Távelérés engedélyezése intranetről TLS/SSL-tanúsítvánnyal (Speciális)
Ebben az oktatóanyagban megtudhatja, hogyan állíthat be egy helyi integrációs modult több helyszíni géppel, és hogyan engedélyezheti a távelérést az intranetről TLS/SSL-tanúsítvánnyal (Advanced) az integrációs modul csomópontjai közötti kommunikáció biztonságossá tételéhez.
Előfeltételek
- Bevezetés az SSL/TLS Strong Encryption használatába.
- A tanúsítvány lehet egy webkiszolgáló általános TLS-tanúsítványa. Követelmények:
- A tanúsítványnak nyilvánosan megbízható X509 v3-tanúsítványnak kell lennie. Javasoljuk, hogy nyilvános partneri hitelesítésszolgáltató (CA) által kibocsátott tanúsítványokat használjon.
- Minden integrációs modulcsomópontnak megbízhatónak kell lennie ebben a tanúsítványban.
- A tulajdonos alternatív neve (SAN) tanúsítványokat javasoljuk, mert az integrációs modulcsomópontok teljes tartománynevét (FQDN) a tanúsítványnak kell védenie. (A WCF TLS/SSL csak az utolsó DNS-név ellenőrzését ellenőrzi a SAN-ban a 4.6.1-.NET-keretrendszer. További információ: X509CertificateClaimSet.FindClaims Metódus.)
- A helyettesítő tanúsítványok (*) nem támogatottak.
- A tanúsítványnak titkos kulccsal (például PFX-formátummal) kell rendelkeznie.
- A tanúsítvány az Windows Server 2012 R2 által támogatott kulcsméretet használhatja TLS-/SSL-tanúsítványokhoz.
- Eddig csak a CSP (titkosítási szolgáltató) tanúsítványt támogatjuk. A CNG-kulcsokat (kulcstároló-szolgáltatót) használó tanúsítványok nem támogatottak.
Lépések
Futtassa az alábbi PowerShell-parancsot az összes gépen a teljes tartománynevek lekéréséhez:
[System.Net.Dns]::GetHostByName("localhost").HostName
A teljes tartománynevek például node1.domain.contoso.com és node2.domain.contoso.com.
Hozzon létre egy tanúsítványt az összes gép teljes tartománynevével a Tulajdonos alternatív neve mezőben.
Telepítse a tanúsítványt az összes csomóponton a Local Machine ->Personal helyre, hogy az az integrációs modul konfigurációkezelőjében legyen kiválasztva:
Kattintson a tanúsítványra, és telepítse.
Válassza a Helyi gép lehetőséget, és adja meg a jelszót.
Válassza az Összes tanúsítvány elhelyezése az alábbi tárolóban lehetőséget. Kattintson a Browse (Tallózás) gombra. Válassza a Személyes lehetőséget.
A tanúsítvány telepítéséhez válassza a Befejezés lehetőséget.
Távelérés engedélyezése intranetről:
A helyi integrációs modul csomópontregisztrációja során:
Válassza a Távelérés engedélyezése intranetről lehetőséget, és válassza a Tovább gombot.
Állítsa be a TCP-portot (alapértelmezés szerint 8060). Győződjön meg arról, hogy a port nyitva van a tűzfalon.
Kattintson a Kiválasztás elemre. Az előugró ablakban válassza ki a megfelelő tanúsítványt, és válassza a Befejezés lehetőséget.
A helyi integrációs modul csomópontjának regisztrálása után:
Megjegyzés
A saját üzemeltetésű integrációs modul csak akkor módosíthatja a távelérési beállításokat, ha egyetlen csomóponttal rendelkezik, ami terv szerint történik. Ellenkező esetben a választógomb nem ellenőrizhető.
Lépjen a saját üzemeltetésű Integration Runtime Configuration Manager -Settings ->>Remote access from intranet (Távoli hozzáférés az intranetről) lapra. Kattintson a Módosítás elemre.
Válassza az Engedélyezés TLS-/SSL-tanúsítvánnyal (Speciális) lehetőséget.
Kattintson a Kiválasztás elemre. Az előugró ablakban válassza ki a megfelelő tanúsítványt, és válassza az OK gombot.
Ellenőrizze a saját üzemeltetésű Integration Runtime Configuration Manager távelérési beállításait.
Önaláírt tanúsítvány használata, ha nem rendelkezik a nyilvánosan megbízható tanúsítvánnyal:
Önaláírt tanúsítvány létrehozása és exportálása (ez a lépés kihagyható, ha már rendelkezik a tanúsítvánnyal):
Önaláírt tanúsítvány létrehozása a PowerShell használatával (emelt szintű jogosultságokkal):
New-SelfSignedCertificate -DnsName contoso.com, node1.domain.contoso.com, node2.domain.contoso.com -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" -CertStoreLocation cert:\LocalMachine\My
Ha a létrehozott tanúsítványt titkos kulccsal szeretné exportálni egy jelszóval védett PFX-fájlba, szüksége lesz az ujjlenyomatára. A parancs eredményeiből
New-SelfSignedCertificate
másolható. Például:CEB5B4372AA7BF877E56BCE27542F9F0A1AD197F
.Exportálja a létrehozott tanúsítványt a titkos kulccsal a PowerShellen keresztül (emelt szintű jogosultságokkal):
$CertPassword = ConvertTo-SecureString -String “Password” -Force -AsPlainText Export-PfxCertificate -Cert cert:\LocalMachine\My\CEB5B4372AA7BF877E56BCE27542F9F0A1AD197F -FilePath C:\self-signedcertificate.pfx -Password $CertPassword
A tanúsítványt a titkos kulccsal exportálta a C:\self-signedcertificate.pfx fájlba.
Telepítse a tanúsítványt az összes csomóponton a következő helyre: Helyi gép –>Megbízható legfelső szintű hitelesítésszolgáltatók tároló:
- Kattintson a tanúsítványra, és telepítse.
- Válassza a Helyi gép lehetőséget, és adja meg a jelszót.
- Válassza az Összes tanúsítvány elhelyezése az alábbi tárolóban lehetőséget. Kattintson a Browse (Tallózás) gombra. Válassza a Megbízható legfelső szintű hitelesítésszolgáltatók lehetőséget.
- A tanúsítvány telepítéséhez válassza a Befejezés lehetőséget.
Hibaelhárítás
Ellenőrizze, hogy a tanúsítvány létezik-e a céltárolóban:
Kövesse az alábbi eljárást : Tanúsítványok megtekintése az MMC beépülő modullal – WCF a tanúsítványok (helyi számítógép) megtekintéséhez az MMC beépülő modulban.
Győződjön meg arról, hogy a tanúsítvány telepítve van a személyes és megbízható legfelső szintű hitelesítésszolgáltatók tárolójában (ha önaláírt tanúsítványról van szó).
Ellenőrizze, hogy a tanúsítvány rendelkezik-e titkos kulccsal, és nem járt-e le.
Győződjön meg arról, hogy a helyi integrációs modul szolgáltatásfiókja (az alapértelmezett fiók az NT SERVICE\DIAHostService) olvasási engedéllyel rendelkezik a tanúsítvány titkos kulcsaihoz:
Kattintson a jobb gombbal a tanúsítványra –>Minden feladat –>Titkos kulcsok kezelése.
Ha nem, adja meg az engedélyt, alkalmazza és mentse.