Az Azure Stack Hub nyilvános kulcsú infrastruktúrájának (PKI) tanúsítványkövetelményei
Az Azure Stack Hub egy nyilvános infrastruktúra-hálózattal rendelkezik, amely külsőleg elérhető nyilvános IP-címeket használ az Azure Stack Hub-szolgáltatások és esetleg bérlői virtuális gépek egy kis csoportjához rendelve. A nyilvános Azure Stack Hub-végpontokhoz megfelelő DNS-névvel rendelkező PKI-tanúsítványokra van szükség az Azure Stack Hub üzembe helyezése során. Ez a cikk a következő információkról nyújt tájékoztatást:
- Az Azure Stack Hub tanúsítványkövetelményei.
- Kötelező tanúsítványok szükségesek az Azure Stack Hub üzembe helyezéséhez.
- Az értékfelelős erőforrás-szolgáltatók üzembe helyezésekor nem kötelező tanúsítványokra van szükség.
Megjegyzés
Az Azure Stack Hub alapértelmezés szerint egy belső Active Directory-integrált hitelesítésszolgáltatótól (CA) kiállított tanúsítványokat is használ a csomópontok közötti hitelesítéshez. A tanúsítvány érvényesítéséhez az összes Azure Stack Hub-infrastruktúra-gép megbízik a belső hitelesítésszolgáltató főtanúsítványában azáltal, hogy hozzáadja a tanúsítványt a helyi tanúsítványtárolóhoz. Az Azure Stack Hubban nincs tanúsítvány rögzítése vagy szűrése. Az egyes kiszolgálótanúsítványok SAN-jának ellenőrzése a cél teljes tartománynevével történik. A rendszer a teljes megbízhatósági láncot is ellenőrzi a tanúsítvány lejárati dátumával együtt (standard TLS-kiszolgálóhitelesítés tanúsítvány-rögzítés nélkül).
Tanúsítványkövetelmények
Az alábbi lista az általános tanúsítványkiadási, biztonsági és formázási követelményeket ismerteti:
- A tanúsítványokat egy belső hitelesítésszolgáltatótól vagy egy nyilvános hitelesítésszolgáltatótól kell kiállítani. Nyilvános hitelesítésszolgáltató használata esetén a Microsoft Megbízható legfelső szintű hitelesítésszolgáltató program részeként szerepelnie kell az operációs rendszer alaprendszerképében. A teljes listát a Résztvevők listája – Microsoft megbízható gyökérprogram című témakörben találja.
- Az Azure Stack Hub-infrastruktúrának hálózati hozzáféréssel kell rendelkeznie a tanúsítványszolgáltató tanúsítvány-visszavonási listájához (CRL) a tanúsítványban közzétett helyéhez. A CRL-nek egy HTTP-végponton kell lennie. Megjegyzés: a leválasztott üzemelő példányok esetében a nyilvános hitelesítésszolgáltató (CA) által kibocsátott tanúsítványok nem támogatottak, ha a CRL-végpont nem érhető el. További részletekért lásd: A leválasztott üzemelő példányokban sérült vagy nem elérhető szolgáltatások.
- Az 1903 előtti buildekben lévő tanúsítványok rotálásakor a tanúsítványokat ugyanabból a belső hitelesítésszolgáltatóból kell kiállítani, amely az üzembe helyezéskor megadott tanúsítványok aláírására szolgál, vagy bármely, fentről származó nyilvános hitelesítésszolgáltatótól.
- Az 1903-os és újabb buildek tanúsítványainak rotálásakor a tanúsítványokat bármely vállalat vagy állami hitelesítésszolgáltató kiadhatja.
- Az önaláírt tanúsítványok használata nem támogatott.
- Üzembe helyezéshez és forgatáshoz használhat egyetlen tanúsítványt, amely a tanúsítvány Tulajdonos neve és a Tulajdonos alternatív neve (SAN) összes névterét lefedi. Másik lehetőségként használhatja az egyes tanúsítványokat az alábbi névterekhez, amelyeket a használni kívánt Azure Stack Hub-szolgáltatások igényelnek. Mindkét megközelítéshez helyettesítő kártyákat kell használni az olyan végpontokhoz, ahol szükség van rájuk, például a KeyVault és a KeyVaultInternal.
- A tanúsítvány-aláírási algoritmus nem lehet SHA1.
- A tanúsítvány formátumának PFX-nek kell lennie, mivel az Azure Stack Hub telepítéséhez mind a nyilvános, mind a privát kulcsra szükség van. A titkos kulcsnak rendelkeznie kell a helyi gépkulcs attribútumával.
- A PFX-titkosításnak 3DES-nek kell lennie (ez a titkosítás alapértelmezett Windows 10 ügyfélből vagy Windows Server 2016 tanúsítványtárolóból való exportáláskor).
- A tanúsítvány pfx-fájljainak a "Key Usage" (Kulcshasználat) mezőben "Digitális aláírás" és "KeyEncipherment" értékkel kell rendelkezniük.
- A tanúsítvány pfx-fájljainak "Kiszolgálóhitelesítés (1.3.6.1.5.5.7.3.1)" és "Ügyfélhitelesítés (1.3.6.1.5.5.7.3.2)" értékekkel kell rendelkezniük a "Bővített kulcshasználat" mezőben.
- A tanúsítvány "Kiállítva:" mezőjének nem lehet ugyanaz, mint a "Kiállítva:" mezője.
- Az összes tanúsítvány pfx-fájljának jelszavainak azonosnak kell lenniük az üzembe helyezéskor.
- A pfx tanúsítvány jelszavának összetett jelszónak kell lennie. Jegyezze fel ezt a jelszót, mert üzembehelyezési paraméterként fogja használni. A jelszónak meg kell felelnie a következő jelszó-összetettségi követelményeknek:
- Legalább nyolc karakter hosszúságú.
- A következő karakterek közül legalább három: nagybetű, kisbetű, 0 és 9 közötti számok, speciális karakterek, betűrendes karakterek, amelyek nem nagybetűk vagy kisbetűk.
- Győződjön meg arról, hogy a tulajdonos és a tulajdonos alternatív neve a tulajdonos alternatív névkiterjesztésében (x509v3_config) megegyezik. A tulajdonos alternatív neve mező lehetővé teszi további gazdagépnevek (webhelyek, IP-címek, köznapi nevek) megadását egyetlen SSL-tanúsítvánnyal.
Megjegyzés
Az önaláírt tanúsítványok nem támogatottak.
Az Azure Stack Hub leválasztott módban történő üzembe helyezésekor ajánlott egy vállalati hitelesítésszolgáltató által kiadott tanúsítványokat használni. Ez azért fontos, mert az Azure Stack Hub-végpontokat elérő ügyfeleknek kapcsolatba kell lépnie a visszavont tanúsítványok listájával (CRL).
Megjegyzés
A közvetítő hitelesítésszolgáltatók jelenléte a tanúsítvány megbízhatósági láncában támogatott.
Kötelező tanúsítványok
Az ebben a szakaszban található táblázat ismerteti az Azure Stack Hub nyilvános végpont pKI-tanúsítványait, amelyek Microsoft Entra azonosítóhoz és az AD FS Azure Stack Hub üzemelő példányaihoz szükségesek. A tanúsítványkövetelmények terület szerint vannak csoportosítva, a használt névterek és az egyes névterekhez szükséges tanúsítványok. A táblázat azt a mappát is ismerteti, amelyben a megoldásszolgáltató nyilvános végpontonként másolja a különböző tanúsítványokat.
Minden Azure Stack Hub nyilvános infrastruktúra-végponthoz megfelelő DNS-névvel rendelkező tanúsítványokra van szükség. Minden végpont DNS-neve a következő formátumban van kifejezve: <előtag>.<régióban>.<fqdn>.
Az üzembe helyezéshez a régió> és<<az fqdn> értékeknek meg kell egyeznie az Azure Stack Hub-rendszerhez kiválasztott régió- és külső tartománynevekkel. Ha például a régió Redmond, és a külső tartománynév contoso.com, a DNS-nevek formátuma< előtag.redmond.contoso.com> lesz. Az <előtagértékeket> a Microsoft előre megtervezi a tanúsítvány által védett végpont leírásához. Emellett a <külső infrastruktúra-végpontok előtagértékei> az adott végpontot használó Azure Stack Hub szolgáltatástól függenek.
Az éles környezetek esetében javasoljuk, hogy minden végponthoz külön tanúsítványokat hozzon létre, és másolja a megfelelő könyvtárba. Fejlesztési környezetek esetén a tanúsítványok egyetlen helyettesítő tanúsítványként adhatók meg, amely az összes címtárba másolt Tulajdonos és Tulajdonos alternatív neve (SAN) mező összes névterét lefedi. Egyetlen tanúsítvány, amely az összes végpontot és szolgáltatást lefedi, nem biztonságos állapot, ezért csak fejlesztésre használható. Ne feledje, hogy mindkét beállításhoz helyettesítő tanúsítványokat kell használnia az olyan végpontokhoz, mint az acs és Key Vault, ahol szükség van rájuk.
Megjegyzés
Az üzembe helyezés során a tanúsítványokat a központi telepítési mappába kell másolnia, amely megfelel a központilag telepített identitásszolgáltatónak (Microsoft Entra azonosító vagy AD FS). Ha az összes végponthoz egyetlen tanúsítványt használ, a tanúsítványfájlt minden üzembehelyezési mappába át kell másolnia az alábbi táblázatokban leírtak szerint. A mappastruktúra előre be van építve az üzembehelyezési virtuális gépbe , és a következő helyen található: C:\CloudDeployment\Setup\Certificates.
| Üzembe helyezési mappa | A tanúsítvány tulajdonosának és tulajdonosának alternatív nevei (SAN) | Hatókör (régiónként) | Altartomány-névtér |
|---|---|---|---|
| Nyilvános portál | Portál.<régióban>.<Fqdn> | Portálok | <régióban>.<Fqdn> |
| Felügyeleti portál | adminportal.<régióban>.<Fqdn> | Portálok | <régióban>.<Fqdn> |
| Nyilvános Azure Resource Manager | Kezelése.<régióban>.<Fqdn> | Azure Resource Manager | <régióban>.<Fqdn> |
| Azure Resource Manager Rendszergazda | adminmanagement.<régióban>.<Fqdn> | Azure Resource Manager | <régióban>.<Fqdn> |
| ACSBlob | *.Blob.<régióban>.<Fqdn> (Helyettesítő SSL-tanúsítvány) |
Blob Storage | Blob.<régióban>.<Fqdn> |
| ACSTable | *.Táblázat.<régióban>.<Fqdn> (Helyettesítő SSL-tanúsítvány) |
Table Storage | Táblázat.<régióban>.<Fqdn> |
| ACSQueue | *.Várólista.<régióban>.<Fqdn> (Helyettesítő SSL-tanúsítvány) |
Queue Storage | Várólista.<régióban>.<Fqdn> |
| KeyVault | *.Vault.<régióban>.<Fqdn> (Helyettesítő SSL-tanúsítvány) |
Key Vault | Vault.<régióban>.<Fqdn> |
| KeyVaultInternal | *.adminvault.<régióban>.<Fqdn> (Helyettesítő SSL-tanúsítvány) |
Belső kulcsvault | adminvault.<régióban>.<Fqdn> |
| Rendszergazda bővítménygazda | *.adminhosting.<régióban>.<fqdn> (helyettesítő SSL-tanúsítványok) | Rendszergazda bővítménygazda | adminhosting.<régióban>.<Fqdn> |
| Nyilvános bővítménygazda | *.Hosting.<régióban>.<fqdn> (helyettesítő SSL-tanúsítványok) | Nyilvános bővítménygazda | Hosting.<régióban>.<Fqdn> |
Ha az Azure Stack Hubot az Microsoft Entra üzembe helyezési móddal telepíti, csak az előző táblázatban felsorolt tanúsítványokat kell kérnie. Ha azonban az Azure Stack Hubot az AD FS üzembehelyezési módjával helyezi üzembe, az alábbi táblázatban leírt tanúsítványokat is le kell kérnie:
| Üzembe helyezési mappa | A tanúsítvány tulajdonosának és tulajdonosának alternatív nevei (SAN) | Hatókör (régiónként) | Altartomány-névtér |
|---|---|---|---|
| ADFS | Adfs. <régióban>.<Fqdn> (SSL-tanúsítvány) |
ADFS | <régióban>.<Fqdn> |
| Graph | Grafikon. <régióban>.<Fqdn> (SSL-tanúsítvány) |
Graph | <régióban>.<Fqdn> |
Fontos
Az ebben a szakaszban felsorolt összes tanúsítványnak ugyanazzal a jelszóval kell rendelkeznie.
Opcionális PaaS-tanúsítványok
Ha azure Stack Hub PaaS-szolgáltatásokat (például SQL, MySQL, App Service vagy Event Hubs) szeretne üzembe helyezni az Azure Stack Hub üzembe helyezése és konfigurálása után, további tanúsítványokat kell kérnie a PaaS-szolgáltatások végpontjainak lefedéséhez.
Fontos
Az erőforrás-szolgáltatókhoz használt tanúsítványoknak ugyanazzal a legfelső szintű szolgáltatóval kell rendelkezniük, mint a globális Azure Stack Hub-végpontokhoz.
Az alábbi táblázat az erőforrás-szolgáltatókhoz szükséges végpontokat és tanúsítványokat ismerteti. Ezeket a tanúsítványokat nem kell átmásolnia az Azure Stack Hub üzembehelyezési mappájába. Ehelyett ezeket a tanúsítványokat az erőforrás-szolgáltató telepítése során kell megadnia.
| Hatókör (régiónként) | Tanúsítvány | Szükséges tanúsítványtulajdonos és tulajdonos alternatív nevei (SAN-k) | Altartomány-névtér |
|---|---|---|---|
| App Service | Webes forgalom alapértelmezett SSL-tanúsítványa | *.appservice. <régióban>.<Fqdn> *.scm.appservice. <régióban>.<Fqdn> *.sso.appservice. <régióban>.<Fqdn> (Multi Domain Wildcard SSL Certificate1) |
appservice. <régióban>.<Fqdn> scm.appservice. <régióban>.<Fqdn> |
| App Service | API | api.appservice. <régióban>.<Fqdn> (SSL-tanúsítvány 2) |
appservice. <régióban>.<Fqdn> scm.appservice. <régióban>.<Fqdn> |
| App Service | FTP | ftp.appservice. <régióban>.<Fqdn> (SSL-tanúsítvány 2) |
appservice. <régióban>.<Fqdn> scm.appservice. <régióban>.<Fqdn> |
| App Service | SSO | sso.appservice. <régióban>.<Fqdn> (SSL-tanúsítvány 2) |
appservice. <régióban>.<Fqdn> scm.appservice. <régióban>.<Fqdn> |
| Event Hubs | SSL | *.eventhub. <régióban>.<Fqdn> (Helyettesítő SSL-tanúsítvány) |
eventhub. <régióban>.<Fqdn> |
| SQL, MySQL | SQL és MySQL | *.dbadapter. <régióban>.<Fqdn> (Helyettesítő SSL-tanúsítvány) |
dbadapter. <régióban>.<Fqdn> |
1 Több helyettesítő helyettesítő karaktert tartalmazó tanúsítványt igényel. Előfordulhat, hogy egyetlen tanúsítványon több helyettesítő SAN-t nem támogat az összes nyilvános hitelesítésszolgáltató.
2 A *.appservice. <régióban>.<Az fqdn> helyettesítő tanúsítvány nem használható a három tanúsítvány helyett (api.appservice).<régióban>.<fqdn>, ftp.appservice. <régióban>.<fqdn> és sso.appservice. <régióban>.<fqdn>. Az Appservice kifejezetten külön tanúsítványokat igényel ezekhez a végpontokhoz.
Következő lépések
Megtudhatja, hogyan hozhat létre PKI-tanúsítványokat az Azure Stack Hub üzembe helyezéséhez.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: