Távelérés engedélyezése intranetről TLS/SSL-tanúsítvánnyal (Speciális)

  • Cikk

Ebben az oktatóanyagban megtudhatja, hogyan állíthat be egy helyi integrációs modult több helyszíni géppel, és hogyan engedélyezheti a távelérést az intranetről TLS/SSL-tanúsítvánnyal (Advanced) az integrációs modul csomópontjai közötti kommunikáció biztonságossá tételéhez.

Előfeltételek

  • Bevezetés az SSL/TLS Strong Encryption használatába.
  • A tanúsítvány lehet egy webkiszolgáló általános TLS-tanúsítványa. Követelmények:
    • A tanúsítványnak nyilvánosan megbízható X509 v3-tanúsítványnak kell lennie. Javasoljuk, hogy nyilvános partneri hitelesítésszolgáltató (CA) által kibocsátott tanúsítványokat használjon.
    • Minden integrációs modulcsomópontnak megbízhatónak kell lennie ebben a tanúsítványban.
    • A tulajdonos alternatív neve (SAN) tanúsítványokat javasoljuk, mert az integrációs modulcsomópontok teljes tartománynevét (FQDN) a tanúsítványnak kell védenie. (A WCF TLS/SSL csak az utolsó DNS-név ellenőrzését ellenőrzi a SAN-ban a 4.6.1-.NET-keretrendszer. További információ: X509CertificateClaimSet.FindClaims Metódus.)
    • A helyettesítő tanúsítványok (*) nem támogatottak.
    • A tanúsítványnak titkos kulccsal (például PFX-formátummal) kell rendelkeznie.
    • A tanúsítvány az Windows Server 2012 R2 által támogatott kulcsméretet használhatja TLS-/SSL-tanúsítványokhoz.
    • Eddig csak a CSP (titkosítási szolgáltató) tanúsítványt támogatjuk. A CNG-kulcsokat (kulcstároló-szolgáltatót) használó tanúsítványok nem támogatottak.

Lépések

  1. Futtassa az alábbi PowerShell-parancsot az összes gépen a teljes tartománynevek lekéréséhez:

    [System.Net.Dns]::GetHostByName("localhost").HostName

    A teljes tartománynevek például node1.domain.contoso.com és node2.domain.contoso.com.

  2. Hozzon létre egy tanúsítványt az összes gép teljes tartománynevével a Tulajdonos alternatív neve mezőben.

    Képernyőkép a tanúsítvány tulajdonos alternatív névvel történő létrehozását ábrázoló képről.

  3. Telepítse a tanúsítványt az összes csomóponton a Local Machine ->Personal helyre, hogy az az integrációs modul konfigurációkezelőjében legyen kiválasztva:

    1. Kattintson a tanúsítványra, és telepítse.

    2. Válassza a Helyi gép lehetőséget, és adja meg a jelszót.

      Képernyőkép a helyi gép kiválasztásáról.

    3. Válassza az Összes tanúsítvány elhelyezése az alábbi tárolóban lehetőséget. Kattintson a Browse (Tallózás) gombra. Válassza a Személyes lehetőséget.

    4. A tanúsítvány telepítéséhez válassza a Befejezés lehetőséget.

  4. Távelérés engedélyezése intranetről:

    1. A helyi integrációs modul csomópontregisztrációja során:

      1. Válassza a Távelérés engedélyezése intranetről lehetőséget, és válassza a Tovább gombot.

        Képernyőkép az intranetről történő távelérés engedélyezéséről.

      2. Állítsa be a TCP-portot (alapértelmezés szerint 8060). Győződjön meg arról, hogy a port nyitva van a tűzfalon.

      3. Kattintson a Kiválasztás elemre. Az előugró ablakban válassza ki a megfelelő tanúsítványt, és válassza a Befejezés lehetőséget.

        Képernyőkép a tanúsítvány kiválasztásáról.

    2. A helyi integrációs modul csomópontjának regisztrálása után:

      Megjegyzés

      A saját üzemeltetésű integrációs modul csak akkor módosíthatja a távelérési beállításokat, ha egyetlen csomóponttal rendelkezik, ami terv szerint történik. Ellenkező esetben a választógomb nem ellenőrizhető.

      Képernyőkép a TLS/SSL-tanúsítvánnyal (Speciális) történő engedélyezésről.

      1. Lépjen a saját üzemeltetésű Integration Runtime Configuration Manager -Settings ->>Remote access from intranet (Távoli hozzáférés az intranetről) lapra. Kattintson a Módosítás elemre.

      2. Válassza az Engedélyezés TLS-/SSL-tanúsítvánnyal (Speciális) lehetőséget.

      3. Kattintson a Kiválasztás elemre. Az előugró ablakban válassza ki a megfelelő tanúsítványt, és válassza az OK gombot.

        Képernyőkép a tanúsítvány kiválasztásáról.

    3. Ellenőrizze a saját üzemeltetésű Integration Runtime Configuration Manager távelérési beállításait.

      Képernyőkép a saját üzemeltetésű Integration Runtime Configuration Manager 1. lépésben található távelérési beállítások ellenőrzéséről.

      Képernyőkép a saját üzemeltetésű Integration Runtime Configuration Manager 2. lépésben található távelérési beállítások ellenőrzéséről.

  5. Önaláírt tanúsítvány használata, ha nem rendelkezik a nyilvánosan megbízható tanúsítvánnyal:

    1. Önaláírt tanúsítvány létrehozása és exportálása (ez a lépés kihagyható, ha már rendelkezik a tanúsítvánnyal):

      1. Önaláírt tanúsítvány létrehozása a PowerShell használatával (emelt szintű jogosultságokkal):

        New-SelfSignedCertificate -DnsName contoso.com, node1.domain.contoso.com, node2.domain.contoso.com -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" -CertStoreLocation cert:\LocalMachine\My

      2. Ha a létrehozott tanúsítványt titkos kulccsal szeretné exportálni egy jelszóval védett PFX-fájlba, szüksége lesz az ujjlenyomatára. A parancs eredményeiből New-SelfSignedCertificate másolható. Például: CEB5B4372AA7BF877E56BCE27542F9F0A1AD197F.

      3. Exportálja a létrehozott tanúsítványt a titkos kulccsal a PowerShellen keresztül (emelt szintű jogosultságokkal):

        $CertPassword = ConvertTo-SecureString -String “Password” -Force -AsPlainText
Export-PfxCertificate -Cert
cert:\LocalMachine\My\CEB5B4372AA7BF877E56BCE27542F9F0A1AD197F -FilePath C:\self-signedcertificate.pfx -Password $CertPassword

      4. A tanúsítványt a titkos kulccsal exportálta a C:\self-signedcertificate.pfx fájlba.

    2. Telepítse a tanúsítványt az összes csomóponton a következő helyre: Helyi gép –>Megbízható legfelső szintű hitelesítésszolgáltatók tároló:

      1. Kattintson a tanúsítványra, és telepítse.
      2. Válassza a Helyi gép lehetőséget, és adja meg a jelszót.
      3. Válassza az Összes tanúsítvány elhelyezése az alábbi tárolóban lehetőséget. Kattintson a Browse (Tallózás) gombra. Válassza a Megbízható legfelső szintű hitelesítésszolgáltatók lehetőséget.
      4. A tanúsítvány telepítéséhez válassza a Befejezés lehetőséget.

      Képernyőkép a tanúsítvány telepítéséről az összes csomóponton.

  6. Hibaelhárítás

    1. Ellenőrizze, hogy a tanúsítvány létezik-e a céltárolóban:

      1. Kövesse az alábbi eljárást : Tanúsítványok megtekintése az MMC beépülő modullal – WCF a tanúsítványok (helyi számítógép) megtekintéséhez az MMC beépülő modulban.

        Képernyőkép a tanúsítványok MMC-ben való megtekintéséről.

      2. Győződjön meg arról, hogy a tanúsítvány telepítve van a személyes és megbízható legfelső szintű hitelesítésszolgáltatók tárolójában (ha önaláírt tanúsítványról van szó).

        Képernyőkép a személyes és megbízható legfelső szintű hitelesítésszolgáltatók tárolójában telepített tanúsítványról.

    2. Ellenőrizze, hogy a tanúsítvány rendelkezik-e titkos kulccsal, és nem járt-e le.

      Képernyőkép arról, hogy a tanúsítvány rendelkezik titkos kulccsal, és nem járt le.

    3. Győződjön meg arról, hogy a helyi integrációs modul szolgáltatásfiókja (az alapértelmezett fiók az NT SERVICE\DIAHostService) olvasási engedéllyel rendelkezik a tanúsítvány titkos kulcsaihoz:

      1. Kattintson a jobb gombbal a tanúsítványra –>Minden feladat –>Titkos kulcsok kezelése.

      2. Ha nem, adja meg az engedélyt, alkalmazza és mentse.

        Képernyőkép a saját üzemeltetésű integrációs modul szolgáltatásfiókjáról, amely olvasási engedéllyel rendelkezik a tanúsítvány titkos kulcsaihoz.