Persyaratan sertifikat infrastruktur kunci publik (PKI) Azure Stack Hub
Azure Stack Hub memiliki jaringan infrastruktur publik menggunakan alamat IP publik yang dapat diakses secara eksternal, yang ditetapkan ke satu set kecil layanan Azure Stack Hub dan mungkin mesin virtual penyewa. Sertifikat PKI dengan nama DNS yang sesuai untuk titik akhir infrastruktur publik Azure Stack Hub ini diperlukan selama penyebaran Azure Stack Hub. Artikel ini memberikan informasi tentang:
- Persyaratan sertifikat untuk Azure Stack Hub.
- Sertifikat wajib diperlukan untuk penyebaran Azure Stack Hub.
- Sertifikat opsional diperlukan saat menyebarkan penyedia sumber bernilai tambah.
Catatan
Azure Stack Hub secara default juga menggunakan sertifikat yang dikeluarkan oleh otoritas sertifikat (CA) internal yang terintegrasi dengan Active Directory untuk autentikasi antar simpul. Untuk memvalidasi sertifikat, semua komputer infrastruktur Azure Stack Hub mempercayai sertifikat akar CA internal dengan cara menambahkan sertifikat itu ke penyimpanan sertifikat lokal mereka. Tidak ada penyematan atau pemfilteran sertifikat di Azure Stack Hub. SAN dari setiap sertifikat server divalidasi terhadap FQDN target. Seluruh rantai kepercayaan juga divalidasi, bersama dengan tanggal kedaluwarsa sertifikat (autentikasi server TLS standar tanpa menyematkan sertifikat).
Persyaratan sertifikat
Daftar berikut menjelaskan persyaratan penerbitan sertifikat umum, keamanan, dan pemformatan:
- Sertifikat harus dikeluarkan dari otoritas sertifikat internal atau otoritas sertifikat publik. Jika otoritas sertifikat publik digunakan, itu harus dimasukkan dalam gambar sistem operasi dasar sebagai bagian dari Program Otoritas Akar Tepercaya Microsoft. Untuk daftar lengkap, lihat Daftar Peserta - Program Akar Tepercaya Microsoft.
- Infrastruktur Azure Stack Hub Anda harus memiliki akses jaringan ke lokasi Certificate Revocation List (CRL) otoritas sertifikat yang diterbitkan dalam sertifikat. CRL ini harus berupa titik akhir http. Catatan: untuk penyebaran yang terputus, sertifikat yang diterbitkan oleh otoritas sertifikat publik (CA) tidak didukung, jika titik akhir CRL tidak dapat diakses. Untuk detail selengkapnya, lihat Fitur yang terganggu atau tidak tersedia saat penyebaran terputus.
- Saat merotasi sertifikat pada build pra-1903, sertifikat harus dikeluarkan dari otoritas sertifikat internal yang sama yang digunakan untuk menandatangani sertifikat yang disediakan saat penyebaran atau otoritas sertifikat publik dari atas.
- Saat memutar sertifikat untuk build 1903 dan yang lebih baru, sertifikat dapat dikeluarkan oleh perusahaan atau otoritas sertifikat publik mana pun.
- Penggunaan sertifikat yang ditandatangani sendiri tidak didukung.
- Untuk penyebaran dan rotasi, Anda dapat menggunakan satu sertifikat yang mencakup semua ruang nama di Nama Subjek sertifikat dan Nama Alternatif Subjek (SAN). Atau, Anda dapat menggunakan sertifikat individual untuk masing-masing namespace layanan di bawah ini yang diwajibkan oleh layanan Azure Stack Hub yang Anda rencanakan untuk digunakan. Kedua pendekatan memerlukan penggunaan kartubebas untuk titik akhir di mana pendekatan ini diperlukan, seperti KeyVault dan KeyVaultInternal.
- Algoritma tanda tangan sertifikat tidak boleh SHA1.
- Format sertifikat harus PFX, karena kunci umum dan privat diperlukan untuk penginstalan Azure Stack Hub. Kunci privat harus memiliki atribut kunci mesin lokal yang disetel.
- Enkripsi PFX harus 3DES (enkripsi ini default saat mengekspor dari klien Windows 10 atau penyimpanan sertifikat Windows Server 2016).
- File sertifikat pfx harus memiliki nilai "Tanda Tangan Digital" dan "KeyEncipherment" di bidang "Penggunaan Kunci".
- File sertifikat PFX harus memiliki nilai "Autentikasi Server (1.3.6.1.5.5.7.3.1)" dan “Autentikasi Klien (1.3.6.1.5.5.7.3.2)" dalam bidang "Penggunaan Kunci yang Disempurnakan".
- Bidang sertifikat "Dikeluarkan untuk:" tidak boleh sama dengan bidang "Dikeluarkan oleh:".
- Kata sandi semua file sertifikat pfx harus sama pada saat penyebaran.
- Kata sandi sertifikat pfx harus kata sandi yang rumit. Catat kata sandi ini karena Anda akan menggunakannya sebagai parameter penyebaran. Kata sandi harus memenuhi persyaratan kerumitan kata sandi berikut:
- Minimum terdiri dari delapan karakter.
- Setidaknya terdapat tiga karakter berikut: huruf besar, huruf kecil, angka dari 0-9, karakter khusus, karakter abjad yang bukan huruf besar atau kecil.
- Pastikan bahwa nama subjek dan nama alternatif subjek dalam ekstensi nama alternatif subjek (x509v3_config) cocok. Bidang nama alternatif subjek memungkinkan Anda menentukan nama host tambahan (situs web, alamat IP, nama umum) yang akan dilindungi oleh satu sertifikat SSL.
Catatan
Sertifikat yang ditandatangani sendiri tidak didukung.
Saat menyebarkan Azure Stack Hub dalam mode terputus, disarankan untuk menggunakan sertifikat yang dikeluarkan oleh otoritas sertifikat perusahaan. Ini penting karena klien yang mengakses titik akhir Azure Stack Hub harus dapat mengakses daftar pencabutan sertifikat (CRL).
Catatan
Kehadiran Otoritas Sertifikat Perantara dalam rantai kepercayaan sertifikat akandidukung.
Sertifikat wajib
Tabel di bagian ini menjelaskan sertifikat PKI titik akhir publik Azure Stack Hub yang diperlukan untuk penyebaran ID Microsoft Entra dan AD FS Azure Stack Hub. Persyaratan sertifikat dikelompokkan berdasarkan area dan namespace layanan yang digunakan dan sertifikat yang diperlukan untuk setiap namespace layanan. Tabel ini juga menjelaskan folder tempat penyedia solusi Anda menyalin sertifikat yang berbeda-beda per titik akhir publik.
Sertifikat dengan nama DNS yang sesuai untuk setiap endpoint infrastruktur publik Azure Stack Hub diperlukan. Setiap nama DNS titik akhir dinyatakan dalam format: awalan>.<wilayah>.<fqdn>.
Untuk penyebaran Anda, nilai wilayah> dan > harus sesuai dengan nama domain wilayah dan eksternal yang Anda pilih untuk sistem Azure Stack Hub Anda. Misalnya, jika wilayah tersebut adalah Redmond dan nama domain eksternal contoso.com, nama DNS akan memiliki format awalan.redmond.contoso.com. Nilai awalan>dirancang sebelumnya oleh Microsoft untuk menggambarkan titik akhir yang diamankan oleh sertifikat. Selain itu, nilai awalan> titik akhir infrastruktur eksternal bergantung pada layanan Azure Stack Hub yang menggunakan titik akhir tertentu.
Untuk lingkungan produksi, sebaiknya sertifikat individu dibuat untuk setiap endpoint dan disalin ke dalam direktori yang sesuai. Untuk lingkungan pengembangan, sertifikat dapat diberikan sebagai sertifikat kartubebas tunggal yang mencakup semua kumpulan nama XML di bidang Subjek dan Nama Alternatif Subjek (SAN) yang disalin ke semua direktori. Satu sertifikat yang mencakup semua endpoint dan layanan adalah postur yang tidak aman dan karenanya hanya pengembangan. Ingat, kedua opsi mengharuskan Anda menggunakan sertifikat wildcard untuk endpoint seperti acs dan Key Vault di mana mereka diperlukan.
Catatan
Selama penyebaran, Anda harus menyalin sertifikat ke folder penyebaran yang cocok dengan IdP yang Anda sebarkan (id Microsoft Entra atau AD FS). Jika Anda menggunakan satu sertifikat untuk semua titik akhir, Anda harus menyalin file sertifikat tersebut ke setiap folder penyebaran seperti yang diuraikan dalam tabel berikut. Struktur folder sudah dibangun sebelumnya di mesin virtual penyebaran dan dapat ditemukan di: C:\CloudDeployment\Setup\Certificates.
Folder penyebaran | Subjek sertifikat yang diperlukan dan nama alternatif subjek (SAN) | Lingkup (per wilayah) | Namespace layanan subdomain |
---|---|---|---|
Portal Publik | portal.<wilayah>.<fqdn> | Portal | <region>.<fqdn> |
Portal Admin | adminportal.<region>.<fqdn> | Portal | <region>.<fqdn> |
Azure Resource Manager Publik | management.<region>.<fqdn> | Azure Resource Manager | <region>.<fqdn> |
Azure Resource Manager Admin | adminmanagement.<region>.<fqdn> | Azure Resource Manager | <region>.<fqdn> |
ACSBlob | *.blob.<region>.<fqdn> (Sertifikat SSL Kartubebas) |
Penyimpanan Blob | blob.<region>.<fqdn> |
ACSTable | *.table.<region>.<fqdn> (Sertifikat SSL Kartubebas) |
Table Storage | table.<region>.<fqdn> |
ACSQueue | *.queue.<region>.<fqdn> (Sertifikat SSL Kartubebas) |
Queue Storage | queue.<region>.<fqdn> |
Az.KeyVault | vault.<region>.<fqdn> (Sertifikat SSL Kartubebas) |
Key Vault | vault.<region>.<fqdn> |
KeyVaultInternal | *.adminvault.<region>.<fqdn> (Sertifikat SSL Kartubebas) |
Keyvault Internal | adminvault.<region>.<fqdn> |
Host Ekstensi Admin | *.adminhosting.<wilayah>.< fqdn> (Sertifikat SSL Kartubebas) | Host Ekstensi Admin | adminhosting.<region>.<fqdn> |
Host Ekstensi Publik | *.hosting.<wilayah>.<fqdn> (Sertifikat SSL Kartubebas) | Host Ekstensi Publik | hosting.<wilayah>.<fqdn> |
Jika Anda menyebarkan Azure Stack Hub menggunakan mode penyebaran Microsoft Entra, Anda hanya perlu meminta sertifikat yang tercantum dalam tabel sebelumnya. Tetapi, jika Anda menyebarkan Azure Stack Hub menggunakan mode penyebaran Active Directory Federation Services, Anda juga harus meminta sertifikat yang dijelaskan dalam tabel berikut:
Folder penyebaran | Subjek sertifikat yang diperlukan dan nama alternatif subjek (SAN) | Lingkup (per wilayah) | Namespace layanan subdomain |
---|---|---|---|
ADFS | adfs.wilayah>.<fqdn> (Sertifikat SSL) |
ADFS | wilayah>.<fqdn> |
Graph | grafik.wilayah>.<fqdn> (Sertifikat SSL) |
Graph | wilayah>.<fqdn> |
Penting
Semua sertifikat yang tercantum di bagian ini harus memiliki kata sandi yang sama.
Sertifikat PaaS opsional
Jika Anda berencana untuk menyebarkan layanan PaaS Azure Stack Hub (seperti SQL, MySQL, App Service, atau Event Hubs) setelah Azure Stack Hub disebarkan dan dikonfigurasi, Anda harus meminta sertifikat tambahan untuk menutupi titik akhir layanan PaaS.
Penting
Sertifikat yang Anda gunakan untuk penyedia sumber harus memiliki otoritas akar yang sama dengan yang digunakan untuk titik akhir Azure Stack Hub global.
Tabel berikut menjelaskan titik akhir dan sertifikat yang diperlukan untuk penyedia sumber daya. Anda tidak perlu menyalin sertifikat ini ke folder penyebaran Azure Stack Hub. Sebagai gantinya, Anda memberikan sertifikat ini selama penginstalan penyedia sumber.
Lingkup (per wilayah) | Sertifikat | Subjek sertifikat yang diperlukan dan Nama Alternatif Subjek (SAN) | Namespace layanan subdomain |
---|---|---|---|
App Service | Sertifikat SSL Default Lalu Lintas Web | *.appservice.region>.<fqdn> *.scm.appservice.region>.<fqdn> *.sso.appservice.region>.<fqdn> (Sertifikat SSL Kartubebas Multi Domain1) |
appservice.region>.<fqdn> scm.appservice.region>.<fqdn> |
App Service | API | api.appservice.region>.<fqdn> (Sertifikat SSL2) |
appservice.region>.<fqdn> scm.appservice.region>.<fqdn> |
App Service | FTP | ftp.appservice.region>.<fqdn> (Sertifikat SSL2) |
appservice.region>.<fqdn> scm.appservice.region>.<fqdn> |
App Service | SSO | sso.appservice.region>.<fqdn> (Sertifikat SSL2) |
appservice.region>.<fqdn> scm.appservice.region>.<fqdn> |
Event Hubs | SSL | *.eventhub.region>.<fqdn> (Sertifikat SSL Kartubebas) |
eventhub.region>.<fqdn> |
SQL, MySQL | SQL dan MySQL | *.dbadapter.region>.<fqdn> (Sertifikat SSL Kartubebas) |
dbadapter.region>.<fqdn> |
1 Memerlukan satu sertifikat dengan beberapa nama alternatif subjek kartubebas. Beberapa LAN kartubebas pada satu sertifikat mungkin tidak didukung oleh semua otoritas sertifikat publik.
2 A *.appservice.wilayah.<fqdn> sertifikat kartubebas tidak dapat digunakan untuk menggantikan ketiga sertifikat ini (api.appservice.<, ftp.appservice.>, and sso.appservice.< Appservice secara eksplisit memerlukan penggunaan sertifikat terpisah untuk titik akhir ini.
Langkah berikutnya
Pelajari cara membuat sertifikat PKI untuk penyebaran Azure Stack Hub.