certificados se tratan en el tercer paso del proceso de instalación de CMG, Configurar la autenticación de cliente.

Un recordatorio de la terminología de CMG que se usa en este artículo:

  • Nombre del servicio: nombre común (CN) del certificado de autenticación del servidor CMG. Los clientes y el rol de sistema de sitio de punto de conexión de CMG se comunican con este nombre de servicio. Por ejemplo, GraniteFalls.contoso.com o GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Nombre de implementación: la primera parte del nombre del servicio más la ubicación de Azure para la implementación del servicio en la nube. El componente administrador de servicios en la nube del punto de conexión de servicio usa este nombre cuando implementa cmg en Azure. El nombre de implementación siempre está en un dominio de Azure. La ubicación de Azure depende del método de implementación, por ejemplo:

    • Conjunto de escalado de máquinas virtuales: GraniteFalls.WestUS.CloudApp.Azure.Com
    • Implementación clásica: GraniteFalls.CloudApp.Net

    Importante

    En este artículo se usan ejemplos con un conjunto de escalado de máquinas virtuales como método de implementación recomendado en la versión 2107 y versiones posteriores. Si usa una implementación clásica, tenga en cuenta la diferencia al leer este artículo y preparar el certificado de autenticación del servidor.

Elegir el tipo de certificado

En primer lugar, decida dónde desea obtener el certificado. Hay varios factores a tener en cuenta.

Los clientes deben confiar en el certificado de autenticación del servidor CMG para establecer el canal HTTPS con el servicio CMG. Hay dos métodos para lograr esta confianza:

  1. Use un certificado de un proveedor de certificados público y de confianza global.

    • Los clientes de Windows incluyen entidades de certificación raíz (CA) de confianza de estos proveedores. Al usar un certificado emitido por uno de estos proveedores, los clientes confían automáticamente en él.

    • Hay un costo asociado a este certificado, que es específico del proveedor.

  2. Use un certificado emitido por una entidad de certificación empresarial desde la infraestructura de clave pública (PKI).

    • La mayoría de las implementaciones de PKI empresariales agregan las CA raíz de confianza a los clientes de Windows. Por ejemplo, si usa Servicios de certificados de Active Directory con la directiva de grupo. Si emite el certificado de autenticación del servidor CMG desde una entidad de certificación en la que los clientes no confían automáticamente, agregue el certificado raíz de confianza de ca a los clientes basados en Internet.

      Si tiene previsto instalar el cliente de Configuration Manager desde Intune, también puede usar perfiles de certificado de Intune para aprovisionar certificados en los clientes. Para obtener más información, vea Configurar un perfil de certificado.

    • Su organización puede tener un costo interno para emitir certificados, pero por lo general no hay costos externos asociados a este certificado.

Importante

Antes de obtener este certificado, asegúrese de que el nombre del servicio sea globalmente único para el servicio en la nube y la cuenta de almacenamiento. Asegúrese también de que el nombre usa caracteres admitidos. Para obtener más información, consulte Nombre único global.

Comparación de resumen de tipos de certificado

Proveedor público Enterprise PKI
Confianza del cliente Confianza en Windows de forma predeterminada Automático con algunas implementaciones; de lo contrario, es necesario implementar
Costo Yes No típico
Ejemplo de nombre de servicio GraniteFalls.contoso.com GraniteFalls.contoso.com o GraniteFalls.WestUS.CloudApp.Azure.Com
CNAME de DNS requerido Yes No para el nombre del servicio de dominio de Azure (GraniteFalls.WestUS.CloudApp.Azure.Com)

Nota:

El certificado de autenticación del servidor CMG admite caracteres comodín. Algunas entidades de certificación emiten certificados con un carácter comodín para el prefijo de nombre de servicio. Por ejemplo, *.contoso.com. Algunas organizaciones usan certificados comodín para simplificar su PKI y reducir los costos de mantenimiento.

Para obtener más información sobre cómo usar un certificado comodín con un CMG, consulte Configuración de un CMG.

Nombre único global

Este certificado requiere un nombre único global para identificar el servicio en Azure. Antes de solicitar un certificado, confirme que el nombre de implementación de Azure que desea es único. Por ejemplo, GraniteFalls.WestUS.CloudApp.Azure.Com.

Conjunto de escalado de máquinas virtuales

  1. Inicie sesión en el portal de Azure.

  2. En la página principal de Azure Portal, seleccione Crear un recurso en Servicios de Azure.

  3. Busque Conjunto de escalado de máquinas virtuales. Seleccione Crear.

  4. Seleccione la suscripción y el grupo de recursos que usará para cmg.

  5. En el campo Nombre del conjunto de escalado de máquinas virtuales , escriba el prefijo que desee. Por ejemplo, GraniteFalls.

  6. Seleccione la región que usará para cmg. Por ejemplo, (EE. UU.) Oeste de EE. UU.

La interfaz refleja si el nombre de dominio está disponible o ya está en uso por otro servicio.

Importante

No cree el servicio en el portal, use este proceso para comprobar la disponibilidad del nombre.

Repita este proceso para el recurso de Key Vault . La implementación del conjunto de escalado de máquinas virtuales crea un almacén de claves con el mismo nombre, que también debe ser único globalmente.

Cuenta de almacenamiento de CMG habilitada para contenido

Si también habilita cmg para el contenido, confirme que también es un nombre de cuenta de Almacenamiento de Azure único. Si el nombre de implementación de CMG es único, pero la cuenta de almacenamiento no lo es, Configuration Manager no puede aprovisionar el servicio en Azure. Repita el proceso anterior en Azure Portal con los siguientes cambios:

  • Busque Cuenta de almacenamiento.

  • Pruebe el nombre en el campo Nombre de la cuenta de almacenamiento .

Importante

El prefijo de nombre DNS debe tener entre 3 y 24 caracteres y contener solo números y letras minúsculas. No use caracteres especiales, como un guión (-). Por ejemplo: granitefalls.

Emitir el certificado

El certificado de autenticación de servidor cmg admite las siguientes configuraciones:

  • Longitud de clave de 2048 bits o 4096 bits

  • Este certificado admite proveedores de almacenamiento de claves para claves privadas de certificado (v3). Para obtener más información, consulte Introducción a los certificados CNG v3.

Uso de un certificado de proveedor público

Un proveedor de certificados de terceros no puede crear un certificado para un dominio de Azure como cloudapp.azure.com, porque Microsoft posee esos dominios. Solo puede obtener un certificado emitido para un dominio de su propiedad. La razón principal para adquirir un certificado de un proveedor de terceros es que los clientes ya confían en el certificado raíz de ese proveedor.

El proceso específico para obtener este certificado varía según el proveedor. Para obtener más información, póngase en contacto con el proveedor de certificados de terceros.

Para el nombre común del certificado de servidor web (CN):

  • Se ha asegurado de que el nombre de la implementación sea globalmente único en Azure para el servicio en la nube y la cuenta de almacenamiento. Por ejemplo, GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Para determinar el nombre del servicio, anexe el prefijo de nombre de implementación (GraniteFalls) al nombre de dominio de la organización ().contoso.com

  • Use este nombre de servicio para el nombre común del certificado (CN). Por ejemplo, GraniteFalls.contoso.com.

A continuación, debe crear un alias CNAME de DNS.

Uso de un certificado PKI empresarial

La emisión de un certificado de servidor web desde la PKI de la organización varía según el producto. Las instrucciones para implementar el certificado de servicio para puntos de distribución basados en la nube son para Servicios de certificados de Active Directory. Por lo general, este proceso se aplica al certificado de autenticación del servidor CMG.

Para el nombre común del certificado de servidor web (CN):

  • Se ha asegurado de que el nombre de la implementación sea globalmente único en Azure para el servicio en la nube y la cuenta de almacenamiento. Por ejemplo, GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Para determinar el nombre del servicio, tiene dos opciones:

    • Use el nombre de dominio (recomendado). Anexe el prefijo de nombre de implementación (GraniteFalls) al nombre de dominio de la organización (contoso.com). Por ejemplo, GraniteFalls.contoso.com. Para esta opción, también debe crear un alias CNAME de DNS.

    • Use el nombre de implementación de Azure. Esta opción no requiere un alias CNAME de DNS. Por ejemplo:

      • Para la nube pública de Azure: GraniteFalls.WestUS.CloudApp.Azure.Com.

      • Para la nube de Azure US Government: GraniteFalls.usgovcloudapp.net.

      Nota:

      Si cambia el nombre de implementación de Azure, tendrá que volver a implementar el servicio para cambiar este nombre de servicio. Por ejemplo, si el nombre del servicio está en el cloudapp.net dominio, no puede convertir cmg del servicio en la nube clásica en un conjunto de escalado de máquinas virtuales. Si usa el nombre de dominio para el nombre del servicio CMG, puede actualizar el CNAME de DNS para el nuevo nombre de implementación.

  • Use este nombre de servicio para el nombre común del certificado (CN).

Creación de un alias CNAME de DNS

Si el nombre del servicio CMG usa el nombre de dominio de su organización (GraniteFalls.contoso.com), debe crear un registro de nombre canónico (CNAME) dns. Este alias asigna el nombre del servicio al nombre de implementación.

Cree un registro CNAME en el DNS público de la organización. El servicio CMG en Azure y todos los clientes que lo usan necesitan para resolver el nombre del servicio. Por ejemplo:

  • Contoso asigna el nombre GraniteFalls a CMG.

  • El nombre de implementación en Azure es GraniteFalls.WestUS.CloudApp.Azure.Com.

  • En el espacio de nombres DNS contoso.com público de Contoso, el administrador dns crea un nuevo registro CNAME para el nombre GraniteFalls.contoso.com del servicio en el nombre de implementación de Azure, GraniteFalls.WestUS.CloudApp.Azure.Com.

Al crear cmg, mientras que el certificado tiene GraniteFalls.contoso.com como CN, Configuration Manager solo extrae el prefijo de nombre de servicio, por ejemplo: GraniteFalls. Anexa este prefijo al dominio de servicio de Azure (cloudapp.azure.com) con la región (westus) para crear el nombre de implementación. Por ejemplo, GraniteFalls.WestUS.CloudApp.Azure.Com. El alias CNAME del espacio de nombres DNS del dominio (contoso.com) asigna estos dos FQDN.

La directiva de cliente de Configuration Manager incluye el nombre del servicio CMG, GraniteFalls.contoso.com. El cliente resuelve el nombre del servicio a través del alias CNAME en el nombre de implementación, GraniteFalls.WestUS.CloudApp.Azure.Com. A continuación, puede resolver la dirección IP del nombre de implementación para comunicarse con el servicio en Azure.

Siguientes pasos

Para continuar con la configuración de CMG, configure Microsoft Entra ID: