Certificaten vernieuwen voor netwerkcontroller

Van toepassing op: Azure Stack HCI, versies 23H2 en 22H2; Windows Server 2022 en Windows Server 2019

Dit artikel bevat instructies voor het vernieuwen of wijzigen van netwerkcontrollercertificaten, zowel automatisch als handmatig. Als u problemen ondervindt bij het vernieuwen van uw netwerkcontrollercertificaten, neemt u contact op met Microsoft Ondersteuning.

In uw SDN-infrastructuur (Software Defined Networking) gebruikt de netwerkcontroller verificatie op basis van certificaten om Northbound-communicatiekanalen te beveiligen met beheerclients en southbound-communicatie met netwerkapparaten, zoals de Software Load Balancer. De netwerkcontrollercertificaten worden geleverd met een geldigheidsperiode, waarna ze ongeldig worden en niet meer kunnen worden vertrouwd voor gebruik. We raden u ten zeerste aan deze te verlengen voordat ze verlopen.

Zie Wat is netwerkcontroller? voor een overzicht van netwerkcontroller.

Wanneer moet u netwerkcontrollercertificaten vernieuwen of wijzigen

U kunt certificaten voor netwerkcontrollers vernieuwen of wijzigen in de volgende gevallen:

• De certificaten naderen de vervaldatum. U kunt inderdaad netwerkcontrollercertificaten op elk moment vernieuwen voordat ze verlopen.

  Notitie

  Als u bestaande certificaten met dezelfde sleutel vernieuwt, bent u klaar en hoeft u niets te doen.

• U wilt een zelfondertekend certificaat vervangen door een certificaat dat door een certificeringsinstantie (CA) is ondertekend.

  Notitie

  Zorg er bij het wijzigen van de certificaten voor dat u dezelfde onderwerpnaam gebruikt als voor het oude certificaat.

Typen netwerkcontrollercertificaten

In Azure Stack HCI gebruikt elke netwerkcontroller-VM twee typen certificaten:

• REST-certificaat. Eén certificaat voor Northbound-communicatie met REST-clients (zoals Windows Admin Center) en Southbound-communicatie met Hyper-V-hosts en software load balancers. Hetzelfde certificaat is aanwezig op alle netwerkcontroller-VM's. Zie REST-certificaten vernieuwen als u REST-certificaten wilt vernieuwen.

• Knooppuntcertificaat van netwerkcontroller. Een certificaat op elke netwerkcontroller-VM voor verificatie tussen knooppunten. Zie Knooppuntcertificaten vernieuwen voor het vernieuwen van knooppuntcertificaten voor netwerkcontrollers.

Waarschuwing

Laat dit certificaat niet verlopen. Vernieuw ze vóór het verlopen om verificatieproblemen te voorkomen. Verwijder ook geen bestaande verlopen certificaten voordat u ze vernieuwt. Zie Vervaldatum van certificaat weergeven voor meer informatie over de vervaldatum van een certificaat.

Vervaldatum van certificaat weergeven

Gebruik de volgende cmdlet op elke netwerkcontroller-VM om de vervaldatum van een certificaat te controleren:

Get-ChildItem Cert:\LocalMachine\My | where{$_.Subject -eq "CN=<Certificate-subject-name>"} | Select-Object NotAfter, Subject

• Als u de vervaldatum van een REST-certificaat wilt ophalen, vervangt u 'Certificate-subject-name' door het RestIPAddress of restName van de netwerkcontroller. U kunt deze waarde ophalen uit de Get-NetworkController cmdlet.

• Als u de vervaldatum van een knooppuntcertificaat wilt ophalen, vervangt u 'Certificate-subject-name' door de FQDN (Fully Qualified Domain Name) van de netwerkcontroller-VM. U kunt deze waarde ophalen uit de Get-NetworkController cmdlet.

Netwerkcontrollercertificaten vernieuwen

U kunt uw netwerkcontrollercertificaten automatisch of handmatig vernieuwen.

Automatische verlenging

Met de Start-SdnCertificateRotation cmdlet kunt u de verlenging van uw netwerkcontrollercertificaten automatiseren. Automatische verlenging van certificaten helpt eventuele downtime of niet-geplande storingen te minimaliseren die worden veroorzaakt door problemen met het verlopen van certificaten.

Hier volgen de scenario's waarin u de Start-SdnCertificateRotation cmdlet kunt gebruiken om automatisch netwerkcontrollercertificaten te vernieuwen:

• Zelfondertekende certificaten. Gebruik de Start-SdnCertificateRotation cmdlet om zelfondertekende certificaten te genereren en deze certificaten te vernieuwen in alle netwerkcontrollerknooppunten.
• Uw eigen certificaten gebruiken. U gebruikt uw eigen certificaten, zelfondertekend of met een CA ondertekend, en gebruikt de Start-SdnCertificateRotation cmdlet voor certificaatvernieuwing. De cmdlet installeert de certificaten op alle netwerkcontrollerknooppunten en distribueert deze naar andere ONDERDELEN van de SDN-infrastructuur.
• Vooraf geïnstalleerde certificaten. U hebt de vereiste certificaten al geïnstalleerd op de netwerkcontrollerknooppunten. Gebruik de Start-SdnCertificateRotation cmdlet om deze certificaten te vernieuwen naar andere onderdelen van de SDN-infrastructuur.

Zie Certificaten beheren voor software-gedefinieerde netwerken voor meer informatie over het maken en beheren van SDN-certificaten.

Vereisten

Dit zijn de vereisten voor automatische verlenging van het certificaat:

• U moet de Start-SdnCertificateRotation cmdlet uitvoeren op een van de netwerkcontrollerknooppunten. Zie SdnDiagnostics-module installeren voor installatie-instructies.

• U moet referenties hebben voor de volgende twee typen accounts om communicatie tussen netwerkcontrollerknooppunten te autoriseren:

  • Credential om een gebruikersaccount met lokale beheerdersbevoegdheden op te geven op netwerkcontroller.

  • NcRestCredential om een gebruikersaccount met toegang tot de REST API van de netwerkcontroller op te geven. Het is een lid van ClientSecurityGroup van Get-NetworkController. Dit account wordt gebruikt om REST API aan te roepen om de referentieresource bij te werken met het nieuwe certificaat.

  Zie Autorisatie voor northbound communicatie voor meer informatie over het configureren van autorisatie voor netwerkcontroller northbound communicatie.

Zelfondertekende certificaten automatisch vernieuwen

U kunt de Start-SdnCertificateRotation cmdlet gebruiken om nieuwe zelfondertekende certificaten te genereren en deze automatisch te vernieuwen naar alle netwerkcontrollerknooppunten. De cmdlet genereert standaard certificaten met een geldigheidsperiode van drie jaar, maar u kunt een andere geldigheidsperiode opgeven.

Voer deze stappen uit op een van de knooppunten van de netwerkcontroller om zelfondertekende certificaten te genereren en deze automatisch te vernieuwen:

1. Voer de Start-SdnCertificateRotation cmdlet uit om zelfondertekende certificaten te genereren. U kunt de -Force parameter met de cmdlet gebruiken om te voorkomen dat tijdens het rotatieproces wordt gevraagd om bevestiging of handmatige invoer.

   • Als u zelfondertekende certificaten wilt genereren met de standaard geldigheidsperiode van drie jaar, voert u de volgende opdrachten uit:

     Import-Module -Name SdnDiagnostics -Force
     Start-SdnCertificateRotation -GenerateCertificate -CertPassword (Get-Credential).Password -Credential (Get-Credential)
     

   • Als u zelfondertekende certificaten met een specifieke geldigheidsperiode wilt genereren, gebruikt u de NotAfter parameter om de geldigheidsperiode op te geven.

     Als u bijvoorbeeld zelfondertekende certificaten met een geldigheidsperiode van vijf jaar wilt genereren, voert u de volgende opdrachten uit:

     Import-Module -Name SdnDiagnostics -Force
     Start-SdnCertificateRotation -GenerateCertificate -CertPassword (Get-Credential).Password -NotAfter (Get-Date).AddYears(5) -Credential (Get-Credential)
     

2. Voer de referenties in. U krijgt twee prompts om twee typen referenties op te geven:

   • Voer bij de eerste prompt het wachtwoord in om het gegenereerde certificaat te beveiligen. De gebruikersnaam kan van alles zijn en wordt niet gebruikt.
   • Gebruik in de tweede prompt de referentie die beheerderstoegang heeft tot alle knooppunten van de netwerkcontroller.

3. Nadat de nieuwe certificaten zijn gegenereerd, krijgt u een waarschuwing om te bevestigen of u wilt doorgaan met het certificaatrotatieproces. In de waarschuwingstekst wordt de lijst met netwerkcontrollercertificaten weergegeven die worden vervangen door de zojuist gegenereerde certificaten. Typ Y om te bevestigen.

   Hier volgt een voorbeeldschermopname van de waarschuwing:

   

4. Nadat u hebt bevestigd dat u wilt doorgaan met de certificaatrotatie, kunt u de status van de lopende bewerkingen bekijken in het PowerShell-opdrachtvenster.

   Belangrijk

   Sluit het PowerShell-venster pas als de cmdlet is voltooid. Afhankelijk van uw omgeving, zoals het aantal netwerkcontrollerknooppunten in het cluster, kan het enkele minuten of meer dan een uur duren om te voltooien.

   Hier volgt een voorbeeldschermopname van het PowerShell-opdrachtvenster met de status van lopende bewerkingen:

   

Uw eigen certificaten automatisch vernieuwen

Naast het genereren van zelfondertekende netwerkcontrollercertificaten, kunt u ook uw eigen certificaten meenemen, hetzij zelfondertekend of MET EEN CA ondertekend, en de Start-SdnCertificateRotation cmdlet gebruiken om deze certificaten te vernieuwen.

Voer deze stappen uit op een van de netwerkcontrollerknooppunten om automatisch uw eigen certificaten te vernieuwen:

1. Bereid uw certificaten voor in .pfx indeling en sla deze op in een map op een van de netwerkcontrollerknooppunten van waaruit u de Start-SdnCertificateRotation cmdlet uitvoert. U kunt de -Force parameter met de cmdlet gebruiken om te voorkomen dat tijdens het rotatieproces wordt gevraagd om bevestiging of handmatige invoer.

2. Voer de volgende opdrachten uit om certificaatvernieuwing te starten:

   Import-Module -Name SdnDiagnostics -Force
   Start-SdnCertificateRotation -CertPath "<Path where you put your certificates>" -CertPassword (Get-Credential).Password -Credential (Get-Credential)
   

3. Voer de referenties in. U krijgt twee prompts om twee typen referenties op te geven:

   • Voer bij de eerste prompt het wachtwoord van uw certificaat in. De gebruikersnaam kan van alles zijn en wordt niet gebruikt.
   • Gebruik in de tweede prompt de referentie die beheerderstoegang heeft tot alle knooppunten van de netwerkcontroller.

4. U krijgt een waarschuwing om te bevestigen of u wilt doorgaan met het certificaatrotatieproces. In de waarschuwingstekst wordt de lijst met netwerkcontrollercertificaten weergegeven die worden vervangen door de nieuw gegenereerde certificaten. Typ Y om te bevestigen.

   Hier volgt een voorbeeldschermopname van de waarschuwing:

   

5. Nadat u hebt bevestigd dat u wilt doorgaan met de certificaatrotatie, kunt u de status van de lopende bewerkingen bekijken in het PowerShell-opdrachtvenster.

   Belangrijk

   Sluit het PowerShell-venster pas als de cmdlet is voltooid. Afhankelijk van uw omgeving, zoals het aantal netwerkcontrollerknooppunten in het cluster, kan het enkele minuten of meer dan een uur duren voordat het is voltooid.

Vooraf geïnstalleerde certificaten automatisch vernieuwen

In dit scenario hebt u de vereiste certificaten geïnstalleerd op de knooppunten van de netwerkcontroller. Gebruik de Start-SdnCertificateRotation cmdlet om deze certificaten te vernieuwen op andere onderdelen van de SDN-infrastructuur.

Voer de volgende stappen uit op een van de knooppunten van de netwerkcontroller om de vooraf geïnstalleerde certificaten automatisch te vernieuwen:

1. Installeer de netwerkcontrollercertificaten op alle netwerkcontrollerknooppunten volgens de methode van uw voorkeur. Zorg ervoor dat de certificaten worden vertrouwd door andere onderdelen van de SDN-infrastructuur, waaronder SDN MUX-servers en SDN-hosts.

2. Creatie configuratie van certificaatrotatie:

   1. Voer de volgende opdrachten uit om de standaardconfiguratie voor certificaatrotatie te genereren:

      Import-Module -Name SdnDiagnostics -Force
      $certConfig = New-SdnCertificateRotationConfig
      $certConfig
      

   2. Controleer de standaardconfiguratie voor certificaatrotatie om te bevestigen of de automatisch gedetecteerde certificaten de certificaten zijn die u wilt gebruiken. Standaard wordt het laatst uitgegeven certificaat opgehaald dat moet worden gebruikt.

      Hier volgt een voorbeeld van een configuratie voor certificaatrotatie:

      PS C:\Users\LabAdmin> $certConfig
      
      Name					Value
      ----					-----
      ws22ncl.corp.contoso.com 	F4AAF14991DAF282D9056E147AE60C2C5FE80A49
      ws22nc3.corp.contoso.com 	BC3E6B090E2AA80220B7BAED7F8F981A1E1DD115
      ClusterCredentialType 		X509
      ws22nc2.corp.contoso.corn 	75DC229A8E61AD855CC445C42482F9F919CC1077
      NcRestCert				029D7CA0067A60FB24827D8434566787114AC30C
      

      Hierbij

      • ws22ncx.corp.contoso.com geeft de vingerafdruk van het certificaat weer voor elk netwerkcontrollerknooppunt.
      • ClusterCredentialType geeft het verificatietype netwerkcontrollercluster weer. Als het verificatietype niet X509 is, wordt het knooppuntcertificaat niet gebruikt en wordt het niet weergegeven in de uitvoer.
      • NcRestCert toont de vingerafdruk van het certificaat Network Controller Rest.

   3. (Optioneel) Als de gegenereerde $certConfig niet juist is, kunt u deze wijzigen door de vingerafdruk van een nieuw certificaat op te geven. Als u bijvoorbeeld de vingerafdruk van het certificaat Network Controller Rest wilt wijzigen, voert u de volgende opdracht uit:

      $certConfig.NcRestCert = <new certificate thumbprint>
      

3. Certificaatrotatie starten. U kunt de -Force parameter met de cmdlet gebruiken om te voorkomen dat tijdens het rotatieproces wordt gevraagd om bevestiging of handmatige invoer.

   Import-Module -Name SdnDiagnostics -Force
   Start-SdnCertificateRotation -CertRotateConfig $certConfig -Credential (Get-Credential)
   

4. Wanneer u om referenties wordt gevraagd, voert u de referentie in die beheerderstoegang heeft tot alle netwerkcontrollerknooppunten.

5. U krijgt een waarschuwing om te bevestigen of u wilt doorgaan met automatische rotatie van certificaten. De waarschuwing geeft de lijst met netwerkcontrollercertificaten die worden vervangen door uw eigen certificaten. Typ Y om te bevestigen.

   Hier volgt een voorbeeldschermopname van de waarschuwing waarin u wordt gevraagd de rotatie van certificaten te bevestigen:

   

6. Nadat u hebt bevestigd dat u wilt doorgaan met de certificaatrotatie, kunt u de status van de lopende bewerkingen bekijken in het PowerShell-opdrachtvenster.

   Belangrijk

   Sluit het PowerShell-venster pas als de cmdlet is voltooid. Afhankelijk van uw omgeving, zoals het aantal netwerkcontrollerknooppunten in het cluster, kan het enkele minuten of meer dan een uur duren voordat het is voltooid.

Handmatig verlengen

Gebruik de volgende instructies voor het handmatig vernieuwen van REST-certificaten en knooppuntcertificaten voor netwerkcontrollers.

Belangrijk

Als uw netwerkcontrollercertificaten al zijn verlopen, gebruikt u de instructies in de sectie automatische verlenging om de certificaten te vernieuwen.

REST-certificaten vernieuwen

U gebruikt het REST-certificaat van de netwerkcontroller voor:

• Noordwaartse communicatie met REST-clients
• Versleuteling van referenties
• Zuidwaartse communicatie met hosts en software-Load Balancer-VM's

Wanneer u een REST-certificaat bijwerkt, moet u de beheerclients en netwerkapparaten bijwerken om het nieuwe certificaat te gebruiken.

Voer de volgende stappen uit om het REST-certificaat te vernieuwen:

1. Zorg ervoor dat het certificaat op de netwerkcontroller-VM's niet is verlopen voordat u het verlengt. Zie Vervaldatum van certificaat weergeven.

2. Het nieuwe certificaat aanschaffen en in het persoonlijke archief van de lokale computer (LocalMachine\My) plaatsen. Als het een zelfondertekend certificaat is, plaatst u het in het basisarchief (LocalMachine\Root) van elke netwerkcontroller-VM. Zie Certificaten voor software-gedefinieerde netwerken beheren voor informatie over het maken van een nieuw certificaat of het uitgeven van een certificeringsinstantie.

3. Wijs het nieuwe certificaat toe aan een variabele:

   $cert= Get-ChildItem Cert:\LocalMachine\My | where{$_.Thumbprint -eq "<thumbprint of the new certificate>"}
   

4. Kopieer het certificaat naar alle netwerkcontroller-VM's.

5. Geef de machtigingen Lezen en Toestaan op voor NT Authority/Network Service op het certificaat:

   $targetCertPrivKey = $Cert.PrivateKey
   $privKeyCertFile = Get-Item -path
   "$ENV:ProgramData\Microsoft\Crypto\RSA\MachineKeys\*" | where-object {$_.Name -eq $targetCertPrivKey.CspKeyContainerInfo.UniqueKeyContainerName}
   $privKeyAcl = Get-Acl $privKeyCertFile
   $permission = "NT AUTHORITY\NETWORK SERVICE","Read","Allow"
   $accessRule = new-object System.Security.AccessControl.FileSystemAccessRule $permission
   $privKeyAcl.AddAccessRule($accessRule)
   Set-Acl $privKeyCertFile.FullName $privKeyAcl
   

6. (Alleen voor zelfondertekend certificaat) Kopieer de openbare sleutel van het certificaat naar alle hosts en software-Load Balancer-VM's.

7. Wijzig de instellingen van de netwerkcontroller om het nieuwe certificaat te gebruiken.

Kopieer het certificaat naar alle netwerkcontroller-VM's

Volg deze stappen voor het kopiëren van één certificaat naar alle netwerkcontroller-VM's.

1. Zorg ervoor dat u het nieuwe certificaat aanschaft en plaats het in het persoonlijke archief van de lokale computer (Mijn – cert:\localmachine\my).

2. Exporteer het certificaat op de eerste netwerkcontroller-VM naar een PFX-bestand (Personal Information Exchange).

   $mypwd = ConvertTo-SecureString -String "<password>" -Force -AsPlainText
   Export-PfxCertificate -FilePath "C:\newpfx.pfx" -Password $mypwd -Cert $cert    
   # Here, $cert is the new certificate
   

3. Op andere netwerkcontroller-VM's importeert u het certificaat en de persoonlijke sleutels uit een PFX-bestand naar het doelarchief:

   $mypwd = ConvertTo-SecureString -String "<password>" -Force -AsPlainText
   Import-PfxCertificate -FilePath C:\newpfx.pfx -CertStoreLocation Cert:\LocalMachine\My -Password $mypwd
   # Ensure that you copy the pfx file into the local machine before importing the cert
   

Kopieer de openbare sleutel van het certificaat naar alle hosts en software-vm's Load Balancer (alleen voor zelfondertekend certificaat)

Als u een zelfondertekend certificaat gebruikt, plaatst u dit in het hoofdarchief van de lokale computer (LocalMachine\Root) voor elk van de volgende opties:

• Elke netwerkcontroller-VM.
• Elke Azure Stack HCI-hostcomputer en software-Load Balancer VM's. Dit zorgt ervoor dat het certificaat wordt vertrouwd door de peer-entiteiten.

Hier volgt een voorbeeldopdracht voor het importeren van de openbare sleutel van het certificaat die al is geëxporteerd:

Import-Certificate -FilePath "\\sa18fs\SU1_LibraryShare1\RestCert.cer\" -CertStoreLocation cert:\localMachine\Root

Instellingen voor netwerkcontroller wijzigen om het nieuwe certificaat te gebruiken

Wijzig de knooppunt-, cluster- en toepassingsinstellingen van de netwerkcontroller om het nieuwe certificaat te gebruiken.

Voor northbound communicatie

Als u het certificaat wilt wijzigen dat de netwerkcontroller gebruikt voor northbound communicatie, voert u de volgende opdracht uit op een van de netwerkcontroller-VM's:

Set-NetworkController -ServerCertificate \$cert

Voor versleuteling van referenties

Als u het certificaat wilt wijzigen dat de netwerkcontroller gebruikt om de referenties te versleutelen, voert u de volgende opdracht uit op een van de netwerkcontroller-VM's:

Set-NetworkControllerCluster -CredentialEncryptionCertificate $cert

Voor zuidwaartse communicatie

Als u het certificaat wilt wijzigen dat de netwerkcontroller gebruikt voor de communicatie met hosts en software load balancers, voert u de volgende opdracht uit:

$certCred = Get-NetworkControllerCredential -ConnectionUri <REST uri of deployment> |where-object { $_.properties.type -eq "X509Certificate" }
$certCred[0].Properties.Value ="<Thumbprint of the new certificate>"

New-NetworkControllerCredential -ConnectionUri <REST uri of deployment> -ResourceId $certCred[0].ResourceId -Properties $certCred[0].Properties -Force

Knooppuntcertificaten vernieuwen

Als u het knooppuntcertificaat van de netwerkcontroller wilt vernieuwen, voert u de volgende stappen uit op elke netwerkcontroller-VM:

1. Het nieuwe certificaat aanschaffen en in het persoonlijke archief van de lokale computer (LocalMachine\My) plaatsen. Als het een zelfondertekend certificaat is, moet het ook in het (LocalMachine\Root)-archief van elke netwerkcontroller-VM worden geplaatst. Zie Certificaten voor software-gedefinieerde netwerken beheren voor informatie over het maken van een nieuw certificaat of het uitgeven van een certificeringsinstantie.

2. Wijs het nieuwe certificaat toe aan een variabele:

   $cert = Get-ChildItem Cert:\LocalMachine\My | where{$_.Thumbprint -eq "<thumbprint of the new certificate>"}
   

3. Geef de machtigingen Lezen en Toestaan op voor NT Authority/Network Service op het certificaat:

   $targetCertPrivKey = $Cert.PrivateKey
   $privKeyCertFile = Get-Item -path
   "$ENV:ProgramData\Microsoft\Crypto\RSA\MachineKeys\*" | where-object {$_.Name -eq $targetCertPrivKey.CspKeyContainerInfo.UniqueKeyContainerName}
   $privKeyAcl = Get-Acl $privKeyCertFile
   $permission = "NT AUTHORITY\NETWORK SERVICE","Read","Allow"
   $accessRule = new-object System.Security.AccessControl.FileSystemAccessRule $permission
   $privKeyAcl.AddAccessRule($accessRule)
   Set-Acl $privKeyCertFile.FullName $privKeyAcl
   

4. Voer de volgende opdracht uit om het knooppuntcertificaat te wijzigen:

   Set-NetworkControllerNode -Name "<Name of the Network Controller node>" -NodeCertificate $cert
   

Certificaten opnieuw importeren in Windows Admin Center

Als u het REST-certificaat van de netwerkcontroller hebt vernieuwd en u Windows Admin Center gebruikt om SDN te beheren, moet u het Azure Stack HCI-cluster uit Windows Admin Center verwijderen en opnieuw toevoegen. Door dit te doen, zorgt u ervoor dat Windows Admin Center het vernieuwde certificaat importeert en gebruikt voor SDN-beheer.

Volg deze stappen om het vernieuwde certificaat opnieuw te importeren in Windows Admin Center:

1. Selecteer in Windows Admin Center Clusterbeheer in de bovenste vervolgkeuzelijst.
2. Selecteer het cluster dat u wilt verwijderen en selecteer vervolgens Verwijderen.
3. Selecteer Toevoegen, voer de clusternaam in en selecteer vervolgens Toevoegen.
4. Nadat het cluster is geladen, selecteert u SDN-infrastructuur. Hierdoor dwingt Windows Admin Center het vernieuwde certificaat automatisch opnieuw te importeren.

Volgende stappen

• SDN-infrastructuur voor Azure Stack HCI bijwerken