Requisiti dei certificati di infrastruttura a chiave pubblica (PKI) dell'hub di Azure Stack

hub di Azure Stack ha una rete di infrastruttura pubblica che usa indirizzi IP pubblici accessibili esternamente assegnati a un piccolo set di servizi hub di Azure Stack ed eventualmente macchine virtuali tenant. I certificati PKI con i nomi DNS appropriati per questi hub di Azure Stack endpoint dell'infrastruttura pubblica sono necessari durante hub di Azure Stack distribuzione. Questo articolo fornisce informazioni su:

  • Requisiti dei certificati per hub di Azure Stack.
  • Certificati obbligatori necessari per hub di Azure Stack distribuzione.
  • Certificati facoltativi necessari per la distribuzione di provider di risorse a valore aggiunto.

Nota

hub di Azure Stack per impostazione predefinita usa anche i certificati rilasciati da un'autorità di certificazione (CA) integrata in Active Directory interna per l'autenticazione tra i nodi. Per convalidare il certificato, tutti i hub di Azure Stack dell'infrastruttura locale considera attendibile il certificato radice della CA interna mediante l'aggiunta di tale certificato all'archivio certificati locale. Non è possibile aggiungere o filtrare i certificati in hub di Azure Stack. La san di ogni certificato del server viene convalidata in base al nome di dominio completo della destinazione. Viene anche convalidata l'intera catena di certificati, insieme alla data di scadenza del certificato (autenticazione server TLS standard senza blocco del certificato).

Requisiti per i certificati

L'elenco seguente descrive i requisiti generali di rilascio, sicurezza e formattazione dei certificati:

  • I certificati devono essere rilasciati da un'autorità di certificazione interna o da un'autorità di certificazione pubblica. Se viene usata un'autorità di certificazione pubblica, deve essere inclusa nell'immagine del sistema operativo di base come parte del programma Microsoft Trusted Root Authority. Per l'elenco completo, vedere Elenco dei partecipanti - Microsoft Trusted Root Program.
  • L hub di Azure Stack in infrastructure deve avere accesso alla rete al percorso dell'elenco di revoche di certificati (CRL) dell'autorità di certificazione pubblicato nel certificato. Questo CRL deve essere un endpoint HTTP. Nota: per le distribuzioni disconnesse, i certificati emessi da un'autorità di certificazione (CA) pubblica non sono supportati, se l'endpoint CRL non è accessibile. Per altri dettagli, vedere Funzionalità con problemi o non disponibili nelle distribuzioni disconnesse.
  • Quando si ruotano i certificati nelle build precedenti alla 1903, i certificati devono essere rilasciati dalla stessa autorità di certificazione interna usata per firmare i certificati forniti durante la distribuzione o da qualsiasi autorità di certificazione pubblica precedente.
  • Quando si ruotano i certificati per le build 1903 e successive, i certificati possono essere rilasciati da qualsiasi autorità di certificazione aziendale o pubblica.
  • L'uso di certificati autofirmati non è supportato.
  • Per la distribuzione e la rotazione, è possibile usare un singolo certificato che copre tutti gli spazi dei nomi nel nome soggetto e nel nome alternativo del soggetto (SAN) del certificato. In alternativa, è possibile usare singoli certificati per ognuno degli spazi dei nomi seguenti, hub di Azure Stack i servizi che si prevede di usare. Entrambi gli approcci richiedono l'uso di caratteri jolly per gli endpoint in cui sono necessari, ad esempio KeyVault e KeyVaultInternal.
  • L'algoritmo di firma del certificato non deve essere SHA1.
  • Il formato del certificato deve essere PFX, perché le chiavi pubbliche e private sono necessarie per l hub di Azure Stack installazione. Per la chiave privata deve essere impostato l'attributo della chiave del computer locale.
  • La crittografia PFX deve essere 3DES (questa crittografia è l'impostazione predefinita quando si esegue l'esportazione da un client Windows 10 o da un Windows Server 2016 di certificati).
  • I file PFX del certificato devono avere un valore "Firma digitale" e "KeyEncipherment" nel campo "Utilizzo chiavi".
  • I file PFX del certificato devono avere i valori "Autenticazione server (1.3.6.1.5.5.7.3.1)" e "Autenticazione client (1.3.6.1.5.5.7.3.2)" nel campo "Utilizzo chiavi avanzato".
  • Il campo "Rilasciato a" del certificato non deve corrispondere al campo "Rilasciato da".
  • Le password per tutti i file PFX del certificato devono essere le stesse al momento della distribuzione.
  • La password per il certificato pfx deve essere una password complessa. Prendere nota di questa password perché verrà utilizzata come parametro di distribuzione. La password deve soddisfare i requisiti di complessità delle password seguenti:
    • Lunghezza minima di otto caratteri.
    • Almeno tre dei caratteri seguenti: lettera maiuscola, lettera minuscola, numeri da 0 a 9, caratteri speciali, carattere alfabetico non maiuscolo o minuscolo.
  • Verificare che i nomi del soggetto e i nomi alternativi del soggetto nell'estensione del nome alternativo del soggetto (x509v3_config) corrispondano. Il campo nome alternativo del soggetto consente di specificare nomi host aggiuntivi (siti Web, indirizzi IP, nomi comuni) da proteggere con un singolo certificato SSL.

Nota

I certificati autofirmati non sono supportati.
Quando si distribuiscono hub di Azure Stack in modalità disconnessa, è consigliabile usare i certificati rilasciati da un'autorità di certificazione globale (enterprise). Questo è importante perché i client che accedono hub di Azure Stack endpoint devono essere in grado di contattare l'elenco di revoche di certificati (CRL).

Nota

È supportata la presenza di autorità di certificazione intermedie nella catena di certificati.

Certificati obbligatori

La tabella in questa sezione descrive i hub di Azure Stack PKI dell'endpoint pubblico necessari per le distribuzioni Azure AD e AD FS hub di Azure Stack distribuzione. I requisiti dei certificati sono raggruppati per area e gli spazi dei nomi usati e i certificati necessari per ogni spazio dei nomi. La tabella descrive anche la cartella in cui il provider di soluzioni copia i diversi certificati per ogni endpoint pubblico.

Sono necessari certificati con i nomi DNS appropriati per hub di Azure Stack endpoint dell'infrastruttura pubblica. Il nome DNS di ogni endpoint è espresso nel formato prefisso>: .< area> geografica.< fqdn>.

Per la distribuzione, i valori di area>> devono corrispondere all'area e ai nomi di dominio esterni scelti per il sistema hub di Azure Stack locale. Ad esempio, se l'area è Redmond e il nome di dominio esterno è contoso.com, i nomi DNS avranno il formato prefix.redmond.contoso.com. I valori> del prefisso sono pre-descritti da Microsoft per descrivere l'endpoint protetto dal certificato. Inoltre, i valori di prefisso> degli endpoint dell'infrastruttura esterna dipendono hub di Azure Stack servizio che usa l'endpoint specifico.

Per gli ambienti di produzione, è consigliabile generare singoli certificati per ogni endpoint e copiarlo nella directory corrispondente. Per gli ambienti di sviluppo, i certificati possono essere forniti come un singolo certificato con caratteri jolly che copre tutti gli spazi dei nomi nei campi Soggetto e Nome alternativo soggetto (SAN) copiati in tutte le directory. Un singolo certificato che copre tutti gli endpoint e tutti i servizi è un comportamento non sicuro e quindi solo per lo sviluppo. Tenere presente che entrambe le opzioni richiedono l'uso di certificati con caratteri jolly per endpoint come acs e Key Vault dove sono necessari.

Nota

Durante la distribuzione, è necessario copiare i certificati nella cartella di distribuzione corrispondente al provider di identità in cui si esegue la distribuzione (Azure AD o AD FS). Se si usa un singolo certificato per tutti gli endpoint, è necessario copiare il file di certificato in ogni cartella di distribuzione, come descritto nelle tabelle seguenti. La struttura di cartelle è predefinita nella macchina virtuale di distribuzione ed è disponibile in: C:\CloudDeployment\Setup\Certificates.

Cartella di distribuzione Soggetto del certificato obbligatorio e nomi alternativi del soggetto (SAN) Ambito (per area) Spazio dei nomi del sottodominio
Portale pubblico Portale.< area> geografica.< Fqdn> Portali <area> geografica.< Fqdn>
Portale di amministrazione adminportal.< area> geografica.< Fqdn> Portali <area> geografica.< Fqdn>
Azure Resource Manager Pubblico Gestione.< area> geografica.< Fqdn> Azure Resource Manager <area> geografica.< Fqdn>
Azure Resource Manager amministratore adminmanagement.< area> geografica.< Fqdn> Azure Resource Manager <area> geografica.< Fqdn>
ACSBlob *.blob.< area> geografica.< Fqdn>
(Certificato SSL con caratteri jolly)
Archiviazione BLOB Blob.< area> geografica.< Fqdn>
ACSTable *.table.< area> geografica.< Fqdn>
(Certificato SSL con caratteri jolly)
Archiviazione tabelle tavolo.< area> geografica.< Fqdn>
ACSQueue *.queue.< area>.< Fqdn>
(Certificato SSL con caratteri jolly)
Archiviazione code Coda.< area>.< Fqdn>
Insieme di credenziali delle chiavi *.vault.< area>.< Fqdn>
(Certificato SSL con caratteri jolly)
Key Vault volta.< area>.< Fqdn>
KeyVaultInternal *.adminvault.< area>.< Fqdn>
(Certificato SSL con caratteri jolly)
Keyvault interno adminvault.< area>.< Fqdn>
Host dell'estensione amministratore *.adminhosting.< area>.< fqdn> (certificati SSL con caratteri jolly) Host dell'estensione amministratore adminhosting.< area>.< Fqdn>
Host di estensione pubblico *.hosting.< area>.< fqdn> (certificati SSL con caratteri jolly) Host di estensione pubblico ospitare.< area>.< Fqdn>

Se si distribuiscono hub di Azure Stack usando la Azure AD di distribuzione, è necessario richiedere solo i certificati elencati nella tabella precedente. Tuttavia, se si distribuiscono hub di Azure Stack usando la modalità AD FS distribuzione, è necessario richiedere anche i certificati descritti nella tabella seguente:

Cartella di distribuzione Soggetto del certificato richiesto e nomi alternativi del soggetto (SAN) Ambito (per area) Spazio dei nomi del sottodominio
AD FS Adfs. area>.< Fqdn>
(Certificato SSL)
AD FS area>.< Fqdn>
Grafico Grafico. area>.< Fqdn>
(Certificato SSL)
Grafico area>.< Fqdn>

Importante

Tutti i certificati elencati in questa sezione devono avere la stessa password.

Certificati PaaS facoltativi

Se si prevede di distribuire servizi PaaS hub di Azure Stack (ad esempio SQL, MySQL, Servizio app o Hub eventi) dopo che hub di Azure Stack è stato distribuito e configurato, è necessario richiedere certificati aggiuntivi per coprire gli endpoint dei servizi PaaS.

Importante

I certificati usati per i provider di risorse devono avere la stessa autorità radice di quelle usate per gli endpoint hub di Azure Stack globali.

Nella tabella seguente vengono descritti gli endpoint e i certificati necessari per i provider di risorse. Non è necessario copiare questi certificati nella cartella hub di Azure Stack di distribuzione. Questi certificati vengono invece forniti durante l'installazione del provider di risorse.

Ambito (per area) Certificato Soggetto del certificato obbligatorio e nomi alternativi del soggetto (SAN) Spazio dei nomi del sottodominio
Servizio app Certificato SSL predefinito del traffico Web *.appservice. area>.< Fqdn>
*.scm.appservice. area>.< Fqdn>
*.sso.appservice. area>.< Fqdn>
(Certificato SSL con caratteri jolly multi dominio1)
appservice. area>.< Fqdn>
scm.appservice. area>.< Fqdn>
Servizio app API api.appservice. area>.< Fqdn>
(Certificato SSL2)
appservice. area>.< Fqdn>
scm.appservice. area>.< Fqdn>
Servizio app FTP ftp.appservice. area>.< Fqdn>
(Certificato SSL2)
appservice. area>.< Fqdn>
scm.appservice. area>.< Fqdn>
Servizio app SSO sso.appservice. area>.< Fqdn>
(Certificato SSL2)
appservice. area>.< Fqdn>
scm.appservice. area>.< Fqdn>
Hub eventi SSL *.eventhub. area>.< Fqdn>
(Certificato SSL con caratteri jolly)
eventhub. area>.< Fqdn>
SQL, MySQL SQL e MySQL *.dbadapter. area>.< Fqdn>
(Certificato SSL con caratteri jolly)
dbadapter. area>.< Fqdn>

1 Richiede un certificato con più nomi alternativi del soggetto con caratteri jolly. È possibile che più sanità sanità con caratteri jolly in un singolo certificato non siano supportate da tutte le autorità di certificazione pubbliche.

2 *.appservice. area.< Il certificato> con caratteri jolly fqdn non può essere usato al posto di questi tre certificati (api.appservice.<, ftp.appservice. > e sso.appservice. <. Appservice richiede in modo esplicito l'uso di certificati separati per questi endpoint.

Passaggi successivi

Informazioni su come generare certificati PKI per la hub di Azure Stack distribuzione.