Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo fornisce maggiori dettagli per il flusso di installazione di Windows HTTPS nella cache connessa.
Prerequisiti
Metodi di connessione client
Provare quanto segue per determinare il metodo di connessione appropriato al server di Cache connessa, ai fini della configurazione del supporto HTTPS.
Controllare la configurazione dei criteri di ottimizzazione recapito
Il comando seguente esegue una query nel Registro di sistema di Windows per ottenere il valore "DOCacheHost" nel percorso dei criteri ottimizzazione recapito:
Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\DeliveryOptimization" -Name "DOCacheHost" -ErrorAction SilentlyContinueSe il valore è presente nell'output, significa che il client è configurato in modo esplicito per l'uso di un server di Microsoft Connected Cache specifico.
Se il valore non è presente nell'output, il client potrebbe basarsi sull'opzione DHCP 235 per individuare i server della cache connessa in modo dinamico, presupponendo che DOCacheHostSource sia configurato.
Controllare i dettagli della connessione HTTP esistente
Il comando seguente controlla la connettività TCP alla porta 80 nel server Cache connessa. Sostituire
insert-mcc-server-namecon il nome completo del computer del server.Test-NetConnection -ComputerName [insert-mcc-server-name] -Port 80 -InformationLevel DetailedDall'output:
-
RemoteAddressè l'indirizzo IP risolto dal client per il server della cache connessa -
NameResolutionResultselenca il nome host usato dai client se è coinvolta la risoluzione DNS
-
Generare csr
Esempi di parametri Scenario-Based
Esaminare gli esempi di parametri basati su scenari e apportare modifiche al generateCsr comando di conseguenza:
Single Office - Solo indirizzo IP
Scenario: piccola succursale in cui i client sono configurati per la connessione alla cache connessa usando un indirizzo IP statico(ad esempio, tramite il criterio DOCacheHost impostato su "192.168.1.100"). Amministrazione usa l'account utente locale.
.\generateCsr.ps1 `
-mccRunTimeAccount $credential.Username `
-mccLocalAccountCredential $credential `
-algo RSA `
-keySizeOrCurve 2048 `
-csrName "mcc-branch-office" `
-subjectCommonName "192.168.1.100" `
-subjectCountry "US" `
-subjectState "TX" `
-subjectOrg "Contoso Corp" `
-sanIp "192.168.1.100"
Enterprise Standard - Nome host DNS
Scenario: ambiente aziendale in cui i client si connettono tramite nome host standardizzato (mcc-server.contoso.com). Amministrazione usa l'account gMSA.
.\generateCsr.ps1 `
-mccRunTimeAccount "CONTOSO\mcc-gmsa$" `
-algo RSA `
-keySizeOrCurve 4096 `
-csrName "mcc-enterprise-prod" `
-subjectCommonName "mcc-server.contoso.com" `
-subjectCountry "US" `
-subjectState "Washington" `
-subjectOrg "Contoso Corporation" `
-sanDns "mcc-server.contoso.com"
Ambiente di individuazione DHCP
Scenario: ambiente che usa l'opzione DHCP 235 per l'individuazione della cache connessa in cui i client possono connettersi usando il nome host effettivo del server o il nome fornito da DHCP. Amministrazione usa l'account utente locale.
.\generateCsr.ps1 `
-mccRunTimeAccount $credential.Username `
-mccLocalAccountCredential $credential `
-algo RSA `
-keySizeOrCurve 2048 `
-csrName "mcc-dhcp-discovery" `
-subjectCommonName "cache-server.corporate.local" `
-subjectCountry "US" `
-subjectState "FL" `
-subjectOrg "Corporate IT Services" `
-sanDns "cache-server.corporate.local,mcc-auto.corporate.local,fileserver.corporate.local"
Ambiente ibrido - Connessioni client miste
Scenario: ambiente misto durante la migrazione in cui alcuni client legacy usano ancora indirizzi IP mentre i client più recenti usano nomi DNS. Vengono illustrati entrambi i metodi di connessione. Amministrazione usa l'account utente locale.
.\generateCsr.ps1 `
-mccRunTimeAccount $credential.Username `
-mccLocalAccountCredential $credential `
-algo RSA `
-keySizeOrCurve 2048 `
-csrName "mcc-hybrid-migration" `
-subjectCommonName "mcc-cache.contoso.com" `
-subjectCountry "US" `
-subjectState "CA" `
-subjectOrg "Contoso Inc" `
-sanDns "mcc-cache.contoso.com,cache.contoso.local" `
-sanIp "10.0.1.50,192.168.100.10"
Multisito con denominazione a livello di area
Scenario: organizzazione di grandi dimensioni con più nodi della cache connessa che usano una convenzione di denominazione coerente (formato mcc-region-site). Questo esempio è relativo a un nodo del data center di Seattle. Amministrazione usa l'account gMSA.
.\generateCsr.ps1 `
-mccRunTimeAccount "CORP\mcc-production-gmsa$" `
-algo RSA `
-keySizeOrCurve 4096 `
-csrName "mcc-seattle-dc1" `
-subjectCommonName "mcc-sea-dc1.corp.contoso.com" `
-subjectCountry "US" `
-subjectState "Washington" `
-subjectOrg "Contoso Corporation" `
-sanDns "mcc-sea-dc1.corp.contoso.com,mcc-seattle.contoso.com"
Ambiente con bilanciamento del carico
Scenario: configurazione a disponibilità elevata in cui più nodi della cache connessa si trovano dietro un servizio di bilanciamento del carico. I client si connettono all'indirizzo VIP del servizio di bilanciamento del carico, ma il certificato deve supportare l'accesso diretto ai nodi per la risoluzione dei problemi. Amministrazione usa l'account gMSA.
.\generateCsr.ps1 `
-mccRunTimeAccount "ENTERPRISE\mcc-ha-gmsa$" `
-algo RSA `
-keySizeOrCurve 4096 `
-csrName "mcc-node1-ha" `
-subjectCommonName "mcc.enterprise.com" `
-subjectCountry "US" `
-subjectState "NY" `
-subjectOrg "Enterprise Solutions Inc" `
-sanDns "mcc.enterprise.com,mcc-node1.enterprise.com,mcc-cluster.enterprise.local"
Ambiente di sviluppo/test
Scenario: ambiente di sviluppo con requisiti di denominazione meno rigorosi. Supporta i test localhost e l'accesso alla rete lab. Amministrazione usa l'account utente locale.
.\generateCsr.ps1 `
-mccRunTimeAccount $credential.Username `
-mccLocalAccountCredential $credential `
-algo RSA `
-keySizeOrCurve 2048 `
-csrName "mcc-dev-lab" `
-subjectCommonName "localhost" `
-subjectCountry "US" `
-subjectState "Dev" `
-subjectOrg "IT Development" `
-sanDns "localhost,mcc-dev.lab.local,devserver.local" `
-sanIp "127.0.0.1,192.168.10.100,10.10.10.50"
Alta sicurezza con curva ellittica
Scenario: organizzazione attenta alla sicurezza che richiede la crittografia ECC moderna per migliorare le prestazioni e la conformità agli standard di sicurezza più recenti. Amministrazione usa l'account gMSA.
.\generateCsr.ps1 `
-mccRunTimeAccount "SECURE\mcc-prod-gmsa$" `
-algo EC `
-keySizeOrCurve secp384r1 `
-csrName "mcc-secure-prod" `
-subjectCommonName "mcc-secure.defense.gov" `
-subjectCountry "US" `
-subjectState "VA" `
-subjectOrg "Department of Defense" `
-sanDns "mcc-secure.defense.gov"
Azure VM/distribuzione cloud ibrido
Scenario: nodo cache connessa distribuito in Azure macchina virtuale con connettività pubblica e privata. I client locali si connettono tramite IP privato/nome host, mentre i client basati sul cloud possono usare il nome DNS pubblico Azure. Amministrazione usa l'account utente locale.
.\generateCsr.ps1 `
-mccRunTimeAccount $credential.Username `
-mccLocalAccountCredential $credential `
-algo RSA `
-keySizeOrCurve 2048 `
-csrName "mcc-azure-hybrid" `
-subjectCommonName "mcc-eastus.cloudapp.azure.com" `
-subjectCountry "US" `
-subjectState "WA" `
-subjectOrg "Contoso Corporation" `
-sanDns "mcc-eastus.cloudapp.azure.com,mcc-azure.contoso.local,mcc-vm01.contoso.com" `
-sanIp "10.0.1.10,172.16.0.50"
Firma csr
Converti in tipo di file con estensione crt
Se si riceve
.cer:PowerShell:
Rename-Item -Path "xxxx.cer" "xxxx.crt"WSL:
openssl x509 -in xxxx.cer -out xxxx.crt
Se si riceve
.der:PowerShell:
certutil -encode "xxxx.der" "xxxx.crt"WSL:
openssl x509 -inform DER -in xxxx.der -out xxxx.crt