Share via

CMG-serververificatiecertificaat

  • Artikel

Van toepassing op: Configuration Manager (current branch)

De eerste stap bij het instellen van een cloudbeheergateway (CMG) is het ophalen van het certificaat voor serververificatie. De CMG maakt een HTTPS-service waarmee internetclients verbinding maken. De server vereist een serververificatiecertificaat om het beveiligde kanaal te bouwen. U kunt een certificaat voor dit doel verkrijgen van een openbare provider of het verlenen vanuit uw openbare-sleutelinfrastructuur (PKI).

Wanneer u de CMG maakt in de Configuration Manager-console, geeft u dit certificaat op. De algemene naam (CN) van dit certificaat definieert de servicenaam van de CMG.

Opmerking

Mogelijk hebt u aanvullende certificaten nodig voor clients en beheerpunten. Deze certificaten worden behandeld in de derde stap van het CMG-installatieproces, Clientverificatie configureren.

Een herinnering aan enkele CMG-terminologie die in dit artikel wordt gebruikt:

  • Servicenaam: de algemene naam (CN) van het CMG-serververificatiecertificaat. Clients en de sitesysteemrol CMG-verbindingspunt communiceren met deze servicenaam. Bijvoorbeeld GraniteFalls.contoso.com , of GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Implementatienaam: het eerste deel van de servicenaam plus de Azure-locatie voor de cloudservice-implementatie. Het cloudservicebeheeronderdeel van het serviceverbindingspunt gebruikt deze naam wanneer de CMG in Azure wordt geïmplementeerd. De implementatienaam bevindt zich altijd in een Azure-domein. De Azure-locatie is afhankelijk van de implementatiemethode, bijvoorbeeld:

    • Virtuele-machineschaalset: GraniteFalls.WestUS.CloudApp.Azure.Com
    • Klassieke implementatie: GraniteFalls.CloudApp.Net

    Belangrijk

    In dit artikel worden voorbeelden gebruikt met een virtuele-machineschaalset als de aanbevolen implementatiemethode in versie 2107 en hoger. Als u een klassieke implementatie gebruikt, let dan op het verschil terwijl u dit artikel leest en het serververificatiecertificaat voorbereidt.

Kies het certificaattype

Bepaal eerst waar u het certificaat wilt ophalen. Er zijn verschillende factoren om rekening mee te houden.

Clients moeten het CMG-serververificatiecertificaat vertrouwen om het HTTPS-kanaal met de CMG-service tot stand te brengen. Er zijn twee methoden om deze vertrouwensrelatie tot stand te brengen:

  1. Gebruik een certificaat van een openbare en wereldwijd vertrouwde certificaatprovider.

    • Windows-clients bevatten vertrouwde basiscertificeringsinstanties (CA's) van deze providers. Door een certificaat te gebruiken dat is uitgegeven door een van deze providers, vertrouwen uw klanten het automatisch.

    • Er zijn kosten verbonden aan dit certificaat, die specifiek zijn voor de provider.

  2. Gebruik een certificaat dat is uitgegeven door een ondernemings-CA vanuit uw openbare-sleutelinfrastructuur (PKI).

    • De meeste PKI-implementaties voor ondernemingen voegen de vertrouwde basis-CA's toe aan Windows-clients. Als u bijvoorbeeld Active Directory Certificate Services gebruikt met groepsbeleid. Als u het CMG-serververificatiecertificaat uitgeeft van een CA die uw clients niet automatisch vertrouwen, voegt u het vertrouwde basiscertificaat van de CA toe aan internetclients.

      Als u van plan bent om de Configuration Manager-client vanuit Intune te installeren, kunt u ook Intune-certificaatprofielen gebruiken om certificaten in te richten op clients. Zie Een certificaatprofiel configureren voor meer informatie.

    • Uw organisatie heeft mogelijk interne kosten voor het uitgeven van certificaten, maar er zijn over het algemeen geen externe kosten verbonden aan dit certificaat.

Belangrijk

Voordat u dit certificaat krijgt, moet u ervoor zorgen dat de servicenaam globaal uniek is voor het cloudservice- en opslagaccount. Zorg er ook voor dat voor de naam ondersteunde tekens worden gebruikt. Zie Wereldwijd unieke naam voor meer informatie.

Overzichtsvergelijking van certificaattypen

Openbare provider Enterprise PKI
Clientvertrouwen Standaard vertrouwd in Windows Automatisch met sommige implementaties, anders moet u implementeren
Kosten Ja Niet standaard
Voorbeeld van servicenaam GraniteFalls.contoso.com GraniteFalls.contoso.com of GraniteFalls.WestUS.CloudApp.Azure.Com
DNS CNAME vereist Ja Nee voor azure-domeinnaam (GraniteFalls.WestUS.CloudApp.Azure.Com)

Opmerking

Het CERTIFICAAT voor CMG-serververificatie ondersteunt jokertekens. Sommige certificeringsinstanties geven certificaten uit met een jokerteken voor het voorvoegsel van de servicenaam. Bijvoorbeeld *.contoso.com. Sommige organisaties gebruiken jokertekencertificaten om hun PKI te vereenvoudigen en de onderhoudskosten te verlagen.

Zie Een CMG instellen voor meer informatie over het gebruik van een jokertekencertificaat met een CMG.

Wereldwijd unieke naam

Voor dit certificaat is een wereldwijd unieke naam vereist om de service in Azure te identificeren. Voordat u een certificaat aanvraagt, controleert u of de gewenste Naam van de Azure-implementatie uniek is. Bijvoorbeeld GraniteFalls.WestUS.CloudApp.Azure.Com.

Virtuele-machineschaalset

  1. Meld u aan bij Azure Portal.

  2. Selecteer op de startpagina van Azure Portal een resource maken onder Azure-services.

  3. Zoek naar Virtuele-machineschaalset. Selecteer Maken.

  4. Selecteer het abonnement en de resourcegroep die u wilt gebruiken voor de CMG.

  5. Typ in het veld Naam van virtuele-machineschaalset het gewenste voorvoegsel. Bijvoorbeeld GraniteFalls.

  6. Selecteer de regio die u wilt gebruiken voor de CMG. Bijvoorbeeld (US) VS - west.

De interface geeft aan of de domeinnaam beschikbaar is of al wordt gebruikt door een andere service.

Belangrijk

Maak de service niet in de portal, gebruik dit proces om de beschikbaarheid van de naam te controleren.

Herhaal dit proces voor de Key Vault resource. De implementatie van de virtuele-machineschaalset maakt een sleutelkluis met dezelfde naam, die ook globaal uniek moet zijn.

CMG-opslagaccount met inhoud

Als u de CMG ook inschakelt voor inhoud, controleert u of het ook een unieke Azure-opslagaccountnaam is. Als de naam van de CMG-implementatie uniek is, maar het opslagaccount niet, Configuration Manager de service niet inrichten in Azure. Herhaal het bovenstaande proces in de Azure Portal met de volgende wijzigingen:

  • Zoek naar Opslagaccount.

  • Test uw naam in het veld Naam van opslagaccount .

Belangrijk

Het DNS-naamvoorvoegsel moet 3 tot 24 tekens lang zijn en alleen cijfers en kleine letters bevatten. Gebruik geen speciale tekens, zoals een streepje (-). Bijvoorbeeld: granitefalls.

Het certificaat uitgeven

Het CMG-serververificatiecertificaat ondersteunt de volgende configuraties:

  • 2048-bits of 4096-bits sleutellengte

  • Dit certificaat ondersteunt sleutelopslagproviders voor persoonlijke certificaatsleutels (v3). Zie Overzicht van CNG v3-certificaten voor meer informatie.

Een certificaat van een openbare provider gebruiken

Een externe certificaatprovider kan geen certificaat maken voor een Azure-domein zoals cloudapp.azure.com, omdat Microsoft eigenaar is van deze domeinen. U kunt alleen een certificaat krijgen dat is uitgegeven voor een domein dat u bezit. De belangrijkste reden voor het verkrijgen van een certificaat van een externe provider is dat uw clients het basiscertificaat van die provider al vertrouwen.

Het specifieke proces voor het ophalen van dit certificaat verschilt per provider. Neem voor meer informatie contact op met uw externe certificaatprovider.

Voor de algemene naam van het webservercertificaat (CN):

  • U hebt ervoor gezorgd dat de implementatienaamwereldwijd uniek is in Azure voor het cloudservice- en opslagaccount. Bijvoorbeeld GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Als u de servicenaam wilt bepalen, voegt u het implementatienaamvoorvoegsel (GraniteFalls) toe aan de domeinnaam van uw organisatie (contoso.com).

  • Gebruik deze servicenaam voor de algemene naam (CN) van het certificaat. Bijvoorbeeld GraniteFalls.contoso.com.

Vervolgens moet u een DNS CNAME-alias maken.

Een PKI-certificaat voor ondernemingen gebruiken

Het uitgeven van een webservercertificaat vanuit de PKI van uw organisatie verschilt per product. De instructies voor het implementeren van het servicecertificaat voor clouddistributiepunten zijn voor Active Directory Certificate Services. Dit proces is over het algemeen van toepassing op het CMG-serververificatiecertificaat.

Voor de algemene naam van het webservercertificaat (CN):

  • U hebt ervoor gezorgd dat de implementatienaamwereldwijd uniek is in Azure voor het cloudservice- en opslagaccount. Bijvoorbeeld GraniteFalls.WestUS.CloudApp.Azure.Com.

  • U hebt twee opties om de servicenaam te bepalen:

    • Gebruik uw domeinnaam (aanbevolen). Voeg het implementatienaamvoorvoegsel (GraniteFalls) toe aan de domeinnaam van uw organisatie (contoso.com). Bijvoorbeeld GraniteFalls.contoso.com. Voor deze optie moet u ook een DNS CNAME-alias maken.

    • Gebruik de naam van de Azure-implementatie. Voor deze optie is geen DNS CNAME-alias vereist. Bijvoorbeeld:

      • Voor de openbare Azure-cloud: GraniteFalls.WestUS.CloudApp.Azure.Com.

      • Voor de Azure Us Government-cloud: GraniteFalls.usgovcloudapp.net.

      Opmerking

      Als de naam van de Azure-implementatie verandert, moet u de service opnieuw implementeren om deze servicenaam te wijzigen. Als uw servicenaam zich bijvoorbeeld in het cloudapp.net domein bevindt, kunt u de cmg van de klassieke cloudservice niet converteren naar een virtuele-machineschaalset. Als u uw domeinnaam gebruikt voor de naam van de CMG-service, kunt u de DNS CNAME bijwerken voor de naam van de nieuwe implementatie.

  • Gebruik deze servicenaam voor de algemene naam (CN) van het certificaat.

Een DNS CNAME-alias maken

Als de naam van de CMG-service gebruikmaakt van de domeinnaam van uw organisatie (GraniteFalls.contoso.com), moet u een CNAME (Canonical Name Record) voor DNS maken. Met deze alias wordt de servicenaam toegewezen aan de implementatienaam.

Maak een CNAME-record in de openbare DNS van uw organisatie. De CMG-service in Azure en alle clients die deze gebruiken, moeten de servicenaam oplossen. Bijvoorbeeld:

  • Contoso noemt hun CMG GraniteFalls.

  • De implementatienaam in Azure is GraniteFalls.WestUS.CloudApp.Azure.Com.

  • In de openbare DNS-naamruimte contoso.com van Contoso maakt de DNS-beheerder een nieuwe CNAME-record voor de servicenaam GraniteFalls.contoso.com naar de Azure-implementatienaam, GraniteFalls.WestUS.CloudApp.Azure.Com.

Wanneer u de CMG maakt, terwijl het certificaat de CN heeftGraniteFalls.contoso.com, wordt Configuration Manager alleen het servicenaamvoorvoegsel geëxtraheerd, bijvoorbeeld: GraniteFalls. Dit voorvoegsel wordt toegevoegd aan het Azure-servicedomein (cloudapp.azure.com) met de regio (westus) om de implementatienaam te maken. Bijvoorbeeld GraniteFalls.WestUS.CloudApp.Azure.Com. De CNAME-alias in de DNS-naamruimte voor uw domein (contoso.com) wijst deze twee FQDN's toe.

Het Configuration Manager-clientbeleid bevat de CMG-servicenaam, GraniteFalls.contoso.com. De client zet de servicenaam via de CNAME-alias om in de implementatienaam, GraniteFalls.WestUS.CloudApp.Azure.Com. Vervolgens kan het IP-adres van de implementatienaam worden omgezet om te communiceren met de service in Azure.

Volgende stappen

Ga door met het instellen van uw CMG door Microsoft Entra-id te configureren:

Microsoft Entra-id configureren