Megosztás a következőn keresztül:


Az Azure Stack Hub nyilvános kulcsú infrastruktúrájának (PKI) tanúsítványkövetelményei

Az Azure Stack Hub egy nyilvános infrastruktúra-hálózattal rendelkezik, amely külsőleg elérhető nyilvános IP-címeket használ az Azure Stack Hub-szolgáltatások és esetleg bérlői virtuális gépek egy kis csoportjához rendelve. A nyilvános Azure Stack Hub-végpontokhoz megfelelő DNS-névvel rendelkező PKI-tanúsítványokra van szükség az Azure Stack Hub üzembe helyezése során. Ez a cikk a következő információkról nyújt tájékoztatást:

  • Az Azure Stack Hub tanúsítványkövetelményei.
  • Kötelező tanúsítványok szükségesek az Azure Stack Hub üzembe helyezéséhez.
  • Az értékfelelős erőforrás-szolgáltatók üzembe helyezésekor nem kötelező tanúsítványokra van szükség.

Megjegyzés

Az Azure Stack Hub alapértelmezés szerint egy belső Active Directory-integrált hitelesítésszolgáltatótól (CA) kiállított tanúsítványokat is használ a csomópontok közötti hitelesítéshez. A tanúsítvány érvényesítéséhez az összes Azure Stack Hub-infrastruktúra-gép megbízik a belső hitelesítésszolgáltató főtanúsítványában azáltal, hogy hozzáadja a tanúsítványt a helyi tanúsítványtárolóhoz. Az Azure Stack Hubban nincs tanúsítvány rögzítése vagy szűrése. Az egyes kiszolgálótanúsítványok SAN-jának ellenőrzése a cél teljes tartománynevével történik. A rendszer a teljes megbízhatósági láncot is ellenőrzi a tanúsítvány lejárati dátumával együtt (standard TLS-kiszolgálóhitelesítés tanúsítvány-rögzítés nélkül).

Tanúsítványkövetelmények

Az alábbi lista az általános tanúsítványkiadási, biztonsági és formázási követelményeket ismerteti:

  • A tanúsítványokat egy belső hitelesítésszolgáltatótól vagy egy nyilvános hitelesítésszolgáltatótól kell kiállítani. Nyilvános hitelesítésszolgáltató használata esetén a Microsoft Megbízható legfelső szintű hitelesítésszolgáltató program részeként szerepelnie kell az operációs rendszer alaprendszerképében. A teljes listát a Résztvevők listája – Microsoft megbízható gyökérprogram című témakörben találja.
  • Az Azure Stack Hub-infrastruktúrának hálózati hozzáféréssel kell rendelkeznie a tanúsítványszolgáltató tanúsítvány-visszavonási listájához (CRL) a tanúsítványban közzétett helyéhez. A CRL-nek egy HTTP-végponton kell lennie. Megjegyzés: a leválasztott üzemelő példányok esetében a nyilvános hitelesítésszolgáltató (CA) által kibocsátott tanúsítványok nem támogatottak, ha a CRL-végpont nem érhető el. További részletekért lásd: A leválasztott üzemelő példányokban sérült vagy nem elérhető szolgáltatások.
  • Az 1903 előtti buildekben lévő tanúsítványok rotálásakor a tanúsítványokat ugyanabból a belső hitelesítésszolgáltatóból kell kiállítani, amely az üzembe helyezéskor megadott tanúsítványok aláírására szolgál, vagy bármely, fentről származó nyilvános hitelesítésszolgáltatótól.
  • Az 1903-os és újabb buildek tanúsítványainak rotálásakor a tanúsítványokat bármely vállalat vagy állami hitelesítésszolgáltató kiadhatja.
  • Az önaláírt tanúsítványok használata nem támogatott.
  • Üzembe helyezéshez és forgatáshoz használhat egyetlen tanúsítványt, amely a tanúsítvány Tulajdonos neve és a Tulajdonos alternatív neve (SAN) összes névterét lefedi. Másik lehetőségként használhatja az egyes tanúsítványokat az alábbi névterekhez, amelyeket a használni kívánt Azure Stack Hub-szolgáltatások igényelnek. Mindkét megközelítéshez helyettesítő kártyákat kell használni az olyan végpontokhoz, ahol szükség van rájuk, például a KeyVault és a KeyVaultInternal.
  • A tanúsítvány-aláírási algoritmus nem lehet SHA1.
  • A tanúsítvány formátumának PFX-nek kell lennie, mivel az Azure Stack Hub telepítéséhez mind a nyilvános, mind a privát kulcsra szükség van. A titkos kulcsnak rendelkeznie kell a helyi gépkulcs attribútumával.
  • A PFX-titkosításnak 3DES-nek kell lennie (ez a titkosítás alapértelmezett Windows 10 ügyfélből vagy Windows Server 2016 tanúsítványtárolóból való exportáláskor).
  • A tanúsítvány pfx-fájljainak a "Key Usage" (Kulcshasználat) mezőben "Digitális aláírás" és "KeyEncipherment" értékkel kell rendelkezniük.
  • A tanúsítvány pfx-fájljainak "Kiszolgálóhitelesítés (1.3.6.1.5.5.7.3.1)" és "Ügyfélhitelesítés (1.3.6.1.5.5.7.3.2)" értékekkel kell rendelkezniük a "Bővített kulcshasználat" mezőben.
  • A tanúsítvány "Kiállítva:" mezőjének nem lehet ugyanaz, mint a "Kiállítva:" mezője.
  • Az összes tanúsítvány pfx-fájljának jelszavainak azonosnak kell lenniük az üzembe helyezéskor.
  • A pfx tanúsítvány jelszavának összetett jelszónak kell lennie. Jegyezze fel ezt a jelszót, mert üzembehelyezési paraméterként fogja használni. A jelszónak meg kell felelnie a következő jelszó-összetettségi követelményeknek:
    • Legalább nyolc karakter hosszúságú.
    • A következő karakterek közül legalább három: nagybetű, kisbetű, 0 és 9 közötti számok, speciális karakterek, betűrendes karakterek, amelyek nem nagybetűk vagy kisbetűk.
  • Győződjön meg arról, hogy a tulajdonos és a tulajdonos alternatív neve a tulajdonos alternatív névkiterjesztésében (x509v3_config) megegyezik. A tulajdonos alternatív neve mező lehetővé teszi további gazdagépnevek (webhelyek, IP-címek, köznapi nevek) megadását egyetlen SSL-tanúsítvánnyal.

Megjegyzés

Az önaláírt tanúsítványok nem támogatottak.
Az Azure Stack Hub leválasztott módban történő üzembe helyezésekor ajánlott egy vállalati hitelesítésszolgáltató által kiadott tanúsítványokat használni. Ez azért fontos, mert az Azure Stack Hub-végpontokat elérő ügyfeleknek kapcsolatba kell lépnie a visszavont tanúsítványok listájával (CRL).

Megjegyzés

A közvetítő hitelesítésszolgáltatók jelenléte a tanúsítvány megbízhatósági láncában támogatott.

Kötelező tanúsítványok

Az ebben a szakaszban található táblázat ismerteti az Azure Stack Hub nyilvános végpont pKI-tanúsítványait, amelyek Microsoft Entra azonosítóhoz és az AD FS Azure Stack Hub üzemelő példányaihoz szükségesek. A tanúsítványkövetelmények terület szerint vannak csoportosítva, a használt névterek és az egyes névterekhez szükséges tanúsítványok. A táblázat azt a mappát is ismerteti, amelyben a megoldásszolgáltató nyilvános végpontonként másolja a különböző tanúsítványokat.

Minden Azure Stack Hub nyilvános infrastruktúra-végponthoz megfelelő DNS-névvel rendelkező tanúsítványokra van szükség. Minden végpont DNS-neve a következő formátumban van kifejezve: <előtag>.<régióban>.<fqdn>.

Az üzembe helyezéshez a régió> és<<az fqdn> értékeknek meg kell egyeznie az Azure Stack Hub-rendszerhez kiválasztott régió- és külső tartománynevekkel. Ha például a régió Redmond, és a külső tartománynév contoso.com, a DNS-nevek formátuma< előtag.redmond.contoso.com> lesz. Az <előtagértékeket> a Microsoft előre megtervezi a tanúsítvány által védett végpont leírásához. Emellett a <külső infrastruktúra-végpontok előtagértékei> az adott végpontot használó Azure Stack Hub szolgáltatástól függenek.

Az éles környezetek esetében javasoljuk, hogy minden végponthoz külön tanúsítványokat hozzon létre, és másolja a megfelelő könyvtárba. Fejlesztési környezetek esetén a tanúsítványok egyetlen helyettesítő tanúsítványként adhatók meg, amely az összes címtárba másolt Tulajdonos és Tulajdonos alternatív neve (SAN) mező összes névterét lefedi. Egyetlen tanúsítvány, amely az összes végpontot és szolgáltatást lefedi, nem biztonságos állapot, ezért csak fejlesztésre használható. Ne feledje, hogy mindkét beállításhoz helyettesítő tanúsítványokat kell használnia az olyan végpontokhoz, mint az acs és Key Vault, ahol szükség van rájuk.

Megjegyzés

Az üzembe helyezés során a tanúsítványokat a központi telepítési mappába kell másolnia, amely megfelel a központilag telepített identitásszolgáltatónak (Microsoft Entra azonosító vagy AD FS). Ha az összes végponthoz egyetlen tanúsítványt használ, a tanúsítványfájlt minden üzembehelyezési mappába át kell másolnia az alábbi táblázatokban leírtak szerint. A mappastruktúra előre be van építve az üzembehelyezési virtuális gépbe , és a következő helyen található: C:\CloudDeployment\Setup\Certificates.

Üzembe helyezési mappa A tanúsítvány tulajdonosának és tulajdonosának alternatív nevei (SAN) Hatókör (régiónként) Altartomány-névtér
Nyilvános portál Portál.<régióban>.<Fqdn> Portálok <régióban>.<Fqdn>
Felügyeleti portál adminportal.<régióban>.<Fqdn> Portálok <régióban>.<Fqdn>
Nyilvános Azure Resource Manager Kezelése.<régióban>.<Fqdn> Azure Resource Manager <régióban>.<Fqdn>
Azure Resource Manager Rendszergazda adminmanagement.<régióban>.<Fqdn> Azure Resource Manager <régióban>.<Fqdn>
ACSBlob *.Blob.<régióban>.<Fqdn>
(Helyettesítő SSL-tanúsítvány)
Blob Storage Blob.<régióban>.<Fqdn>
ACSTable *.Táblázat.<régióban>.<Fqdn>
(Helyettesítő SSL-tanúsítvány)
Table Storage Táblázat.<régióban>.<Fqdn>
ACSQueue *.Várólista.<régióban>.<Fqdn>
(Helyettesítő SSL-tanúsítvány)
Queue Storage Várólista.<régióban>.<Fqdn>
KeyVault *.Vault.<régióban>.<Fqdn>
(Helyettesítő SSL-tanúsítvány)
Key Vault Vault.<régióban>.<Fqdn>
KeyVaultInternal *.adminvault.<régióban>.<Fqdn>
(Helyettesítő SSL-tanúsítvány)
Belső kulcsvault adminvault.<régióban>.<Fqdn>
Rendszergazda bővítménygazda *.adminhosting.<régióban>.<fqdn> (helyettesítő SSL-tanúsítványok) Rendszergazda bővítménygazda adminhosting.<régióban>.<Fqdn>
Nyilvános bővítménygazda *.Hosting.<régióban>.<fqdn> (helyettesítő SSL-tanúsítványok) Nyilvános bővítménygazda Hosting.<régióban>.<Fqdn>

Ha az Azure Stack Hubot az Microsoft Entra üzembe helyezési móddal telepíti, csak az előző táblázatban felsorolt tanúsítványokat kell kérnie. Ha azonban az Azure Stack Hubot az AD FS üzembehelyezési módjával helyezi üzembe, az alábbi táblázatban leírt tanúsítványokat is le kell kérnie:

Üzembe helyezési mappa A tanúsítvány tulajdonosának és tulajdonosának alternatív nevei (SAN) Hatókör (régiónként) Altartomány-névtér
ADFS Adfs. <régióban>.<Fqdn>
(SSL-tanúsítvány)
ADFS <régióban>.<Fqdn>
Graph Grafikon. <régióban>.<Fqdn>
(SSL-tanúsítvány)
Graph <régióban>.<Fqdn>

Fontos

Az ebben a szakaszban felsorolt összes tanúsítványnak ugyanazzal a jelszóval kell rendelkeznie.

Opcionális PaaS-tanúsítványok

Ha azure Stack Hub PaaS-szolgáltatásokat (például SQL, MySQL, App Service vagy Event Hubs) szeretne üzembe helyezni az Azure Stack Hub üzembe helyezése és konfigurálása után, további tanúsítványokat kell kérnie a PaaS-szolgáltatások végpontjainak lefedéséhez.

Fontos

Az erőforrás-szolgáltatókhoz használt tanúsítványoknak ugyanazzal a legfelső szintű szolgáltatóval kell rendelkezniük, mint a globális Azure Stack Hub-végpontokhoz.

Az alábbi táblázat az erőforrás-szolgáltatókhoz szükséges végpontokat és tanúsítványokat ismerteti. Ezeket a tanúsítványokat nem kell átmásolnia az Azure Stack Hub üzembehelyezési mappájába. Ehelyett ezeket a tanúsítványokat az erőforrás-szolgáltató telepítése során kell megadnia.

Hatókör (régiónként) Tanúsítvány Szükséges tanúsítványtulajdonos és tulajdonos alternatív nevei (SAN-k) Altartomány-névtér
App Service Webes forgalom alapértelmezett SSL-tanúsítványa *.appservice. <régióban>.<Fqdn>
*.scm.appservice. <régióban>.<Fqdn>
*.sso.appservice. <régióban>.<Fqdn>
(Multi Domain Wildcard SSL Certificate1)
appservice. <régióban>.<Fqdn>
scm.appservice. <régióban>.<Fqdn>
App Service API api.appservice. <régióban>.<Fqdn>
(SSL-tanúsítvány 2)
appservice. <régióban>.<Fqdn>
scm.appservice. <régióban>.<Fqdn>
App Service FTP ftp.appservice. <régióban>.<Fqdn>
(SSL-tanúsítvány 2)
appservice. <régióban>.<Fqdn>
scm.appservice. <régióban>.<Fqdn>
App Service SSO sso.appservice. <régióban>.<Fqdn>
(SSL-tanúsítvány 2)
appservice. <régióban>.<Fqdn>
scm.appservice. <régióban>.<Fqdn>
Event Hubs SSL *.eventhub. <régióban>.<Fqdn>
(Helyettesítő SSL-tanúsítvány)
eventhub. <régióban>.<Fqdn>
SQL, MySQL SQL és MySQL *.dbadapter. <régióban>.<Fqdn>
(Helyettesítő SSL-tanúsítvány)
dbadapter. <régióban>.<Fqdn>

1 Több helyettesítő helyettesítő karaktert tartalmazó tanúsítványt igényel. Előfordulhat, hogy egyetlen tanúsítványon több helyettesítő SAN-t nem támogat az összes nyilvános hitelesítésszolgáltató.

2 A *.appservice. <régióban>.<Az fqdn> helyettesítő tanúsítvány nem használható a három tanúsítvány helyett (api.appservice).<régióban>.<fqdn>, ftp.appservice. <régióban>.<fqdn> és sso.appservice. <régióban>.<fqdn>. Az Appservice kifejezetten külön tanúsítványokat igényel ezekhez a végpontokhoz.

Következő lépések

Megtudhatja, hogyan hozhat létre PKI-tanúsítványokat az Azure Stack Hub üzembe helyezéséhez.