이 문서에서는 연결된 캐시의 Windows HTTPS 설정 흐름에 대해 자세히 설명합니다.
필수 구성 요소
클라이언트 연결 방법
HTTPS 지원을 설정하기 위해 다음을 시도하여 연결된 캐시 서버에 대한 적절한 연결 방법을 확인합니다.
배달 최적화 정책 구성 확인
다음 명령은 배달 최적화 정책 경로 아래의 "DOCacheHost" 값에 대해 Windows 레지스트리를 쿼리합니다.
Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\DeliveryOptimization" -Name "DOCacheHost" -ErrorAction SilentlyContinue값이 출력에 있는 경우 클라이언트가 특정 Microsoft Connected Cache 서버를 사용하도록 명시적으로 구성됨을 의미합니다.
출력에 값이 누락된 경우 클라이언트는 DHCP 옵션 235를 사용하여 DOCacheHostSource가 구성되었다고 가정하여 연결된 캐시 서버를 동적으로 검색할 수 있습니다.
기존 HTTP 연결에 대한 세부 정보 확인
다음 명령은 연결된 캐시 서버의 포트 80에 대한 TCP 연결을 확인합니다. 을 서버의 전체 컴퓨터 이름으로 바꿉 있습니다
insert-mcc-server-name.Test-NetConnection -ComputerName [insert-mcc-server-name] -Port 80 -InformationLevel Detailed출력에서:
-
RemoteAddress는 클라이언트가 연결된 캐시 서버에 대해 확인된 IP 주소입니다. -
NameResolutionResultsDNS 확인이 관련된 경우 클라이언트에서 사용하는 호스트 이름을 나열합니다.
-
CSR 생성
Scenario-Based 매개 변수 예제
시나리오 기반 매개 변수 예제를 검토하고 그에 따라 명령을 편집 generateCsr 합니다.
단일 Office - IP 주소만
시나리오: 클라이언트가 고정 IP 주소를 사용하여 연결된 캐시에 연결하도록 구성된 소규모 지점(예: DOCacheHost 정책을 통해 "192.168.1.100"). 관리 로컬 사용자 계정을 사용합니다.
.\generateCsr.ps1 `
-RunTimeAccountName $credential.Username `
-mccLocalAccountCredential $credential `
-algo RSA `
-keySizeOrCurve 2048 `
-csrName "mcc-branch-office" `
-subjectCommonName "192.168.1.100" `
-subjectCountry "US" `
-subjectState "TX" `
-subjectOrg "Contoso Corp" `
-sanIp "192.168.1.100"
엔터프라이즈 Standard - DNS 호스트 이름
시나리오: 클라이언트가 표준화된 호스트 이름(mcc-server.contoso.com)을 통해 연결하는 엔터프라이즈 환경입니다. 관리 gMSA 계정을 사용합니다.
.\generateCsr.ps1 `
-RunTimeAccount "CONTOSO\mcc-gmsa$" `
-algo RSA `
-keySizeOrCurve 4096 `
-csrName "mcc-enterprise-prod" `
-subjectCommonName "mcc-server.contoso.com" `
-subjectCountry "US" `
-subjectState "Washington" `
-subjectOrg "Contoso Corporation" `
-sanDns "mcc-server.contoso.com"
DHCP 검색 환경
시나리오: 클라이언트가 서버의 실제 호스트 이름 또는 DHCP 제공 이름을 사용하여 연결할 수 있는 연결된 캐시 검색에 DHCP 옵션 235를 사용하는 환경입니다. 관리 로컬 사용자 계정을 사용합니다.
.\generateCsr.ps1 `
-RunTimeAccountName $credential.Username `
-mccLocalAccountCredential $credential `
-algo RSA `
-keySizeOrCurve 2048 `
-csrName "mcc-dhcp-discovery" `
-subjectCommonName "cache-server.corporate.local" `
-subjectCountry "US" `
-subjectState "FL" `
-subjectOrg "Corporate IT Services" `
-sanDns "cache-server.corporate.local,mcc-auto.corporate.local,fileserver.corporate.local"
하이브리드 환경 - 혼합 클라이언트 연결
시나리오: 마이그레이션 중에 일부 레거시 클라이언트가 여전히 IP 주소를 사용하는 반면 최신 클라이언트는 DNS 이름을 사용하는 혼합 환경입니다. 두 연결 방법을 모두 다룹니다. 관리 로컬 사용자 계정을 사용합니다.
.\generateCsr.ps1 `
-RunTimeAccountName $credential.Username `
-mccLocalAccountCredential $credential `
-algo RSA `
-keySizeOrCurve 2048 `
-csrName "mcc-hybrid-migration" `
-subjectCommonName "mcc-cache.contoso.com" `
-subjectCountry "US" `
-subjectState "CA" `
-subjectOrg "Contoso Inc" `
-sanDns "mcc-cache.contoso.com,cache.contoso.local" `
-sanIp "10.0.1.50,192.168.100.10"
지역 이름을 가진 다중 사이트
시나리오: 일관된 명명 규칙(mcc-region-site 형식)을 사용하여 여러 연결된 캐시 노드가 있는 대규모 organization. 이 예제는 시애틀 데이터 센터 노드에 대한 것입니다. 관리 gMSA 계정을 사용합니다.
.\generateCsr.ps1 `
-RunTimeAccount "CORP\mcc-production-gmsa$" `
-algo RSA `
-keySizeOrCurve 4096 `
-csrName "mcc-seattle-dc1" `
-subjectCommonName "mcc-sea-dc1.corp.contoso.com" `
-subjectCountry "US" `
-subjectState "Washington" `
-subjectOrg "Contoso Corporation" `
-sanDns "mcc-sea-dc1.corp.contoso.com,mcc-seattle.contoso.com"
부하 분산된 환경
시나리오: 여러 연결된 캐시 노드가 부하 분산 장치 뒤에 있는 고가용성 설정입니다. 클라이언트는 부하 분산 장치 VIP에 연결하지만 인증서는 문제 해결을 위해 직접 노드 액세스를 지원해야 합니다. 관리 gMSA 계정을 사용합니다.
.\generateCsr.ps1 `
-RunTimeAccount "ENTERPRISE\mcc-ha-gmsa$" `
-algo RSA `
-keySizeOrCurve 4096 `
-csrName "mcc-node1-ha" `
-subjectCommonName "mcc.enterprise.com" `
-subjectCountry "US" `
-subjectState "NY" `
-subjectOrg "Enterprise Solutions Inc" `
-sanDns "mcc.enterprise.com,mcc-node1.enterprise.com,mcc-cluster.enterprise.local"
개발/테스트 환경
시나리오: 명명 요구 사항이 완화된 개발 환경입니다. localhost 테스트 및 랩 네트워크 액세스를 지원합니다. 관리 로컬 사용자 계정을 사용합니다.
.\generateCsr.ps1 `
-RunTimeAccountName $credential.Username `
-mccLocalAccountCredential $credential `
-algo RSA `
-keySizeOrCurve 2048 `
-csrName "mcc-dev-lab" `
-subjectCommonName "localhost" `
-subjectCountry "US" `
-subjectState "Dev" `
-subjectOrg "IT Development" `
-sanDns "localhost,mcc-dev.lab.local,devserver.local" `
-sanIp "127.0.0.1,192.168.10.100,10.10.10.50"
타원 곡선을 사용한 높은 보안
시나리오: 보안에 민감한 organization 최신 보안 표준을 준수하고 성능 향상을 위해 최신 ECC 암호화를 요구합니다. 관리 gMSA 계정을 사용합니다.
.\generateCsr.ps1 `
-RunTimeAccount "SECURE\mcc-prod-gmsa$" `
-algo EC `
-keySizeOrCurve secp384r1 `
-csrName "mcc-secure-prod" `
-subjectCommonName "mcc-secure.defense.gov" `
-subjectCountry "US" `
-subjectState "VA" `
-subjectOrg "Department of Defense" `
-sanDns "mcc-secure.defense.gov"
VM/하이브리드 클라우드 배포 Azure
시나리오: 퍼블릭 및 프라이빗 연결이 모두 있는 Azure VM에 배포된 연결된 캐시 노드입니다. 온-프레미스의 클라이언트는 프라이빗 IP/호스트 이름을 통해 연결하지만 클라우드 기반 클라이언트는 Azure 공용 DNS 이름을 사용할 수 있습니다. 관리 로컬 사용자 계정을 사용합니다.
.\generateCsr.ps1 `
-RunTimeAccountName $credential.Username `
-mccLocalAccountCredential $credential `
-algo RSA `
-keySizeOrCurve 2048 `
-csrName "mcc-azure-hybrid" `
-subjectCommonName "mcc-eastus.cloudapp.azure.com" `
-subjectCountry "US" `
-subjectState "WA" `
-subjectOrg "Contoso Corporation" `
-sanDns "mcc-eastus.cloudapp.azure.com,mcc-azure.contoso.local,mcc-vm01.contoso.com" `
-sanIp "10.0.1.10,172.16.0.50"
서명 CSR
.crt 파일 형식으로 변환
수신
.cer하는 경우:PowerShell:
Rename-Item -Path "xxxx.cer" "xxxx.crt"WSL:
openssl x509 -in xxxx.cer -out xxxx.crt
수신
.der하는 경우:PowerShell:
certutil -encode "xxxx.der" "xxxx.crt"WSL:
openssl x509 -inform DER -in xxxx.der -out xxxx.crt