Condividi tramite

Certificato di autenticazione del server cmg

  • Articolo

Si applica a: Configuration Manager (Current Branch)

Il primo passaggio quando si configura un gateway di gestione cloud consiste nel ottenere il certificato di autenticazione del server. Il cmg crea un servizio HTTPS a cui si connettono i client basati su Internet. Il server richiede un certificato di autenticazione del server per compilare il canale sicuro. È possibile acquisire un certificato a questo scopo da un provider pubblico o rilasciarlo dall'infrastruttura a chiave pubblica (PKI).

Quando si crea il cmg nella console di Configuration Manager, si specifica questo certificato. Il nome comune (CN) di questo certificato definisce il nome del servizio del cmg.

Nota

Potrebbero essere necessari certificati aggiuntivi per client e punti di gestione. Questi certificati sono descritti nel terzo passaggio del processo di installazione di CMG, Configurare l'autenticazione client.

Promemoria di una terminologia cmg usata in questo articolo:

  • Nome servizio: nome comune (CN) del certificato di autenticazione del server CMG. I client e il ruolo del sistema del sito del punto di connessione cmg comunicano con questo nome di servizio. Ad esempio, GraniteFalls.contoso.com o GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Nome distribuzione: la prima parte del nome del servizio più la posizione di Azure per la distribuzione del servizio cloud. Il componente di Gestione servizi cloud del punto di connessione del servizio usa questo nome quando distribuisce il cmg in Azure. Il nome della distribuzione è sempre in un dominio di Azure. La posizione di Azure dipende dal metodo di distribuzione, ad esempio:

    • Set di scalabilità di macchine virtuali: GraniteFalls.WestUS.CloudApp.Azure.Com
    • Distribuzione classica: GraniteFalls.CloudApp.Net

    Importante

    Questo articolo usa esempi con un set di scalabilità di macchine virtuali come metodo di distribuzione consigliato nella versione 2107 e successive. Se si usa una distribuzione classica, tenere presente la differenza durante la lettura di questo articolo e preparare il certificato di autenticazione server.

Scegliere il tipo di certificato

Prima di tutto, decidere dove si vuole ottenere il certificato. Ci sono diversi fattori da considerare.

I client devono considerare attendibile il certificato di autenticazione del server CMG per stabilire il canale HTTPS con il servizio CMG. Esistono due metodi per eseguire questa relazione di trust:

  1. Usare un certificato da un provider di certificati pubblico e attendibile a livello globale.

    • I client Windows includono autorità di certificazione radice attendibili da questi provider. Usando un certificato emesso da uno di questi provider, i client lo considerano automaticamente attendibile.

    • A questo certificato è associato un costo specifico per il provider.

  2. Usare un certificato emesso da una CA aziendale dall'infrastruttura a chiave pubblica (PKI).

    • La maggior parte delle implementazioni PKI aziendali aggiunge le CA radice attendibili ai client Windows. Ad esempio, se si usa Servizi certificati Active Directory con Criteri di gruppo. Se si rilascia il certificato di autenticazione del server CMG da una CA che i client non considerano attendibile automaticamente, aggiungere il certificato radice attendibile della CA ai client basati su Internet.

      Se si prevede di installare il client di Configuration Manager da Intune, è anche possibile usare i profili certificato di Intune per effettuare il provisioning dei certificati nei client. Per altre informazioni, vedere Configurare un profilo certificato.

    • L'organizzazione può avere un costo interno per l'emissione di certificati, ma in genere non sono previsti costi esterni associati a questo certificato.

Importante

Prima di ottenere questo certificato, assicurarsi che il nome del servizio sia univoco a livello globale per il servizio cloud e l'account di archiviazione. Assicurarsi inoltre che il nome usi caratteri supportati. Per altre informazioni, vedere Nome univoco globale.

Confronto riepilogativo dei tipi di certificato

Provider pubblico Infrastruttura a chiave pubblica dell'organizzazione
Attendibilità client Attendibile in Windows per impostazione predefinita Automatico con alcune implementazioni, altrimenti è necessario distribuire
Costo Non tipico
Esempio di nome del servizio GraniteFalls.contoso.com GraniteFalls.contoso.com o GraniteFalls.WestUS.CloudApp.Azure.Com
DNS CNAME obbligatorio No per il nome del servizio di dominio di Azure (GraniteFalls.WestUS.CloudApp.Azure.Com)

Nota

Il certificato di autenticazione del server CMG supporta i caratteri jolly. Alcune autorità di certificazione rilasciano certificati usando un carattere jolly per il prefisso del nome del servizio. Ad esempio, *.contoso.com. Alcune organizzazioni usano certificati con caratteri jolly per semplificare l'infrastruttura a chiave pubblica e ridurre i costi di manutenzione.

Per altre informazioni su come usare un certificato con caratteri jolly con un cmg, vedere Configurare un cmg.

Nome univoco globale

Questo certificato richiede un nome univoco globale per identificare il servizio in Azure. Prima di richiedere un certificato, verificare che il nome della distribuzione di Azure desiderato sia univoco. Ad esempio, GraniteFalls.WestUS.CloudApp.Azure.Com.

Set di scalabilità di macchine virtuali

  1. Accedere al portale di Azure.

  2. Nella home page del portale di Azure selezionare Crea una risorsa in Servizi di Azure.

  3. Cercare Set di scalabilità di macchine virtuali. Selezionare Crea.

  4. Selezionare la sottoscrizione e il gruppo di risorse che verranno usati per cmg.

  5. Nel campo Nome set di scalabilità macchina virtuale digitare il prefisso desiderato. Ad esempio, GraniteFalls.

  6. Selezionare l'area che verrà usata per cmg. Ad esempio, (Stati Uniti) Stati Uniti occidentali.

L'interfaccia indica se il nome di dominio è disponibile o già in uso da un altro servizio.

Importante

Non creare il servizio nel portale, è sufficiente usare questo processo per controllare la disponibilità dei nomi.

Ripetere questo processo per la risorsa Key Vault . La distribuzione del set di scalabilità di macchine virtuali crea un insieme di credenziali delle chiavi con lo stesso nome, che deve essere univoco a livello globale.

Account di archiviazione CMG abilitato per il contenuto

Se si abilita anche cmg per il contenuto, verificare che sia anche un nome univoco dell'account di archiviazione di Azure. Se il nome della distribuzione cmg è univoco, ma l'account di archiviazione non lo è, Configuration Manager non esegue il provisioning del servizio in Azure. Ripetere il processo precedente nel portale di Azure con le modifiche seguenti:

  • Cercare Account di archiviazione.

  • Testare il nome nel campo Nome account di archiviazione .

Importante

Il prefisso del nome DNS deve avere una lunghezza da 3 a 24 caratteri e contenere solo numeri e lettere minuscole. Non usare caratteri speciali, ad esempio un trattino (-). Ad esempio: granitefalls.

Rilasciare il certificato

Il certificato di autenticazione del server CMG supporta le configurazioni seguenti:

  • Lunghezza chiave a 2048 bit o a 4096 bit

  • Questo certificato supporta i provider di archiviazione delle chiavi per le chiavi private del certificato (v3). Per altre informazioni, vedere Panoramica dei certificati CNG v3.

Usare un certificato del provider pubblico

Un provider di certificati di terze parti non può creare un certificato per un dominio di Azure come cloudapp.azure.com, perché Microsoft è proprietario di tali domini. È possibile ottenere un certificato emesso solo per un dominio di cui si è proprietari. Il motivo principale per l'acquisizione di un certificato da un provider di terze parti è che i client considerano già attendibile il certificato radice del provider.

Il processo specifico per ottenere questo certificato varia in base al provider. Per altre informazioni, contattare il provider di certificati di terze parti.

Per il nome comune del certificato del server Web (CN):

  • Si è verificato che il nome della distribuzione sia univoco a livello globale in Azure per il servizio cloud e l'account di archiviazione. Ad esempio, GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Per determinare il nome del servizio, aggiungere il prefisso del nome di distribuzione (GraniteFalls) al nome di dominio dell'organizzazione ().contoso.com

  • Usare questo nome di servizio per il nome comune del certificato (CN). Ad esempio, GraniteFalls.contoso.com.

Successivamente, è necessario creare un alias CNAME DNS.

Usare un certificato PKI aziendale

L'emissione di un certificato del server Web dall'infrastruttura a chiave pubblica dell'organizzazione varia in base al prodotto. Le istruzioni per la distribuzione del certificato di servizio per i punti di distribuzione basati sul cloud sono relative a Servizi certificati Active Directory. Questo processo si applica in genere al certificato di autenticazione del server CMG.

Per il nome comune del certificato del server Web (CN):

  • Si è verificato che il nome della distribuzione sia univoco a livello globale in Azure per il servizio cloud e l'account di archiviazione. Ad esempio, GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Per determinare il nome del servizio, sono disponibili due opzioni:

    • Usare il nome di dominio (consigliato). Aggiungere il prefisso del nome di distribuzione (GraniteFalls) al nome di dominio dell'organizzazione (contoso.com). Ad esempio, GraniteFalls.contoso.com. Per questa opzione, è anche necessario creare un alias CNAME DNS.

    • Usare il nome della distribuzione di Azure. Questa opzione non richiede un alias CNAME DNS. Ad esempio:

      • Per il cloud pubblico di Azure: GraniteFalls.WestUS.CloudApp.Azure.Com.

      • Per il cloud di Azure US Government: GraniteFalls.usgovcloudapp.net.

      Nota

      Se il nome della distribuzione di Azure cambia, sarà necessario ridistribuire il servizio per modificare il nome del servizio. Ad esempio, se il nome del cloudapp.net servizio si trova nel dominio, non è possibile convertire il cmg del servizio cloud classico in un set di scalabilità di macchine virtuali. Se si usa il nome di dominio per il nome del servizio CMG, è possibile aggiornare dns CNAME per il nuovo nome di distribuzione.

  • Usare questo nome di servizio per il nome comune del certificato (CN).

Creare un alias CNAME DNS

Se il nome del servizio CMG usa il nome di dominio dell'organizzazione (GraniteFalls.contoso.com), è necessario creare un record di nome canonico DNS (CNAME). Questo alias esegue il mapping del nome del servizio al nome della distribuzione.

Creare un record CNAME nel DNS pubblico dell'organizzazione. Il servizio CMG in Azure e tutti i client che lo usano devono risolvere il nome del servizio. Ad esempio:

  • Contoso denomina il proprio CMG GraniteFalls.

  • Il nome della distribuzione in Azure è GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Nello spazio dei nomi DNS contoso.com pubblico di Contoso, l'amministratore DNS crea un nuovo record CNAME per il nome del servizio nel nome GraniteFalls.contoso.com della distribuzione di Azure, GraniteFalls.WestUS.CloudApp.Azure.Com.

Quando si crea il cmg, mentre il certificato ha GraniteFalls.contoso.com come CN, Configuration Manager estrae solo il prefisso del nome del servizio, ad esempio GraniteFalls. Aggiunge questo prefisso al dominio del servizio di Azure (cloudapp.azure.com) con l'area (westus) per creare il nome della distribuzione. Ad esempio, GraniteFalls.WestUS.CloudApp.Azure.Com. L'alias CNAME nello spazio dei nomi DNS per il dominio (contoso.com) esegue il mapping di questi due FQDN.

I criteri client di Configuration Manager includono il nome del servizio CMG, GraniteFalls.contoso.com. Il client risolve il nome del servizio tramite l'alias CNAME nel nome della distribuzione, GraniteFalls.WestUS.CloudApp.Azure.Com. Può quindi risolvere l'indirizzo IP del nome della distribuzione per comunicare con il servizio in Azure.

Passaggi successivi

Continuare la configurazione di CMG configurando l'ID Microsoft Entra:

Configurare l'ID Microsoft Entra