Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az Azure Stack Hub nyilvános infrastruktúra-hálózattal rendelkezik, amely külsőleg elérhető nyilvános IP-címeket használ az Azure Stack Hub-szolgáltatások és esetleg bérlői virtuális gépek egy kis csoportjához rendelve. Az Azure Stack Hub üzembe helyezése során olyan PKI-tanúsítványokra van szükség, amelyek rendelkeznek a megfelelő DNS-névvel ezekhez az Azure Stack Hub nyilvános infrastruktúra-végpontokhoz. Ez a cikk az alábbiakról nyújt tájékoztatást:
- Az Azure Stack Hub tanúsítványkövetelményei.
- Az Azure Stack Hub üzembe helyezéséhez szükséges kötelező tanúsítványok.
- Az értékfelelős erőforrás-szolgáltatók üzembe helyezésekor szükséges opcionális tanúsítványok.
Jegyzet
Az Azure Stack Hub alapértelmezés szerint egy belső Active Directory-integrált hitelesítésszolgáltatótól (CA) származó tanúsítványokat is használ a csomópontok közötti hitelesítéshez. A tanúsítvány érvényesítéséhez az összes Azure Stack Hub-infrastruktúra-gép megbízik a belső hitelesítésszolgáltató főtanúsítványában azáltal, hogy hozzáadja a tanúsítványt a helyi tanúsítványtárolóhoz. Az Azure Stack Hubban nincs tanúsítvány rögzítése vagy szűrése. Az egyes kiszolgálótanúsítványok SAN-jának ellenőrzése a cél teljes tartománynevével történik. A rendszer a teljes megbízhatósági láncot is ellenőrzi a tanúsítvány lejárati dátumával együtt (standard TLS-kiszolgálói hitelesítés tanúsítványrögzítés nélkül).
Tanúsítványkövetelmények
Az alábbi lista az általános tanúsítványkiadási, biztonsági és formázási követelményeket ismerteti:
- A tanúsítványokat belső vagy nyilvános hitelesítésszolgáltatótól kell kiállítani. Nyilvános hitelesítésszolgáltató használata esetén a Microsoft Megbízható legfelső szintű hitelesítésszolgáltató programjának részeként szerepelnie kell az operációs rendszer alaprendszerképében. A teljes listát Résztvevők listája – Microsoft Megbízható gyökérprogramcímű témakörben találja.
- Az Azure Stack Hub-infrastruktúrának hálózati hozzáféréssel kell rendelkeznie a tanúsítványban közzétett tanúsítvány-visszavonási lista (CRL) helyéhez. Ennek a CRL-nek http-végpontnak kell lennie. Megjegyzés: a leválasztott üzemelő példányok a nyilvános hitelesítésszolgáltató (CA) által kibocsátott tanúsítványok nem támogatottak, ha a CRL-végpont nem érhető el. További részletekért tekintse meg a leválasztott üzemelő példányokban korlátozott vagy nem elérhető funkciók.
- Az 1903 előtti buildekben lévő tanúsítványok forgatásakor a tanúsítványokat vagy ugyanabból a belső hitelesítésszolgáltatóból kell kibocsátani, amely az üzembe helyezéskor használt tanúsítványok aláírását végzi, vagy bármely korábban említett nyilvános hitelesítésszolgáltatótól kell beszerezni.
- Az 1903-as és újabb buildek tanúsítványainak frissítésekor a tanúsítványokat bármely vállalati vagy nyilvános hitelesítésszolgáltató kibocsáthatja.
- Az önaláírt tanúsítványok használata nem támogatott.
- Az üzembe helyezéshez és a megújításhoz használhat egyetlen tanúsítványt, amely a tanúsítvány Subject Name és Subject Alternative Name (SAN) összes névterét lefedi. Másik lehetőségként használhatja az egyes tanúsítványokat az alábbi névterekhez, amelyeket a használni kívánt Azure Stack Hub-szolgáltatások igényelnek. Mindkét megközelítéshez helyettesítő kártyákat kell használni a szükséges végpontokhoz, például KeyVault és KeyVaultInternal.
- A tanúsítvány-aláírási algoritmus nem lehet SHA1.
- A tanúsítvány formátumának PFX-nek kell lennie, mivel az Azure Stack Hub telepítéséhez mind a nyilvános, mind a titkos kulcs szükséges. A titkos kulcsnak rendelkeznie kell a helyi gépkulcs attribútumával.
- A PFX-titkosításnak 3DES-nek kell lennie (ez az alapértelmezett titkosítás Windows 10-ügyfélből vagy Windows Server 2016-tanúsítványtárolóból való exportáláskor).
- A tanúsítvány pfx fájljainak a "Kulcshasználat" mezőben "Digital Signature" és "KeyEncipherment" értékkel kell rendelkezniük.
- A tanúsítvány pfx-fájljainak "Kiszolgálóhitelesítés (1.3.6.1.5.5.7.3.1)" és "Ügyfélhitelesítés (1.3.6.1.5.5.7.3.2)" értékekkel kell rendelkezniük a "Bővített kulcshasználat" mezőben.
- A tanúsítvány "Kiállítva:" mezőjének nem lehet ugyanaz, mint a "Kiállító:" mezője.
- Az összes tanúsítvány pfx-fájljának jelszavainak az üzembe helyezéskor azonosnak kell lenniük.
- A tanúsítvány pfx jelszavának összetett jelszónak kell lennie. Jegyezze fel ezt a jelszót, mert üzembehelyezési paraméterként fogja használni. A jelszónak meg kell felelnie a következő jelszó-összetettségi követelményeknek:
- Legalább nyolc karakter hosszúságú.
- A következő karakterek közül legalább három: nagybetű, kisbetű, 0-9 közötti számok, speciális karakterek, betűrendes karakterek, amelyek nem nagybetűk vagy kisbetűk.
- Győződjön meg arról, hogy a tárgy nevek és a tárgy alternatív nevek megegyeznek a tárgy alternatív név kiterjesztésben (x509v3_config). A tulajdonos alternatív névmezője lehetővé teszi további gazdagépnevek (webhelyek, IP-címek, köznapi nevek) megadását, amelyeket egyetlen SSL-tanúsítvány véd.
Jegyzet
Az önaláírt tanúsítványok nem támogatottak.
Az Azure Stack Hub leválasztott módban történő üzembe helyezésekor ajánlott vállalati hitelesítésszolgáltató által kiadott tanúsítványokat használni. Ez azért fontos, mert az Azure Stack Hub-végpontokat elérő ügyfeleknek csatlakozniuk kell a visszavont tanúsítványok listájához (CRL).
Jegyzet
A közvetítő hitelesítésszolgáltatók jelenléte a tanúsítvány megbízhatósági láncában támogatott.
Kötelező tanúsítványok
Az ebben a szakaszban található táblázat a Microsoft Entra ID és az AD FS Azure Stack Hub üzemelő példányaihoz szükséges nyilvános Azure Stack Hub-PKI-tanúsítványokat ismerteti. A tanúsítványkövetelmények terület szerint vannak csoportosítva, a használt névterek és az egyes névterekhez szükséges tanúsítványok. A táblázat azt a mappát is ismerteti, amelyben a megoldásszolgáltató nyilvános végpontonként másolja a különböző tanúsítványokat.
Az Azure Stack Hub nyilvános infrastruktúra-végpontjaihoz megfelelő DNS-névvel rendelkező tanúsítványokra van szükség. Minden végpont DNS-neve a következő formátumban van kifejezve: <előtag>.<régió>.<fqdn>.
Az üzembe helyezéshez a <régió> és <fqdn> értékeinek meg kell egyeznie az Azure Stack Hub-rendszerhez választott régió- és külső tartománynevekkel. Ha például a régió Redmond, és a külső tartománynév contoso.com, akkor a DNS-nevek formátuma <előtag>.redmond.contoso.com. A <> előtag értékeit a Microsoft előre meghatározta a tanúsítvány által védett végpont leírására. Ezenkívül a külső infrastruktúra-végpontok<>előtagja az adott végpontot használó Azure Stack Hub szolgáltatástól függ.
Az éles környezetekhez javasoljuk, hogy minden végponthoz külön tanúsítványokat hozzunk létre, és másoljuk a megfelelő könyvtárba. Fejlesztési környezetek esetén a tanúsítványok egyetlen helyettesítő tanúsítványként adhatók meg, amely az összes könyvtárba másolt Tulajdonos és tulajdonos alternatív neve (SAN) mezők összes névterét lefedi. Az összes végpontot és szolgáltatást lefedő egyetlen tanúsítvány nem biztonságos állapot, ezért csak fejlesztésre van lehetőség. Ne feledje, hogy mindkét beállításhoz helyettesítő tanúsítványokat kell használnia olyan végpontokhoz, mint acs és a Key Vault, ahol szükség van rájuk.
Jegyzet
Az üzembe helyezés során a tanúsítványokat a központi telepítési mappába kell másolnia, amely megfelel a telepített identitásszolgáltatónak (Microsoft Entra ID vagy AD FS). Ha az összes végponthoz egyetlen tanúsítványt használ, a tanúsítványfájlt minden üzembe helyezési mappába át kell másolnia az alábbi táblázatokban leírtak szerint. A mappastruktúra előzetesen létrehozva van a kiépítési virtuális gépben, és a következő helyen található: C:\CloudDeployment\Setup\Certificates.
| Üzembe helyezési mappa | Kötelező tanúsítványtulajdonosi és tulajdonosi alternatív nevek (SAN) | Hatókör (régiónként) | Altartomány-névtér |
|---|---|---|---|
| Nyilvános portál | portál.<régió>.<FQDN> | Portálok | <régió>.<fqdn> |
| Felügyeleti portál | adminportal.<régió>.<fqdn> | Portálok | <régió>.<fqdn> |
| Nyilvános Azure Resource Manager | menedzsment.<régió>.<fqdn> | Azure Resource Manager | <régió>.<fqdn> |
| Azure Resource Manager-rendszergazda | Adminisztráció kezelése.<régió>.<fqdn> | Azure Resource Manager | <régió>.<fqdn> |
| ACSBlob | *.blob.<régió>.<fqdn> (Helyettesítő SSL-tanúsítvány) |
Blob-tárhely | Blob.<régió>.<fqdn> |
| ACSTable | *.table.<régió>.<fqdn> (Helyettesítő SSL-tanúsítvány) |
Táblatárolás | táblázat.<régió>.<fqdn> |
| ACSQueue | *.sor.<régió>.<fqdn> (Helyettesítő SSL-tanúsítvány) |
Sor tároló | sor.<régió>.<fqdn> |
| KeyVault | *.vault.<régió>.<fqdn> (Helyettesítő SSL-tanúsítvány) |
Key Vault (kulcs tároló) | boltozat.<régió>.<fqdn> |
| KeyVaultInternal | *.adminvault.<régió>.<fqdn> (Helyettesítő SSL-tanúsítvány) |
Belső Kulcsvault | adminvault.<régió>.<fqdn> |
| Rendszergazdai bővítmény gazdagépe | *.adminhosting.<régió>.<fqdn> (Wildcard SSL-tanúsítványok) | Rendszergazdai bővítmény gazdagépe | adminhosting.<régió>.<fqdn> |
| Nyilvános bővítmény gazda | *.hosztolás.<régió>.<fqdn> (Wildcard SSL-tanúsítványok) | Nyilvános bővítmény gazda | vendégszeretet.<régió>.<fqdn> |
Ha az Azure Stack Hubot a Microsoft Entra üzembe helyezési módjával telepíti, csak az előző táblázatban felsorolt tanúsítványokat kell kérnie. Ha azonban az Azure Stack Hubot az AD FS üzembe helyezési módjával helyezi üzembe, az alábbi táblázatban leírt tanúsítványokat is le kell kérnie:
| Üzembe helyezési mappa | Kötelező tanúsítványtulajdonosi és tulajdonosi alternatív nevek (SAN) | Hatókör (régiónként) | Altartomány-névtér |
|---|---|---|---|
| ADFS (Active Directory Szolgáltatások Szövetsége) | adfs.<régió>.<fqdn> (SSL-tanúsítvány) |
ADFS (Active Directory Szolgáltatások Szövetsége) | <régió>.<fqdn> |
| Gráf | gráf.<régió>.<fqdn> (SSL-tanúsítvány) |
Gráf | <régió>.<fqdn> |
Fontos
Az ebben a szakaszban felsorolt összes tanúsítványnak ugyanazzal a jelszóval kell rendelkeznie.
Választható PaaS-tanúsítványok
Ha az Azure Stack Hub üzembe helyezése és konfigurálása után azure Stack Hub PaaS-szolgáltatásokat (például SQL, MySQL, App Service vagy Event Hubs) szeretne üzembe helyezni, további tanúsítványokat kell kérnie a PaaS-szolgáltatások végpontjainak lefedéséhez.
Fontos
Az erőforrás-szolgáltatók által használt tanúsítványoknak ugyanazzal a gyökérhitelesítéssel kell rendelkezniük, mint a globális Azure Stack Hub végpontok esetében.
Az alábbi táblázat az erőforrás-szolgáltatókhoz szükséges végpontokat és tanúsítványokat ismerteti. Ezeket a tanúsítványokat nem kell az Azure Stack Hub üzembehelyezési mappájába másolnia. Ehelyett ezeket a tanúsítványokat az erőforrás-szolgáltató telepítése során kell megadnia.
| Hatókör (régiónként) | Igazolás | Kötelező tanúsítványtárgy és alternatív tárgynevek (SAN-ek) | Altartomány-névtér |
|---|---|---|---|
| Alkalmazásszolgáltatás | Alapértelmezett SSL-tanúsítvány webes forgalomhoz | *.appservice.<régió>.<fqdn> *.scm.appservice.<régió>.<fqdn> *.sso.appservice.<régió>.<fqdn> (Többdoménes Wildcard SSL tanúsítvány1) |
appservice.<régió>.<fqdn> scm.appservice.<régió>.<fqdn> |
| Alkalmazásszolgáltatás | Alkalmazásprogramozási interfész (API) | api.appservice.<régió>.<fqdn> (SSL-tanúsítvány2) |
appservice.<régió>.<fqdn> scm.appservice.<régió>.<fqdn> |
| Alkalmazásszolgáltatás | FTP | ftp.appservice.<régió>.<fqdn> (SSL-tanúsítvány2) |
appservice.<régió>.<fqdn> scm.appservice.<régió>.<fqdn> |
| Alkalmazásszolgáltatás | Egyszeri bejelentkezés (SSO) | sso.appservice.<régió>.<fqdn> (SSL-tanúsítvány2) |
appservice.<régió>.<fqdn> scm.appservice.<régió>.<fqdn> |
| Event Hubs | SSL | *.eventhub.<régió>.<fqdn> (Helyettesítő SSL-tanúsítvány) |
eventhub.<régió>.<fqdn> |
| SQL, MySQL | SQL és MySQL | *.dbadapter.<régió>.<fqdn> (Helyettesítő SSL-tanúsítvány) |
dbadapter.<régió>.<fqdn> |
1 Egyetlen tanúsítványt igényel több helyettesítő karakteres tárgy alternatív névvel. Előfordulhat, hogy egyetlen tanúsítvány több helyettesítő SAN-ját nem minden nyilvános hitelesítésszolgáltató támogatja.
2 *.appservice.<régió>.<fqdn> helyettesítő tanúsítvány nem használható ezen három tanúsítvány helyett (api.appservice.<régió>.<fqdn>, ftp.appservice.<régió>.<fqdn>, és sso.appservice.<régió>.<fqdn>). Az Appservice kifejezetten megköveteli, hogy külön tanúsítványokat használjon ezekhez a végpontokhoz.
Következő lépések
Megtudhatja, hogyan hozhat létre PKI-tanúsítványokat az Azure Stack Hub üzembe helyezési.