Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article fournit plus de détails sur le flux d’installation de Windows HTTPS sur le cache connecté.
Conditions préalables
Méthodes de connexion client
Essayez ce qui suit pour déterminer la méthode de connexion appropriée à votre serveur de cache connecté, afin de configurer la prise en charge https.
Vérifier la configuration de la stratégie d’optimisation de la distribution
La commande suivante interroge le Registre Windows pour obtenir la valeur « DOCacheHost » sous le chemin de la stratégie d’optimisation de la distribution :
Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\DeliveryOptimization" -Name "DOCacheHost" -ErrorAction SilentlyContinueSi la valeur est présente dans la sortie, cela signifie que le client est explicitement configuré pour utiliser un serveur microsoft Connected Cache spécifique.
Si la valeur est manquante dans la sortie, le client peut s’appuyer sur l’option DHCP 235 pour découvrir dynamiquement les serveurs de cache connecté, en supposant que DOCacheHostSource soit configuré.
Vérifier les détails de la connexion HTTP existante
La commande suivante vérifie la connectivité TCP au port 80 sur le serveur de cache connecté. Remplacez par
insert-mcc-server-namele nom complet de l’ordinateur du serveur.Test-NetConnection -ComputerName [insert-mcc-server-name] -Port 80 -InformationLevel DetailedÀ partir de la sortie :
-
RemoteAddressest l’adresse IP que votre client a résolue pour le serveur de cache connecté -
NameResolutionResultsrépertorie le nom d’hôte utilisé par vos clients si la résolution DNS est impliquée
-
Générer une demande de signature de certificat
exemples de paramètres Scenario-Based
Passez en revue les exemples de paramètres basés sur un scénario et apportez des modifications à votre generateCsr commande en conséquence :
Office unique - Adresse IP uniquement
Scénario : Petite succursale où les clients sont configurés pour se connecter au cache connecté à l’aide d’une adresse IP statique (par exemple, via la stratégie DOCacheHost définie sur « 192.168.1.100 »). Administration utilise un compte d’utilisateur local.
.\generateCsr.ps1 `
-mccRunTimeAccount $credential.Username `
-mccLocalAccountCredential $credential `
-algo RSA `
-keySizeOrCurve 2048 `
-csrName "mcc-branch-office" `
-subjectCommonName "192.168.1.100" `
-subjectCountry "US" `
-subjectState "TX" `
-subjectOrg "Contoso Corp" `
-sanIp "192.168.1.100"
Entreprise Standard - Nom d’hôte DNS
Scénario : Environnement d’entreprise dans lequel les clients se connectent via un nom d’hôte normalisé (mcc-server.contoso.com). Administration utilise un compte gMSA.
.\generateCsr.ps1 `
-mccRunTimeAccount "CONTOSO\mcc-gmsa$" `
-algo RSA `
-keySizeOrCurve 4096 `
-csrName "mcc-enterprise-prod" `
-subjectCommonName "mcc-server.contoso.com" `
-subjectCountry "US" `
-subjectState "Washington" `
-subjectOrg "Contoso Corporation" `
-sanDns "mcc-server.contoso.com"
Environnement de découverte DHCP
Scénario : Environnement utilisant l’option DHCP 235 pour la découverte du cache connecté dans lequel les clients peuvent se connecter à l’aide du nom d’hôte réel du serveur ou du nom fourni par DHCP. Administration utilise un compte d’utilisateur local.
.\generateCsr.ps1 `
-mccRunTimeAccount $credential.Username `
-mccLocalAccountCredential $credential `
-algo RSA `
-keySizeOrCurve 2048 `
-csrName "mcc-dhcp-discovery" `
-subjectCommonName "cache-server.corporate.local" `
-subjectCountry "US" `
-subjectState "FL" `
-subjectOrg "Corporate IT Services" `
-sanDns "cache-server.corporate.local,mcc-auto.corporate.local,fileserver.corporate.local"
Environnement hybride - Connexions clientes mixtes
Scénario : Environnement mixte pendant la migration où certains clients hérités utilisent toujours des adresses IP tandis que les clients plus récents utilisent des noms DNS. Couvre les deux méthodes de connexion. Administration utilise un compte d’utilisateur local.
.\generateCsr.ps1 `
-mccRunTimeAccount $credential.Username `
-mccLocalAccountCredential $credential `
-algo RSA `
-keySizeOrCurve 2048 `
-csrName "mcc-hybrid-migration" `
-subjectCommonName "mcc-cache.contoso.com" `
-subjectCountry "US" `
-subjectState "CA" `
-subjectOrg "Contoso Inc" `
-sanDns "mcc-cache.contoso.com,cache.contoso.local" `
-sanIp "10.0.1.50,192.168.100.10"
Multisite avec nommage régional
Scénario : Organization volumineux avec plusieurs nœuds de cache connecté à l’aide d’une convention de nommage cohérente (format mcc-region-site). Cet exemple concerne un nœud de centre de données Seattle. Administration utilise un compte gMSA.
.\generateCsr.ps1 `
-mccRunTimeAccount "CORP\mcc-production-gmsa$" `
-algo RSA `
-keySizeOrCurve 4096 `
-csrName "mcc-seattle-dc1" `
-subjectCommonName "mcc-sea-dc1.corp.contoso.com" `
-subjectCountry "US" `
-subjectState "Washington" `
-subjectOrg "Contoso Corporation" `
-sanDns "mcc-sea-dc1.corp.contoso.com,mcc-seattle.contoso.com"
Environnement à charge équilibrée
Scénario : Configuration à haute disponibilité où plusieurs nœuds de cache connecté se trouvent derrière un équilibreur de charge. Les clients se connectent à l’adresse IP virtuelle de l’équilibreur de charge, mais le certificat doit prendre en charge l’accès direct aux nœuds pour la résolution des problèmes. Administration utilise un compte gMSA.
.\generateCsr.ps1 `
-mccRunTimeAccount "ENTERPRISE\mcc-ha-gmsa$" `
-algo RSA `
-keySizeOrCurve 4096 `
-csrName "mcc-node1-ha" `
-subjectCommonName "mcc.enterprise.com" `
-subjectCountry "US" `
-subjectState "NY" `
-subjectOrg "Enterprise Solutions Inc" `
-sanDns "mcc.enterprise.com,mcc-node1.enterprise.com,mcc-cluster.enterprise.local"
Environnement de développement/test
Scénario : Environnement de développement avec des exigences de nommage souples. Prend en charge les tests localhost et l’accès réseau lab. Administration utilise un compte d’utilisateur local.
.\generateCsr.ps1 `
-mccRunTimeAccount $credential.Username `
-mccLocalAccountCredential $credential `
-algo RSA `
-keySizeOrCurve 2048 `
-csrName "mcc-dev-lab" `
-subjectCommonName "localhost" `
-subjectCountry "US" `
-subjectState "Dev" `
-subjectOrg "IT Development" `
-sanDns "localhost,mcc-dev.lab.local,devserver.local" `
-sanIp "127.0.0.1,192.168.10.100,10.10.10.50"
Haute sécurité avec courbe elliptique
Scénario : organization de sécurité nécessitant un chiffrement ECC moderne pour améliorer les performances et la conformité aux normes de sécurité les plus récentes. Administration utilise un compte gMSA.
.\generateCsr.ps1 `
-mccRunTimeAccount "SECURE\mcc-prod-gmsa$" `
-algo EC `
-keySizeOrCurve secp384r1 `
-csrName "mcc-secure-prod" `
-subjectCommonName "mcc-secure.defense.gov" `
-subjectCountry "US" `
-subjectState "VA" `
-subjectOrg "Department of Defense" `
-sanDns "mcc-secure.defense.gov"
déploiement de machine virtuelle Azure/cloud hybride
Scénario : Nœud de cache connecté déployé sur Azure machine virtuelle avec une connectivité publique et privée. Les clients locaux se connectent via une adresse IP/un nom d’hôte privé, tandis que les clients cloud peuvent utiliser le nom DNS public Azure. Administration utilise un compte d’utilisateur local.
.\generateCsr.ps1 `
-mccRunTimeAccount $credential.Username `
-mccLocalAccountCredential $credential `
-algo RSA `
-keySizeOrCurve 2048 `
-csrName "mcc-azure-hybrid" `
-subjectCommonName "mcc-eastus.cloudapp.azure.com" `
-subjectCountry "US" `
-subjectState "WA" `
-subjectOrg "Contoso Corporation" `
-sanDns "mcc-eastus.cloudapp.azure.com,mcc-azure.contoso.local,mcc-vm01.contoso.com" `
-sanIp "10.0.1.10,172.16.0.50"
Signer la demande de signature de certificat
Convertir en type de fichier .crt
Si vous recevez
.cer:PowerShell :
Rename-Item -Path "xxxx.cer" "xxxx.crt"WSL :
openssl x509 -in xxxx.cer -out xxxx.crt
Si vous recevez
.der:PowerShell :
certutil -encode "xxxx.der" "xxxx.crt"WSL :
openssl x509 -inform DER -in xxxx.der -out xxxx.crt