Delen via


Certificaatvereisten voor PKI (openbare-sleutelinfrastructuur) van Azure Stack Hub

Azure Stack Hub heeft een openbaar infrastructuurnetwerk met extern toegankelijke openbare IP-adressen die zijn toegewezen aan een kleine set Azure Stack Hub-services en mogelijk tenant-VM's. PKI-certificaten met de juiste DNS-namen voor deze eindpunten van de openbare Azure Stack Hub-infrastructuur zijn vereist tijdens de implementatie van Azure Stack Hub. Dit artikel bevat informatie over:

  • Certificaatvereisten voor Azure Stack Hub.
  • Verplichte certificaten die vereist zijn voor de implementatie van Azure Stack Hub.
  • Optionele certificaten die vereist zijn bij het implementeren van resourceproviders die waarde toevoegen.

Notitie

Azure Stack Hub maakt standaard ook gebruik van certificaten die zijn uitgegeven door een interne met Active Directory geïntegreerde certificeringsinstantie (CA) voor verificatie tussen de knooppunten. Om het certificaat te valideren, vertrouwen alle Azure Stack Hub-infrastructuurmachines het basiscertificaat van de interne CA door dat certificaat toe te voegen aan hun lokale certificaatarchief. Er is geen vastmaken of filteren van certificaten in Azure Stack Hub. De SAN van elk servercertificaat wordt gevalideerd op basis van de FQDN van het doel. De volledige vertrouwensketen wordt ook gevalideerd, samen met de vervaldatum van het certificaat (standaard TLS-serververificatie zonder het vastmaken van certificaten).

Certificaatvereisten

In de volgende lijst worden de algemene vereisten voor certificaatuitgifte, beveiliging en opmaak beschreven:

  • Certificaten moeten worden uitgegeven door een interne certificeringsinstantie of een openbare certificeringsinstantie. Als een openbare certificeringsinstantie wordt gebruikt, moet deze worden opgenomen in de installatiekopieën van het basisbesturingssysteem als onderdeel van het Microsoft Trusted Root Authority-programma. Zie Lijst met deelnemers - Microsoft Trusted Root Program voor de volledige lijst.
  • Uw Azure Stack Hub-infrastructuur moet netwerktoegang hebben tot de locatie van de certificaatintrekkingslijst (CRL) van de certificeringsinstantie die in het certificaat is gepubliceerd. Deze CRL moet een HTTP-eindpunt zijn. Opmerking: voor niet-verbonden implementaties worden certificaten die zijn uitgegeven door een openbare certificeringsinstantie (CA) niet ondersteund als het CRL-eindpunt niet toegankelijk is. Zie Functies die zijn beperkt of niet beschikbaar zijn in niet-verbonden implementaties voor meer informatie.
  • Bij het roteren van certificaten in builds van vóór 1903 moeten certificaten worden uitgegeven door dezelfde interne certificeringsinstantie die wordt gebruikt voor het ondertekenen van certificaten die tijdens de implementatie worden geleverd, of een openbare certificeringsinstantie van hierboven.
  • Bij het roteren van certificaten voor builds 1903 en hoger kunnen certificaten worden uitgegeven door elke onderneming of openbare certificeringsinstantie.
  • Het gebruik van zelfondertekende certificaten wordt niet ondersteund.
  • Voor implementatie en rotatie kunt u één certificaat gebruiken dat alle naamruimten in de onderwerpnaam en alternatieve onderwerpnaam (SAN) van het certificaat dekt. U kunt ook afzonderlijke certificaten gebruiken voor elk van de onderstaande naamruimten die nodig zijn voor de Azure Stack Hub-services die u wilt gebruiken. Beide benaderingen vereisen het gebruik van jokertekens voor eindpunten waar ze nodig zijn, zoals KeyVault en KeyVaultInternal.
  • Het algoritme voor certificaathandtekening mag niet SHA1 zijn.
  • De certificaatindeling moet PFX zijn, omdat zowel de openbare als de persoonlijke sleutel vereist zijn voor de installatie van Azure Stack Hub. Voor de persoonlijke sleutel moet het kenmerk lokale computersleutel zijn ingesteld.
  • De PFX-versleuteling moet 3DES zijn (deze versleuteling is standaard bij het exporteren vanuit een Windows 10-client of Windows Server 2016 certificaatarchief).
  • De pfx-bestanden van het certificaat moeten de waarden 'Digitale handtekening' en 'KeyEncipherment' hebben in het veld 'Sleutelgebruik'.
  • De pfx-bestanden van het certificaat moeten de waarden Serververificatie (1.3.6.1.5.5.7.3.1) en Clientverificatie (1.3.6.1.5.5.7.3.2) hebben in het veld Uitgebreid sleutelgebruik.
  • Het veld 'Uitgegeven aan:' van het certificaat mag niet hetzelfde zijn als het veld 'Uitgegeven door:'.
  • De wachtwoorden voor alle pfx-certificaatbestanden moeten hetzelfde zijn op het moment van implementatie.
  • Het wachtwoord voor het pfx-certificaat moet een complex wachtwoord zijn. Noteer dit wachtwoord omdat u dit als een implementatieparameter gebruikt. Het wachtwoord moet voldoen aan de volgende vereisten voor wachtwoordcomplexiteit:
    • Een minimale lengte van acht tekens.
    • Ten minste drie van de volgende tekens: hoofdletters, kleine letters, cijfers van 0-9, speciale tekens, alfabetisch teken dat geen hoofdletters of kleine letters is.
  • Zorg ervoor dat de onderwerpnamen en alternatieve onderwerpnamen in de alternatieve naamextensie voor onderwerp (x509v3_config) overeenkomen. In het veld Alternatieve onderwerpnaam kunt u extra hostnamen (websites, IP-adressen, algemene namen) opgeven die moeten worden beveiligd door één SSL-certificaat.

Notitie

Zelfondertekende certificaten worden niet ondersteund.
Wanneer u Azure Stack Hub implementeert in de modus niet-verbonden, wordt aanbevolen certificaten te gebruiken die zijn uitgegeven door een certificeringsinstantie van een onderneming. Dit is belangrijk omdat clients die toegang hebben tot Azure Stack Hub-eindpunten, contact moeten kunnen opnemen met de certificaatintrekkingslijst (CRL).

Notitie

De aanwezigheid van intermediaire certificeringsinstanties in de vertrouwensketen van een certificaat wordt ondersteund.

Verplichte certificaten

In de tabel in deze sectie worden de PKI-certificaten voor openbare eindpunten van Azure Stack Hub beschreven die vereist zijn voor zowel Microsoft Entra-id als AD FS Azure Stack Hub-implementaties. Certificaatvereisten worden gegroepeerd op gebied en de gebruikte naamruimten en de certificaten die vereist zijn voor elke naamruimte. In de tabel wordt ook de map beschreven waarin uw oplossingsprovider de verschillende certificaten per openbaar eindpunt kopieert.

Certificaten met de juiste DNS-namen voor elk eindpunt van de openbare Infrastructuur van Azure Stack Hub zijn vereist. De DNS-naam van elk eindpunt wordt uitgedrukt in de indeling: <voorvoegsel>.<regio>.<fqdn>.

Voor uw implementatie moeten de <regio> - en <fqdn-waarden> overeenkomen met de regio- en externe domeinnamen die u hebt gekozen voor uw Azure Stack Hub-systeem. Als de regio bijvoorbeeld Redmond is en de externe domeinnaam is contoso.com, hebben de DNS-namen de indeling <voorvoegsel.redmond.contoso.com>. De <voorvoegselwaarden> zijn vooraf ontworpen door Microsoft om het eindpunt te beschrijven dat door het certificaat wordt beveiligd. Bovendien zijn de <voorvoegselwaarden> van de eindpunten van de externe infrastructuur afhankelijk van de Azure Stack Hub-service die gebruikmaakt van het specifieke eindpunt.

Voor de productieomgevingen raden we aan afzonderlijke certificaten te genereren voor elk eindpunt en naar de bijbehorende map te kopiëren. Voor ontwikkelomgevingen kunnen certificaten worden opgegeven als één jokertekencertificaat voor alle naamruimten in de velden Onderwerp en Alternatieve naam voor onderwerp (SAN) die naar alle mappen zijn gekopieerd. Eén certificaat voor alle eindpunten en services is een onveilige houding en dus alleen voor ontwikkeling. Houd er rekening mee dat u voor beide opties jokertekencertificaten moet gebruiken voor eindpunten zoals acs en Key Vault waar ze zijn vereist.

Notitie

Tijdens de implementatie moet u certificaten kopiëren naar de implementatiemap die overeenkomt met de id-provider waarvoor u implementeert (Microsoft Entra-id of AD FS). Als u één certificaat voor alle eindpunten gebruikt, moet u dat certificaatbestand naar elke implementatiemap kopiëren, zoals beschreven in de volgende tabellen. De mapstructuur is vooraf gebouwd in de virtuele implementatiemachine en vindt u op: C:\CloudDeployment\Setup\Certificates.

Implementatiemap Vereiste certificaatonderwerp- en onderwerp alternatieve namen (SAN) Bereik (per regio) Subdomeinnaamruimte
Openbare portal Portal.<regio>.<Fqdn> Portals <regio>.<Fqdn>
Beheerportal adminportal.<regio>.<Fqdn> Portals <regio>.<Fqdn>
Azure Resource Manager Public Management.<regio>.<Fqdn> Azure Resource Manager <regio>.<Fqdn>
Azure Resource Manager Beheer adminmanagement.<regio>.<Fqdn> Azure Resource Manager <regio>.<Fqdn>
ACSBlob *.Blob.<regio>.<Fqdn>
(SSL-certificaat met jokerteken)
Blob Storage Blob.<regio>.<Fqdn>
ACSTable *.Tabel.<regio>.<Fqdn>
(SSL-certificaat met jokerteken)
Table Storage Tabel.<regio>.<Fqdn>
ACSQueue *.Wachtrij.<regio>.<Fqdn>
(SSL-certificaat met jokerteken)
Queue Storage Wachtrij.<regio>.<Fqdn>
KeyVault *.Kluis.<regio>.<Fqdn>
(SSL-certificaat met jokerteken)
Key Vault Kluis.<regio>.<Fqdn>
KeyVaultInternal *.adminvault.<regio>.<Fqdn>
(SSL-certificaat met jokerteken)
Interne sleutelkluis adminvault.<regio>.<Fqdn>
Beheer-extensiehost *.adminhosting.<regio>.<fqdn> (SSL-certificaten met jokertekens) Beheer-extensiehost adminhosting.<regio>.<Fqdn>
Host van openbare extensie *.Hosting.<regio>.<fqdn> (SSL-certificaten met jokertekens) Host van openbare extensie Hosting.<regio>.<Fqdn>

Als u Azure Stack Hub implementeert met behulp van de Microsoft Entra-implementatiemodus, hoeft u alleen de certificaten aan te vragen die in de vorige tabel worden vermeld. Maar als u Azure Stack Hub implementeert met behulp van de AD FS-implementatiemodus, moet u ook de certificaten aanvragen die in de volgende tabel worden beschreven:

Implementatiemap Vereiste certificaatonderwerp- en onderwerp alternatieve namen (SAN) Bereik (per regio) Subdomeinnaamruimte
ADFS Adfs. <regio>.<Fqdn>
(SSL-certificaat)
ADFS <regio>.<Fqdn>
Graph Grafiek. <regio>.<Fqdn>
(SSL-certificaat)
Graph <regio>.<Fqdn>

Belangrijk

Alle certificaten die in deze sectie worden vermeld, moeten hetzelfde wachtwoord hebben.

Optionele PaaS-certificaten

Als u van plan bent om Azure Stack Hub PaaS-services (zoals SQL, MySQL, App Service of Event Hubs) te implementeren nadat Azure Stack Hub is geïmplementeerd en geconfigureerd, moet u aanvullende certificaten aanvragen voor de eindpunten van de PaaS-services.

Belangrijk

De certificaten die u voor resourceproviders gebruikt, moeten dezelfde basisinstantie hebben als de certificaten die worden gebruikt voor de globale Azure Stack Hub-eindpunten.

In de volgende tabel worden de eindpunten en certificaten beschreven die vereist zijn voor resourceproviders. U hoeft deze certificaten niet te kopiëren naar de implementatiemap van Azure Stack Hub. In plaats daarvan geeft u deze certificaten op tijdens de installatie van de resourceprovider.

Bereik (per regio) Certificaat Vereiste certificaatonderwerp en alternatieve namen voor onderwerp (SAN's) Subdomeinnaamruimte
App Service Standaard SSL-certificaat voor webverkeer *.appservice. <regio>.<Fqdn>
*.scm.appservice. <regio>.<Fqdn>
*.sso.appservice. <regio>.<Fqdn>
(Multi Domain Wildcard SSL Certificate1)
appservice. <regio>.<Fqdn>
scm.appservice. <regio>.<Fqdn>
App Service API api.appservice. <regio>.<Fqdn>
(SSL-certificaat2)
appservice. <regio>.<Fqdn>
scm.appservice. <regio>.<Fqdn>
App Service FTP ftp.appservice. <regio>.<Fqdn>
(SSL-certificaat2)
appservice. <regio>.<Fqdn>
scm.appservice. <regio>.<Fqdn>
App Service SSO sso.appservice. <regio>.<Fqdn>
(SSL-certificaat2)
appservice. <regio>.<Fqdn>
scm.appservice. <regio>.<Fqdn>
Event Hubs SSL *.eventhub. <regio>.<Fqdn>
(SSL-certificaat met jokerteken)
eventhub. <regio>.<Fqdn>
SQL, MySQL SQL en MySQL *.dbadapter. <regio>.<Fqdn>
(SSL-certificaat met jokerteken)
dbadapter. <regio>.<Fqdn>

1 Vereist één certificaat met meerdere alternatieve namen voor jokertekens. Meerdere SAN's met jokertekens op één certificaat worden mogelijk niet ondersteund door alle openbare certificeringsinstanties.

2 Een *.appservice. <regio>.<fqdn-jokertekencertificaat> kan niet worden gebruikt in plaats van deze drie certificaten (api.appservice.<regio>.<fqdn>, ftp.appservice. <regio>.<fqdn> en sso.appservice. <regio>.<fqdn>. Appservice vereist expliciet het gebruik van afzonderlijke certificaten voor deze eindpunten.

Volgende stappen

Meer informatie over het genereren van PKI-certificaten voor de implementatie van Azure Stack Hub.