Certificaten vernieuwen voor netwerkcontroller
Van toepassing op: Azure Stack HCI, versies 23H2 en 22H2; Windows Server 2022 en Windows Server 2019
Dit artikel bevat instructies voor het vernieuwen of wijzigen van netwerkcontrollercertificaten, zowel automatisch als handmatig. Als u problemen ondervindt bij het vernieuwen van uw netwerkcontrollercertificaten, neemt u contact op met Microsoft Ondersteuning.
In uw SDN-infrastructuur (Software Defined Networking) gebruikt de netwerkcontroller verificatie op basis van certificaten om Northbound-communicatiekanalen te beveiligen met beheerclients en southbound-communicatie met netwerkapparaten, zoals de Software Load Balancer. De netwerkcontrollercertificaten worden geleverd met een geldigheidsperiode, waarna ze ongeldig worden en niet meer kunnen worden vertrouwd voor gebruik. We raden u ten zeerste aan deze te verlengen voordat ze verlopen.
Zie Wat is netwerkcontroller? voor een overzicht van netwerkcontroller.
Wanneer moet u netwerkcontrollercertificaten vernieuwen of wijzigen
U kunt certificaten voor netwerkcontrollers vernieuwen of wijzigen in de volgende gevallen:
De certificaten naderen de vervaldatum. U kunt inderdaad netwerkcontrollercertificaten op elk moment vernieuwen voordat ze verlopen.
Notitie
Als u bestaande certificaten met dezelfde sleutel vernieuwt, bent u klaar en hoeft u niets te doen.
U wilt een zelfondertekend certificaat vervangen door een certificaat dat door een certificeringsinstantie (CA) is ondertekend.
Notitie
Zorg er bij het wijzigen van de certificaten voor dat u dezelfde onderwerpnaam gebruikt als voor het oude certificaat.
Typen netwerkcontrollercertificaten
In Azure Stack HCI gebruikt elke netwerkcontroller-VM twee typen certificaten:
REST-certificaat. Eén certificaat voor Northbound-communicatie met REST-clients (zoals Windows Admin Center) en Southbound-communicatie met Hyper-V-hosts en software load balancers. Hetzelfde certificaat is aanwezig op alle netwerkcontroller-VM's. Zie REST-certificaten vernieuwen als u REST-certificaten wilt vernieuwen.
Knooppuntcertificaat van netwerkcontroller. Een certificaat op elke netwerkcontroller-VM voor verificatie tussen knooppunten. Zie Knooppuntcertificaten vernieuwen voor het vernieuwen van knooppuntcertificaten voor netwerkcontrollers.
Waarschuwing
Laat dit certificaat niet verlopen. Vernieuw ze vóór het verlopen om verificatieproblemen te voorkomen. Verwijder ook geen bestaande verlopen certificaten voordat u ze vernieuwt. Zie Vervaldatum van certificaat weergeven voor meer informatie over de vervaldatum van een certificaat.
Vervaldatum van certificaat weergeven
Gebruik de volgende cmdlet op elke netwerkcontroller-VM om de vervaldatum van een certificaat te controleren:
Get-ChildItem Cert:\LocalMachine\My | where{$_.Subject -eq "CN=<Certificate-subject-name>"} | Select-Object NotAfter, Subject
Als u de vervaldatum van een REST-certificaat wilt ophalen, vervangt u 'Certificate-subject-name' door het RestIPAddress of restName van de netwerkcontroller. U kunt deze waarde ophalen uit de
Get-NetworkController
cmdlet.Als u de vervaldatum van een knooppuntcertificaat wilt ophalen, vervangt u 'Certificate-subject-name' door de FQDN (Fully Qualified Domain Name) van de netwerkcontroller-VM. U kunt deze waarde ophalen uit de
Get-NetworkController
cmdlet.
Netwerkcontrollercertificaten vernieuwen
U kunt uw netwerkcontrollercertificaten automatisch of handmatig vernieuwen.
Met de Start-SdnCertificateRotation
cmdlet kunt u de verlenging van uw netwerkcontrollercertificaten automatiseren. Automatische verlenging van certificaten helpt eventuele downtime of niet-geplande storingen te minimaliseren die worden veroorzaakt door problemen met het verlopen van certificaten.
Hier volgen de scenario's waarin u de Start-SdnCertificateRotation
cmdlet kunt gebruiken om automatisch netwerkcontrollercertificaten te vernieuwen:
-
Zelfondertekende certificaten. Gebruik de
Start-SdnCertificateRotation
cmdlet om zelfondertekende certificaten te genereren en deze certificaten te vernieuwen in alle netwerkcontrollerknooppunten. -
Uw eigen certificaten gebruiken. U gebruikt uw eigen certificaten, zelfondertekend of met een CA ondertekend, en gebruikt de
Start-SdnCertificateRotation
cmdlet voor certificaatvernieuwing. De cmdlet installeert de certificaten op alle netwerkcontrollerknooppunten en distribueert deze naar andere ONDERDELEN van de SDN-infrastructuur. -
Vooraf geïnstalleerde certificaten. U hebt de vereiste certificaten al geïnstalleerd op de netwerkcontrollerknooppunten. Gebruik de
Start-SdnCertificateRotation
cmdlet om deze certificaten te vernieuwen naar andere onderdelen van de SDN-infrastructuur.
Zie Certificaten beheren voor software-gedefinieerde netwerken voor meer informatie over het maken en beheren van SDN-certificaten.
Vereisten
Dit zijn de vereisten voor automatische verlenging van het certificaat:
U moet de
Start-SdnCertificateRotation
cmdlet uitvoeren op een van de netwerkcontrollerknooppunten. Zie SdnDiagnostics-module installeren voor installatie-instructies.U moet referenties hebben voor de volgende twee typen accounts om communicatie tussen netwerkcontrollerknooppunten te autoriseren:
Credential
om een gebruikersaccount met lokale beheerdersbevoegdheden op te geven op netwerkcontroller.NcRestCredential
om een gebruikersaccount met toegang tot de REST API van de netwerkcontroller op te geven. Het is een lid vanClientSecurityGroup
vanGet-NetworkController
. Dit account wordt gebruikt om REST API aan te roepen om de referentieresource bij te werken met het nieuwe certificaat.
Zie Autorisatie voor northbound communicatie voor meer informatie over het configureren van autorisatie voor netwerkcontroller northbound communicatie.
Zelfondertekende certificaten automatisch vernieuwen
U kunt de Start-SdnCertificateRotation
cmdlet gebruiken om nieuwe zelfondertekende certificaten te genereren en deze automatisch te vernieuwen naar alle netwerkcontrollerknooppunten. De cmdlet genereert standaard certificaten met een geldigheidsperiode van drie jaar, maar u kunt een andere geldigheidsperiode opgeven.
Voer deze stappen uit op een van de knooppunten van de netwerkcontroller om zelfondertekende certificaten te genereren en deze automatisch te vernieuwen:
Voer de
Start-SdnCertificateRotation
cmdlet uit om zelfondertekende certificaten te genereren. U kunt de-Force
parameter met de cmdlet gebruiken om te voorkomen dat tijdens het rotatieproces wordt gevraagd om bevestiging of handmatige invoer.Als u zelfondertekende certificaten wilt genereren met de standaard geldigheidsperiode van drie jaar, voert u de volgende opdrachten uit:
Import-Module -Name SdnDiagnostics -Force Start-SdnCertificateRotation -GenerateCertificate -CertPassword (Get-Credential).Password -Credential (Get-Credential)
Als u zelfondertekende certificaten met een specifieke geldigheidsperiode wilt genereren, gebruikt u de
NotAfter
parameter om de geldigheidsperiode op te geven.Als u bijvoorbeeld zelfondertekende certificaten met een geldigheidsperiode van vijf jaar wilt genereren, voert u de volgende opdrachten uit:
Import-Module -Name SdnDiagnostics -Force Start-SdnCertificateRotation -GenerateCertificate -CertPassword (Get-Credential).Password -NotAfter (Get-Date).AddYears(5) -Credential (Get-Credential)
Voer de referenties in. U krijgt twee prompts om twee typen referenties op te geven:
- Voer bij de eerste prompt het wachtwoord in om het gegenereerde certificaat te beveiligen. De gebruikersnaam kan van alles zijn en wordt niet gebruikt.
- Gebruik in de tweede prompt de referentie die beheerderstoegang heeft tot alle knooppunten van de netwerkcontroller.
Nadat de nieuwe certificaten zijn gegenereerd, krijgt u een waarschuwing om te bevestigen of u wilt doorgaan met het certificaatrotatieproces. In de waarschuwingstekst wordt de lijst met netwerkcontrollercertificaten weergegeven die worden vervangen door de zojuist gegenereerde certificaten. Typ
Y
om te bevestigen.Hier volgt een voorbeeldschermopname van de waarschuwing:
Nadat u hebt bevestigd dat u wilt doorgaan met de certificaatrotatie, kunt u de status van de lopende bewerkingen bekijken in het PowerShell-opdrachtvenster.
Belangrijk
Sluit het PowerShell-venster pas als de cmdlet is voltooid. Afhankelijk van uw omgeving, zoals het aantal netwerkcontrollerknooppunten in het cluster, kan het enkele minuten of meer dan een uur duren om te voltooien.
Hier volgt een voorbeeldschermopname van het PowerShell-opdrachtvenster met de status van lopende bewerkingen:
Uw eigen certificaten automatisch vernieuwen
Naast het genereren van zelfondertekende netwerkcontrollercertificaten, kunt u ook uw eigen certificaten meenemen, hetzij zelfondertekend of MET EEN CA ondertekend, en de Start-SdnCertificateRotation
cmdlet gebruiken om deze certificaten te vernieuwen.
Voer deze stappen uit op een van de netwerkcontrollerknooppunten om automatisch uw eigen certificaten te vernieuwen:
Bereid uw certificaten voor in
.pfx
indeling en sla deze op in een map op een van de netwerkcontrollerknooppunten van waaruit u deStart-SdnCertificateRotation
cmdlet uitvoert. U kunt de-Force
parameter met de cmdlet gebruiken om te voorkomen dat tijdens het rotatieproces wordt gevraagd om bevestiging of handmatige invoer.Voer de volgende opdrachten uit om certificaatvernieuwing te starten:
Import-Module -Name SdnDiagnostics -Force Start-SdnCertificateRotation -CertPath "<Path where you put your certificates>" -CertPassword (Get-Credential).Password -Credential (Get-Credential)
Voer de referenties in. U krijgt twee prompts om twee typen referenties op te geven:
- Voer bij de eerste prompt het wachtwoord van uw certificaat in. De gebruikersnaam kan van alles zijn en wordt niet gebruikt.
- Gebruik in de tweede prompt de referentie die beheerderstoegang heeft tot alle knooppunten van de netwerkcontroller.
U krijgt een waarschuwing om te bevestigen of u wilt doorgaan met het certificaatrotatieproces. In de waarschuwingstekst wordt de lijst met netwerkcontrollercertificaten weergegeven die worden vervangen door de nieuw gegenereerde certificaten. Typ
Y
om te bevestigen.Hier volgt een voorbeeldschermopname van de waarschuwing:
Nadat u hebt bevestigd dat u wilt doorgaan met de certificaatrotatie, kunt u de status van de lopende bewerkingen bekijken in het PowerShell-opdrachtvenster.
Belangrijk
Sluit het PowerShell-venster pas als de cmdlet is voltooid. Afhankelijk van uw omgeving, zoals het aantal netwerkcontrollerknooppunten in het cluster, kan het enkele minuten of meer dan een uur duren voordat het is voltooid.
Vooraf geïnstalleerde certificaten automatisch vernieuwen
In dit scenario hebt u de vereiste certificaten geïnstalleerd op de knooppunten van de netwerkcontroller. Gebruik de Start-SdnCertificateRotation
cmdlet om deze certificaten te vernieuwen op andere onderdelen van de SDN-infrastructuur.
Voer de volgende stappen uit op een van de knooppunten van de netwerkcontroller om de vooraf geïnstalleerde certificaten automatisch te vernieuwen:
Installeer de netwerkcontrollercertificaten op alle netwerkcontrollerknooppunten volgens de methode van uw voorkeur. Zorg ervoor dat de certificaten worden vertrouwd door andere onderdelen van de SDN-infrastructuur, waaronder SDN MUX-servers en SDN-hosts.
Creatie configuratie van certificaatrotatie:
Voer de volgende opdrachten uit om de standaardconfiguratie voor certificaatrotatie te genereren:
Import-Module -Name SdnDiagnostics -Force $certConfig = New-SdnCertificateRotationConfig $certConfig
Controleer de standaardconfiguratie voor certificaatrotatie om te bevestigen of de automatisch gedetecteerde certificaten de certificaten zijn die u wilt gebruiken. Standaard wordt het laatst uitgegeven certificaat opgehaald dat moet worden gebruikt.
Hier volgt een voorbeeld van een configuratie voor certificaatrotatie:
PS C:\Users\LabAdmin> $certConfig Name Value ---- ----- ws22ncl.corp.contoso.com F4AAF14991DAF282D9056E147AE60C2C5FE80A49 ws22nc3.corp.contoso.com BC3E6B090E2AA80220B7BAED7F8F981A1E1DD115 ClusterCredentialType X509 ws22nc2.corp.contoso.corn 75DC229A8E61AD855CC445C42482F9F919CC1077 NcRestCert 029D7CA0067A60FB24827D8434566787114AC30C
Hierbij
- ws22ncx.corp.contoso.com geeft de vingerafdruk van het certificaat weer voor elk netwerkcontrollerknooppunt.
- ClusterCredentialType geeft het verificatietype netwerkcontrollercluster weer. Als het verificatietype niet X509 is, wordt het knooppuntcertificaat niet gebruikt en wordt het niet weergegeven in de uitvoer.
- NcRestCert toont de vingerafdruk van het certificaat Network Controller Rest.
(Optioneel) Als de gegenereerde
$certConfig
niet juist is, kunt u deze wijzigen door de vingerafdruk van een nieuw certificaat op te geven. Als u bijvoorbeeld de vingerafdruk van het certificaat Network Controller Rest wilt wijzigen, voert u de volgende opdracht uit:$certConfig.NcRestCert = <new certificate thumbprint>
Certificaatrotatie starten. U kunt de
-Force
parameter met de cmdlet gebruiken om te voorkomen dat tijdens het rotatieproces wordt gevraagd om bevestiging of handmatige invoer.Import-Module -Name SdnDiagnostics -Force Start-SdnCertificateRotation -CertRotateConfig $certConfig -Credential (Get-Credential)
Wanneer u om referenties wordt gevraagd, voert u de referentie in die beheerderstoegang heeft tot alle netwerkcontrollerknooppunten.
U krijgt een waarschuwing om te bevestigen of u wilt doorgaan met automatische rotatie van certificaten. De waarschuwing geeft de lijst met netwerkcontrollercertificaten die worden vervangen door uw eigen certificaten. Typ
Y
om te bevestigen.Hier volgt een voorbeeldschermopname van de waarschuwing waarin u wordt gevraagd de rotatie van certificaten te bevestigen:
Nadat u hebt bevestigd dat u wilt doorgaan met de certificaatrotatie, kunt u de status van de lopende bewerkingen bekijken in het PowerShell-opdrachtvenster.
Belangrijk
Sluit het PowerShell-venster pas als de cmdlet is voltooid. Afhankelijk van uw omgeving, zoals het aantal netwerkcontrollerknooppunten in het cluster, kan het enkele minuten of meer dan een uur duren voordat het is voltooid.
Certificaten opnieuw importeren in Windows Admin Center
Als u het REST-certificaat van de netwerkcontroller hebt vernieuwd en u Windows Admin Center gebruikt om SDN te beheren, moet u het Azure Stack HCI-cluster uit Windows Admin Center verwijderen en opnieuw toevoegen. Door dit te doen, zorgt u ervoor dat Windows Admin Center het vernieuwde certificaat importeert en gebruikt voor SDN-beheer.
Volg deze stappen om het vernieuwde certificaat opnieuw te importeren in Windows Admin Center:
- Selecteer in Windows Admin Center Clusterbeheer in de bovenste vervolgkeuzelijst.
- Selecteer het cluster dat u wilt verwijderen en selecteer vervolgens Verwijderen.
- Selecteer Toevoegen, voer de clusternaam in en selecteer vervolgens Toevoegen.
- Nadat het cluster is geladen, selecteert u SDN-infrastructuur. Hierdoor dwingt Windows Admin Center het vernieuwde certificaat automatisch opnieuw te importeren.