Jegyzet
Az oldalhoz való hozzáférés engedélyezést igényel. Próbálhatod be jelentkezni vagy könyvtárat váltani.
Az oldalhoz való hozzáférés engedélyezést igényel. Megpróbálhatod a könyvtár váltását.
Az Azure Stack Hub nyilvános infrastruktúra-hálózattal rendelkezik, amely külsőleg elérhető nyilvános IP-címeket használ az Azure Stack Hub-szolgáltatások és esetleg bérlői virtuális gépek egy kis csoportjához rendelve. Az Azure Stack Hub üzembe helyezése során olyan PKI-tanúsítványokra van szükség, amelyek rendelkeznek a megfelelő DNS-névvel ezekhez az Azure Stack Hub nyilvános infrastruktúra-végpontokhoz. Ez a cikk az alábbiakról nyújt tájékoztatást:
- Az Azure Stack Hub tanúsítványkövetelményei.
- Az Azure Stack Hub üzembe helyezéséhez szükséges kötelező tanúsítványok.
- Az értékfelelős erőforrás-szolgáltatók üzembe helyezésekor szükséges opcionális tanúsítványok.
Jegyzet
Az Azure Stack Hub alapértelmezés szerint egy belső Active Directory-integrált hitelesítésszolgáltatótól (CA) kiállított tanúsítványokat is használ a csomópontok közötti hitelesítéshez. A tanúsítvány érvényesítéséhez az összes Azure Stack Hub-infrastruktúra-gép megbízik a belső hitelesítésszolgáltató főtanúsítványában azáltal, hogy hozzáadja a tanúsítványt a helyi tanúsítványtárolóhoz. Az Azure Stack Hubban nincs tanúsítvány rögzítése vagy szűrése. Az egyes kiszolgálótanúsítványok SAN-jának ellenőrzése a cél teljes tartománynevével történik. A rendszer a teljes megbízhatósági láncot is ellenőrzi a tanúsítvány lejárati dátumával együtt (standard TLS-kiszolgálói hitelesítés tanúsítványrögzítés nélkül).
Tanúsítványkövetelmények
Az alábbi lista az általános tanúsítványkiadási, biztonsági és formázási követelményeket ismerteti:
- A tanúsítványokat belső vagy nyilvános hitelesítésszolgáltatótól kell kiállítani. Nyilvános hitelesítésszolgáltató használata esetén a Microsoft Megbízható legfelső szintű hitelesítésszolgáltató programjának részeként szerepelnie kell az operációs rendszer alaprendszerképében. A teljes listát Résztvevők listája – Microsoft Megbízható gyökérprogramcímű témakörben találja.
- Az Azure Stack Hub-infrastruktúrának hálózati hozzáféréssel kell rendelkeznie a tanúsítványban közzétett tanúsítvány-visszavonási lista (CRL) helyéhez. Ennek a CRL-nek http-végpontnak kell lennie. Leválasztott üzemelő példányok esetén, ha a CRL-végpont nem érhető el, a nyilvános hitelesítésszolgáltató (CA) által kibocsátott tanúsítványok nem támogatottak. További információ: A leválasztott üzemelő példányokban sérült vagy nem elérhető szolgáltatások.
- Az 1903 előtti buildekben lévő tanúsítványok forgatásakor a tanúsítványokat vagy ugyanabból a belső hitelesítésszolgáltatóból kell kibocsátani, amely az üzembe helyezéskor használt tanúsítványok aláírását végzi, vagy bármely korábban említett nyilvános hitelesítésszolgáltatótól kell beszerezni.
- Az 1903-as és újabb buildek tanúsítványainak frissítésekor a tanúsítványokat bármely vállalati vagy nyilvános hitelesítésszolgáltató kibocsáthatja.
- Az önaláírt tanúsítványok nem támogatottak.
- Az üzembe helyezéshez és a megújításhoz használhat egyetlen tanúsítványt, amely a tanúsítvány Subject Name és Subject Alternative Name (SAN) összes névterét lefedi. Másik lehetőségként használhatja az egyes tanúsítványokat az alábbi névterekhez, amelyeket a használni kívánt Azure Stack Hub-szolgáltatások igényelnek. Mindkét megközelítéshez helyettesítő kártyákat kell használni a szükséges végpontokhoz, például KeyVault és KeyVaultInternal.
- A tanúsítvány-aláírási algoritmus nem lehet SHA1.
- A tanúsítvány formátumának PFX-nek kell lennie, mivel az Azure Stack Hub telepítéséhez mind a nyilvános, mind a titkos kulcs szükséges. A titkos kulcsnak rendelkeznie kell a helyi gépkulcs attribútumával.
- A PFX-titkosításnak 3DES-nek kell lennie (ez az alapértelmezett titkosítás Windows 10-ügyfélből vagy Windows Server 2016-tanúsítványtárolóból való exportáláskor).
- A tanúsítvány pfx fájljainak a "Kulcshasználat" mezőben "Digital Signature" és "KeyEncipherment" értékkel kell rendelkezniük.
- A tanúsítvány pfx fájljainak a "Bővített kulcshasználat" mezőben a "Kiszolgálóhitelesítés (1.3.6.1.5.5.7.3.1)" értékekkel kell rendelkezniük.
- A tanúsítvány "Kiállítva:" mezőjének nem lehet ugyanaz, mint a "Kiállító:" mezője.
- Az összes tanúsítvány pfx-fájljának jelszavainak az üzembe helyezéskor azonosnak kell lenniük.
- A tanúsítvány pfx jelszavának összetett jelszónak kell lennie. Jegyezze fel ezt a jelszót, mert üzembehelyezési paraméterként használja. A jelszónak meg kell felelnie a következő jelszó-összetettségi követelményeknek:
- Legalább nyolc karakter hosszúságú.
- A következő karakterek közül legalább három: nagybetű, kisbetű, 0-9 közötti számok, speciális karakterek, betűrendes karakterek, amelyek nem nagybetűk vagy kisbetűk.
- Győződjön meg arról, hogy a tárgy nevek és a tárgy alternatív nevek megegyeznek a tárgy alternatív név kiterjesztésben (x509v3_config). A tulajdonos alternatív névmezője lehetővé teszi további gazdagépnevek (webhelyek, IP-címek, köznapi nevek) megadását, amelyeket egyetlen SSL-tanúsítvány véd.
Jegyzet
Az önaláírt tanúsítványok nem támogatottak.
Az Azure Stack Hub leválasztott módban történő üzembe helyezésekor ajánlott vállalati hitelesítésszolgáltató által kiadott tanúsítványokat használni. Ez azért fontos, mert az Azure Stack Hub-végpontokat elérő ügyfeleknek csatlakozniuk kell a visszavont tanúsítványok listájához (CRL).
Jegyzet
Támogatott a közvetítő hitelesítésszolgáltatók jelenléte a tanúsítvány megbízhatósági láncában.
Kötelező tanúsítványok
Az ebben a szakaszban található táblázat a Microsoft Entra ID és az AD FS Azure Stack Hub üzemelő példányaihoz szükséges nyilvános Azure Stack Hub-PKI-tanúsítványokat ismerteti. A tanúsítványkövetelmények terület szerint vannak csoportosítva, a használt névterek és az egyes névterekhez szükséges tanúsítványok. A táblázat azt a mappát is ismerteti, amelyben a megoldásszolgáltató nyilvános végpontonként másolja a különböző tanúsítványokat.
Az Azure Stack Hub nyilvános infrastruktúra-végpontjaihoz megfelelő DNS-névvel rendelkező tanúsítványokra van szükség. Az egyes végpontok DNS-neve a formátumban <prefix>.<region>.<fqdn>van kifejezve.
Az üzembe helyezéshez az <region> értékeknek <fqdn> meg kell egyeznie az Azure Stack Hub-rendszerhez választott régió- és külső tartománynevekkel. Ha például a régió Redmond , a külső tartománynév pedig contoso.com, akkor a DNS-nevek formátuma <prefix>.redmond.contoso.com. Az <prefix> értékeket a Microsoft a tanúsítvány által védett végpont leírására tartja fenn. Emellett a <prefix> külső infrastruktúra-végpontok értékei az adott végpontot használó Azure Stack Hub szolgáltatástól függenek.
Éles környezetekben javasoljuk, hogy minden végponthoz külön tanúsítványokat hozzon létre, és másolja a megfelelő könyvtárba. Fejlesztési környezetek esetén a tanúsítványok egyetlen helyettesítő tanúsítványként adhatók meg, amely az összes könyvtárba másolt Tulajdonos és tulajdonos alternatív neve (SAN) mezők összes névterét lefedi. Az összes végpontot és szolgáltatást lefedő egyetlen tanúsítvány nem biztonságos állapot, ezért csak fejlesztésre szolgál. Ne feledje, hogy mindkét beállításhoz helyettesítő tanúsítványokat kell használnia olyan végpontokhoz, mint az acs és a Key Vault, ahol szükség van rájuk.
Jegyzet
Az üzembe helyezés során a tanúsítványokat a központi telepítési mappába kell másolnia, amely megfelel a telepített identitásszolgáltatónak (Microsoft Entra ID vagy AD FS). Ha az összes végponthoz egyetlen tanúsítványt használ, a tanúsítványfájlt minden üzembe helyezési mappába át kell másolnia az alábbi táblázatokban leírtak szerint. A mappastruktúra előre be van építve az üzembehelyezési virtuális gépbe , és a C:\CloudDeployment\Setup\Certificates webhelyen található.
| Üzembe helyezési mappa | Kötelező tanúsítványtulajdonosi és tulajdonosi alternatív nevek (SAN) | Hatókör (régiónként) | Altartomány-névtér |
|---|---|---|---|
| Nyilvános portál | portal.<region>.<fqdn> |
Portálok | <region>.<fqdn> |
| Felügyeleti portál | adminportal.<region>.<fqdn> |
Portálok | <region>.<fqdn> |
| Nyilvános Azure Resource Manager | management.<region>.<fqdn> |
Azure Erőforrás-kezelő | <region>.<fqdn> |
| Azure Resource Manager-rendszergazda | adminmanagement.<region>.<fqdn> |
Azure Erőforrás-kezelő | <region>.<fqdn> |
| ACSBlob | *.blob.<region>.<fqdn>(Helyettesítő SSL-tanúsítvány) |
Blob-tároló | blob.<region>.<fqdn> |
| ACSTable | *.table.<region>.<fqdn>(Helyettesítő SSL-tanúsítvány) |
Táblatároló | table.<region>.<fqdn> |
| ACSQueue | *.queue.<region>.<fqdn>(Helyettesítő SSL-tanúsítvány) |
Queue storage | queue.<region>.<fqdn> |
| KeyVault | *.vault.<region>.<fqdn>(Helyettesítő SSL-tanúsítvány) |
Key Vault | vault.<region>.<fqdn> |
| KeyVaultInternal | *.adminvault.<region>.<fqdn>(Helyettesítő SSL-tanúsítvány) |
Belső Kulcsvault | adminvault.<region>.<fqdn> |
| Rendszergazdai bővítmény gazdagépe |
*.adminhosting.<region>.<fqdn> (Helyettesítő SSL-tanúsítványok) |
Rendszergazdai bővítmény gazdagépe | adminhosting.<region>.<fqdn> |
| Nyilvános bővítmény gazda |
*.hosting.<region>.<fqdn> (Helyettesítő SSL-tanúsítványok) |
Nyilvános bővítmény gazdagépe | hosting.<region>.<fqdn> |
Ha az Azure Stack Hubot a Microsoft Entra üzembe helyezési módjával telepíti, csak az előző táblázatban felsorolt tanúsítványokat kell kérnie. Ha az Azure Stack Hubot az AD FS üzembe helyezési módjával telepíti, az alábbi táblázatban ismertetett tanúsítványokat is kérnie kell:
| Üzembe helyezési mappa | Kötelező tanúsítványtulajdonosi és tulajdonosi alternatív nevek (SAN) | Hatókör (régiónként) | Altartomány-névtér |
|---|---|---|---|
| ADFS | adfs.<region>.<fqdn>(SSL-tanúsítvány) |
AD FS | <region>.<fqdn> |
| Graph | graph.<region>.<fqdn>(SSL-tanúsítvány) |
Graph | <region>.<fqdn> |
Fontos
Az ebben a szakaszban felsorolt összes tanúsítványnak ugyanazzal a jelszóval kell rendelkeznie.
Választható PaaS-tanúsítványok
Ha az Azure Stack Hub üzembe helyezése és konfigurálása után azure Stack Hub PaaS-szolgáltatásokat (például SQL, MySQL, App Service vagy Event Hubs) kíván üzembe helyezni, további tanúsítványokat kell kérnie a PaaS-szolgáltatások végpontjainak lefedéséhez.
Fontos
Az erőforrás-szolgáltatók által használt tanúsítványoknak ugyanazzal a gyökérhitelesítéssel kell rendelkezniük, mint a globális Azure Stack Hub végpontok esetében.
Az alábbi táblázat az erőforrás-szolgáltatókhoz szükséges végpontokat és tanúsítványokat ismerteti. Ezeket a tanúsítványokat nem kell az Azure Stack Hub üzembehelyezési mappájába másolnia. Ehelyett ezeket a tanúsítványokat kell megadnia az erőforrás-szolgáltató telepítése során:
| Hatókör (régiónként) | Igazolás | Kötelező tanúsítványtárgy és alternatív tárgynevek (SAN-ek) | Altartomány-névtér |
|---|---|---|---|
| App Service | Alapértelmezett SSL-tanúsítvány webes forgalomhoz | *.appservice.<region>.<fqdn>*.scm.appservice.<region>.<fqdn>*.sso.appservice.<region>.<fqdn>(Többdoménes Wildcard SSL tanúsítvány1) |
appservice.<region>.<fqdn>scm.appservice.<region>.<fqdn> |
| App Service | API | api.appservice.<region>.<fqdn>(SSL-tanúsítvány2) |
appservice.<region>.<fqdn>scm.appservice.<region>.<fqdn> |
| App Service | FTP | ftp.appservice.<region>.<fqdn>(SSL-tanúsítvány2) |
appservice.<region>.<fqdn>scm.appservice.<region>.<fqdn> |
| App Service | SSO | sso.appservice.<region>.<fqdn>(SSL-tanúsítvány2) |
appservice.<region>.<fqdn>scm.appservice.<region>.<fqdn> |
| Event Hubs | SSL | *.eventhub.<region>.<fqdn>(Helyettesítő SSL-tanúsítvány) |
eventhub.<region>.<fqdn> |
| SQL, MySQL | SQL és MySQL | *.dbadapter.<region>.<fqdn>(Helyettesítő SSL-tanúsítvány) |
dbadapter.<region>.<fqdn> |
1 Egyetlen tanúsítványt igényel több helyettesítő karakteres tárgy alternatív névvel. Előfordulhat, hogy egyetlen tanúsítvány több helyettesítő SAN-ját nem minden nyilvános hitelesítésszolgáltató támogatja.
2 A *.appservice.<region>.<fqdn> helyettesítő tanúsítvány nem használható a három tanúsítvány (api.appservice.<region>.<fqdn>és ftp.appservice.<region>.<fqdn>sso.appservice.<region>.<fqdn>) helyett. Az Appservice kifejezetten megköveteli, hogy külön tanúsítványokat használjon ezekhez a végpontokhoz.
Következő lépések
Megtudhatja, hogyan hozhat létre PKI-tanúsítványokat az Azure Stack Hub üzembe helyezési.