この記事では、接続キャッシュ上の Windows HTTPS セットアップ フローの詳細について説明します。
前提条件
クライアント接続メソッド
HTTPS サポートを設定する目的で、接続キャッシュ サーバーへの適切な接続方法を確認するには、次の手順を試してください。
配信の最適化ポリシーの構成を確認する
次のコマンドは、配信の最適化ポリシー パスの下にある "DOCacheHost" 値を Windows レジストリに照会します。
Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\DeliveryOptimization" -Name "DOCacheHost" -ErrorAction SilentlyContinue値が出力に 存在 する場合は、クライアントが特定の Microsoft Connected Cache サーバーを使用するように明示的に構成されていることを意味します。
出力に値が 見つからない 場合、クライアントは DHCP オプション 235 を使用して接続キャッシュ サーバーを動的に検出する可能性があります。DOCacheHostSource が構成されていると仮定します。
既存の HTTP 接続の詳細を確認する
次のコマンドは、接続キャッシュ サーバー上のポート 80 への TCP 接続を確認します。
insert-mcc-server-nameをサーバーの完全なコンピューター名に置き換えます。Test-NetConnection -ComputerName [insert-mcc-server-name] -Port 80 -InformationLevel Detailed出力から:
-
RemoteAddressは、接続済みキャッシュ サーバーに対してクライアントが解決した IP アドレスです -
NameResolutionResultsDNS 解決が関係している場合にクライアントで使用されるホスト名を一覧表示します
-
CSR の生成
Scenario-Based パラメーターの例
シナリオベースのパラメーターの例を確認し、それに応じて generateCsr コマンドを編集します。
単一の Office - IP アドレスのみ
シナリオ: 静的 IP アドレスを使用して接続キャッシュに接続するようにクライアントが構成されている小規模ブランチ オフィス (たとえば、DOCacheHost ポリシーを "192.168.1.100" に設定するなど)。 管理はローカル ユーザー アカウントを使用します。
.\generateCsr.ps1 `
-RunTimeAccountName $credential.Username `
-mccLocalAccountCredential $credential `
-algo RSA `
-keySizeOrCurve 2048 `
-csrName "mcc-branch-office" `
-subjectCommonName "192.168.1.100" `
-subjectCountry "US" `
-subjectState "TX" `
-subjectOrg "Contoso Corp" `
-sanIp "192.168.1.100"
エンタープライズ Standard - DNS ホスト名
シナリオ: クライアントが標準化されたホスト名 (mcc-server.contoso.com) を介して接続するエンタープライズ環境。 管理は gMSA アカウントを使用します。
.\generateCsr.ps1 `
-RunTimeAccount "CONTOSO\mcc-gmsa$" `
-algo RSA `
-keySizeOrCurve 4096 `
-csrName "mcc-enterprise-prod" `
-subjectCommonName "mcc-server.contoso.com" `
-subjectCountry "US" `
-subjectState "Washington" `
-subjectOrg "Contoso Corporation" `
-sanDns "mcc-server.contoso.com"
DHCP 検出環境
シナリオ: 接続キャッシュ検出に DHCP オプション 235 を使用する環境。クライアントは、サーバーの実際のホスト名または DHCP によって提供される名前を使用して接続する可能性があります。 管理はローカル ユーザー アカウントを使用します。
.\generateCsr.ps1 `
-RunTimeAccountName $credential.Username `
-mccLocalAccountCredential $credential `
-algo RSA `
-keySizeOrCurve 2048 `
-csrName "mcc-dhcp-discovery" `
-subjectCommonName "cache-server.corporate.local" `
-subjectCountry "US" `
-subjectState "FL" `
-subjectOrg "Corporate IT Services" `
-sanDns "cache-server.corporate.local,mcc-auto.corporate.local,fileserver.corporate.local"
ハイブリッド環境 - 混合クライアント接続
シナリオ: 移行中の混在環境では、一部のレガシ クライアントでは引き続き IP アドレスが使用され、新しいクライアントでは DNS 名が使用されます。 両方の接続方法について説明します。 管理はローカル ユーザー アカウントを使用します。
.\generateCsr.ps1 `
-RunTimeAccountName $credential.Username `
-mccLocalAccountCredential $credential `
-algo RSA `
-keySizeOrCurve 2048 `
-csrName "mcc-hybrid-migration" `
-subjectCommonName "mcc-cache.contoso.com" `
-subjectCountry "US" `
-subjectState "CA" `
-subjectOrg "Contoso Inc" `
-sanDns "mcc-cache.contoso.com,cache.contoso.local" `
-sanIp "10.0.1.50,192.168.100.10"
地域の名前付けによるマルチサイト
シナリオ: 一貫性のある名前付け規則 (mcc-region-site 形式) を使用して、複数の接続済みキャッシュ ノードを持つ大きなorganization。 この例は、Seattle データセンター ノードの場合です。 管理は gMSA アカウントを使用します。
.\generateCsr.ps1 `
-RunTimeAccount "CORP\mcc-production-gmsa$" `
-algo RSA `
-keySizeOrCurve 4096 `
-csrName "mcc-seattle-dc1" `
-subjectCommonName "mcc-sea-dc1.corp.contoso.com" `
-subjectCountry "US" `
-subjectState "Washington" `
-subjectOrg "Contoso Corporation" `
-sanDns "mcc-sea-dc1.corp.contoso.com,mcc-seattle.contoso.com"
負荷分散環境
シナリオ: 複数の接続キャッシュ ノードがロード バランサーの背後に配置される高可用性セットアップ。 クライアントはロード バランサー VIP に接続しますが、証明書はトラブルシューティングのために直接ノード アクセスをサポートする必要があります。 管理は gMSA アカウントを使用します。
.\generateCsr.ps1 `
-RunTimeAccount "ENTERPRISE\mcc-ha-gmsa$" `
-algo RSA `
-keySizeOrCurve 4096 `
-csrName "mcc-node1-ha" `
-subjectCommonName "mcc.enterprise.com" `
-subjectCountry "US" `
-subjectState "NY" `
-subjectOrg "Enterprise Solutions Inc" `
-sanDns "mcc.enterprise.com,mcc-node1.enterprise.com,mcc-cluster.enterprise.local"
開発/テスト環境
シナリオ: 名前付けの要件が緩和された開発環境。 localhost テストとラボ ネットワーク アクセスをサポートします。 管理はローカル ユーザー アカウントを使用します。
.\generateCsr.ps1 `
-RunTimeAccountName $credential.Username `
-mccLocalAccountCredential $credential `
-algo RSA `
-keySizeOrCurve 2048 `
-csrName "mcc-dev-lab" `
-subjectCommonName "localhost" `
-subjectCountry "US" `
-subjectState "Dev" `
-subjectOrg "IT Development" `
-sanDns "localhost,mcc-dev.lab.local,devserver.local" `
-sanIp "127.0.0.1,192.168.10.100,10.10.10.50"
楕円曲線を使用した高セキュリティ
シナリオ: セキュリティに配慮したorganization、パフォーマンスを向上させ、新しいセキュリティ標準に準拠するために最新の ECC 暗号化が必要です。 管理は gMSA アカウントを使用します。
.\generateCsr.ps1 `
-RunTimeAccount "SECURE\mcc-prod-gmsa$" `
-algo EC `
-keySizeOrCurve secp384r1 `
-csrName "mcc-secure-prod" `
-subjectCommonName "mcc-secure.defense.gov" `
-subjectCountry "US" `
-subjectState "VA" `
-subjectOrg "Department of Defense" `
-sanDns "mcc-secure.defense.gov"
Azure VM/ハイブリッド クラウドデプロイ
シナリオ: パブリック接続とプライベート接続の両方を使用Azure VM にデプロイされた接続済みキャッシュ ノード。 オンプレミスのクライアントはプライベート IP/ホスト名を介して接続しますが、クラウドベースのクライアントはAzureパブリック DNS 名を使用できます。 管理はローカル ユーザー アカウントを使用します。
.\generateCsr.ps1 `
-RunTimeAccountName $credential.Username `
-mccLocalAccountCredential $credential `
-algo RSA `
-keySizeOrCurve 2048 `
-csrName "mcc-azure-hybrid" `
-subjectCommonName "mcc-eastus.cloudapp.azure.com" `
-subjectCountry "US" `
-subjectState "WA" `
-subjectOrg "Contoso Corporation" `
-sanDns "mcc-eastus.cloudapp.azure.com,mcc-azure.contoso.local,mcc-vm01.contoso.com" `
-sanIp "10.0.1.10,172.16.0.50"
CSR に署名する
.crt ファイルの種類に変換する
.cerを受け取った場合:PowerShell:
Rename-Item -Path "xxxx.cer" "xxxx.crt"WSL:
openssl x509 -in xxxx.cer -out xxxx.crt
.derを受け取った場合:PowerShell:
certutil -encode "xxxx.der" "xxxx.crt"WSL:
openssl x509 -inform DER -in xxxx.der -out xxxx.crt