Certyfikat uwierzytelniania serwera CMG

Dotyczy: programu Configuration Manager (bieżąca gałąź)

Pierwszym krokiem podczas konfigurowania bramy zarządzania chmurą jest uzyskanie certyfikatu uwierzytelniania serwera. Cmg tworzy usługę HTTPS, z którą łączą się klienci internetowi. Serwer wymaga certyfikatu uwierzytelniania serwera w celu skompilowania bezpiecznego kanału. W tym celu możesz uzyskać certyfikat od dostawcy publicznego lub wystawić go z infrastruktury kluczy publicznych (PKI).

Podczas tworzenia usługi CMG w konsoli programu Configuration Manager należy podać ten certyfikat. Nazwa pospolita (CN) tego certyfikatu definiuje nazwę usługi cmg.

Uwaga

Mogą być potrzebne dodatkowe certyfikaty dla klientów i punktów zarządzania. Te certyfikaty są omówione w trzecim kroku procesu konfiguracji cmg , Konfigurowanie uwierzytelniania klienta.

Przypomnienie o terminologii cmg używanej w tym artykule:

• Nazwa usługi: nazwa pospolita (CN) certyfikatu uwierzytelniania serwera CMG. Klienci i rola systemu lokacji punktu połączenia cmg komunikują się z tą nazwą usługi. Na przykład GraniteFalls.contoso.com lub GraniteFalls.WestUS.CloudApp.Azure.Com.

• Nazwa wdrożenia: pierwsza część nazwy usługi oraz lokalizacja platformy Azure dla wdrożenia usługi w chmurze. Składnik menedżera usług w chmurze punktu połączenia z usługą używa tej nazwy podczas wdrażania usługi CMG na platformie Azure. Nazwa wdrożenia jest zawsze w domenie platformy Azure. Lokalizacja platformy Azure zależy od metody wdrażania, na przykład:

  • Zestaw skalowania maszyn wirtualnych: GraniteFalls.WestUS.CloudApp.Azure.Com
  • Wdrożenie klasyczne: GraniteFalls.CloudApp.Net

  Ważna

  W tym artykule użyto przykładów z zestawem skalowania maszyn wirtualnych jako zalecanej metody wdrażania w wersji 2107 lub nowszej. Jeśli używasz wdrożenia klasycznego, zwróć uwagę na różnicę podczas czytania tego artykułu i przygotowania certyfikatu uwierzytelniania serwera.

Wybierz typ certyfikatu

Najpierw zdecyduj, gdzie chcesz uzyskać certyfikat. Istnieje kilka czynników, które należy wziąć pod uwagę.

Klienci muszą ufać certyfikatowi uwierzytelniania serwera CMG, aby ustanowić kanał HTTPS z usługą CMG. Istnieją dwie metody realizacji tego zaufania:

1. Użyj certyfikatu od publicznego i globalnie zaufanego dostawcy certyfikatów.

   • Klienci systemu Windows obejmują zaufane główne urzędy certyfikacji (CA) od tych dostawców. Używając certyfikatu wystawionego przez jednego z tych dostawców, klienci automatycznie ufają temu certyfikatowi.

   • Istnieje koszt związany z tym certyfikatem, który jest specyficzny dla dostawcy.

2. Użyj certyfikatu wystawionego przez urząd certyfikacji przedsiębiorstwa z infrastruktury kluczy publicznych (PKI).

   • Większość implementacji infrastruktury PKI przedsiębiorstwa dodaje zaufane główne urzędy certyfikacji do klientów systemu Windows. Jeśli na przykład używasz usług certyfikatów Active Directory z zasadami grupy. Jeśli wystawisz certyfikat uwierzytelniania serwera CMG z urzędu certyfikacji, któremu klienci nie ufają automatycznie, dodaj zaufany certyfikat główny urzędu certyfikacji do klientów internetowych.

     Jeśli planujesz zainstalować klienta programu Configuration Manager z usługi Intune, możesz również użyć profilów certyfikatów usługi Intune do aprowizowania certyfikatów na klientach. Aby uzyskać więcej informacji, zobacz Konfigurowanie profilu certyfikatu.

   • Organizacja może mieć wewnętrzny koszt wystawiania certyfikatów, ale z tym certyfikatem zwykle nie są skojarzone żadne koszty zewnętrzne.

Ważna

Przed uzyskaniem tego certyfikatu upewnij się, że nazwa usługi jest globalnie unikatowa dla konta usługi w chmurze i magazynu. Upewnij się również, że nazwa używa obsługiwanych znaków. Aby uzyskać więcej informacji, zobacz Globalnie unikatowa nazwa.

Podsumowanie porównania typów certyfikatów

	Dostawca publiczny	infrastruktura kluczy publicznych przedsiębiorstw
Zaufanie klienta	Domyślnie zaufane w systemie Windows	Automatyczne z niektórymi implementacjami, w przeciwnym razie trzeba wdrożyć
Koszt	Tak	Nie jest to typowe
Przykład nazwy usługi	GraniteFalls.contoso.com	GraniteFalls.contoso.com lub GraniteFalls.WestUS.CloudApp.Azure.Com
Wymagana nazwa CNAME DNS	Tak	Nie dla nazwy usługi domeny platformy Azure (GraniteFalls.WestUS.CloudApp.Azure.Com)

Uwaga

Certyfikat uwierzytelniania serwera CMG obsługuje symbole wieloznaczne. Niektóre urzędy certyfikacji wystawiają certyfikaty przy użyciu symbolu wieloznacznego dla prefiksu nazwy usługi. Na przykład *.contoso.com. Niektóre organizacje używają certyfikatów z symbolami wieloznaczowymi, aby uprościć infrastrukturę PKI i zmniejszyć koszty konserwacji.

Aby uzyskać więcej informacji na temat używania certyfikatu z symbolem wieloznacznym z cmg, zobacz Konfigurowanie cmg.

Unikatowa nazwa globalna

Ten certyfikat wymaga globalnie unikatowej nazwy, aby zidentyfikować usługę na platformie Azure. Przed zażądaniem certyfikatu upewnij się, że żądana nazwa wdrożenia platformy Azure jest unikatowa. Na przykład GraniteFalls.WestUS.CloudApp.Azure.Com.

Zestaw skalowania maszyn wirtualnych

1. Zaloguj się do witryny Azure Portal.

2. Na stronie głównej witryny Azure Portal wybierz pozycję Utwórz zasób w obszarze Usługi platformy Azure.

3. Wyszukaj pozycję Zestaw skalowania maszyn wirtualnych. Wybierz pozycję Utwórz.

4. Wybierz subskrypcję i grupę zasobów , których użyjesz dla cmg.

5. W polu Nazwa zestawu skalowania maszyn wirtualnych wpisz odpowiedni prefiks. Na przykład GraniteFalls.

6. Wybierz region , którego użyjesz dla cmg. Na przykład (USA) Zachodnie stany USA.

Interfejs odzwierciedla, czy nazwa domeny jest dostępna, czy już używana przez inną usługę.

Ważna

Nie twórz usługi w portalu, tylko użyj tego procesu, aby sprawdzić dostępność nazwy.

Powtórz ten proces dla zasobu usługi Key Vault . Wdrożenie zestawu skalowania maszyn wirtualnych tworzy magazyn kluczy o tej samej nazwie, który również musi być unikatowy globalnie.

Konto magazynu CMG z obsługą zawartości

Jeśli włączysz również cmg dla zawartości, upewnij się, że jest to również unikatowa nazwa konta usługi Azure Storage. Jeśli nazwa wdrożenia cmg jest unikatowa, ale konto magazynu nie jest, program Configuration Manager nie może aprowizować usługi na platformie Azure. Powtórz powyższy proces w witrynie Azure Portal z następującymi zmianami:

• Wyszukaj konto magazynu.

• Przetestuj swoją nazwę w polu Nazwa konta magazynu .

Ważna

Prefiks nazwy DNS powinien mieć długość od 3 do 24 znaków i zawierać tylko cyfry i małe litery. Nie używaj znaków specjalnych, takich jak kreska (-). Na przykład: granitefalls.

Wystawianie certyfikatu

Certyfikat uwierzytelniania serwera CMG obsługuje następujące konfiguracje:

• Długość klucza 2048-bitowego lub 4096-bitowego

• Ten certyfikat obsługuje dostawców magazynu kluczy dla kluczy prywatnych certyfikatu (wersja 3). Aby uzyskać więcej informacji, zobacz CNG v3 certificates overview (Omówienie certyfikatów CNG w wersji 3).

Używanie certyfikatu dostawcy publicznego

Dostawca certyfikatów innej firmy nie może utworzyć certyfikatu dla domeny platformy Azure, takiego jak cloudapp.azure.com, ponieważ firma Microsoft jest właścicielem tych domen. Certyfikat wystawiony tylko dla posiadanej domeny. Głównym powodem uzyskania certyfikatu od dostawcy innej firmy jest to, że klienci już ufają certyfikatowi głównemu tego dostawcy.

Określony proces pobierania tego certyfikatu różni się w zależności od dostawcy. Aby uzyskać więcej informacji, skontaktuj się z dostawcą certyfikatów innej firmy.

Dla nazwy pospolitej certyfikatu serwera sieci Web (CN):

• Upewnij się, że nazwa wdrożenia jest globalnie unikatowa na platformie Azure dla konta usługi w chmurze i magazynu. Na przykład GraniteFalls.WestUS.CloudApp.Azure.Com.

• Aby określić nazwę usługi, dołącz prefiks nazwy wdrożenia (GraniteFalls) do nazwy domeny organizacji (contoso.com).

• Użyj tej nazwy usługi dla nazwy pospolitej certyfikatu (CN). Na przykład GraniteFalls.contoso.com.

Następnie należy utworzyć alias CNAME DNS.

Korzystanie z certyfikatu PKI przedsiębiorstwa

Wystawianie certyfikatu serwera internetowego z infrastruktury kluczy publicznych organizacji różni się w zależności od produktu. Instrukcje dotyczące wdrażania certyfikatu usługi dla chmurowych punktów dystrybucji dotyczą usług certyfikatów Active Directory. Ten proces ma zwykle zastosowanie do certyfikatu uwierzytelniania serwera CMG.

Dla nazwy pospolitej certyfikatu serwera sieci Web (CN):

• Upewnij się, że nazwa wdrożenia jest globalnie unikatowa na platformie Azure dla konta usługi w chmurze i magazynu. Na przykład GraniteFalls.WestUS.CloudApp.Azure.Com.

• Aby określić nazwę usługi, dostępne są dwie opcje:

  • Użyj nazwy domeny (zalecane). Dołącz prefiks nazwy wdrożenia (GraniteFalls) do nazwy domeny organizacji (contoso.com). Na przykład GraniteFalls.contoso.com. W przypadku tej opcji należy również utworzyć alias CNAME DNS.

  • Użyj nazwy wdrożenia platformy Azure. Ta opcja nie wymaga aliasu CNAME DNS. Przykład:

    • W przypadku chmury publicznej platformy Azure: GraniteFalls.WestUS.CloudApp.Azure.Com.

    • W przypadku chmury azure US Government: GraniteFalls.usgovcloudapp.net.

    Uwaga

    Jeśli nazwa wdrożenia platformy Azure ulegnie zmianie, należy ponownie wdrożyć usługę, aby zmienić tę nazwę usługi. Jeśli na przykład nazwa usługi znajduje się w domenie, nie można przekonwertować klasycznej grupy cmg usługi w cloudapp.net chmurze na zestaw skalowania maszyn wirtualnych. Jeśli używasz nazwy domeny dla nazwy usługi CMG, możesz zaktualizować nazwę CNAME DNS dla nowej nazwy wdrożenia.

• Użyj tej nazwy usługi dla nazwy pospolitej certyfikatu (CN).

Tworzenie aliasu CNAME DNS

Jeśli nazwa usługi CMG używa nazwy domeny organizacji (GraniteFalls.contoso.com), musisz utworzyć rekord nazwy kanonicznej DNS (CNAME). Ten alias mapuje nazwę usługi na nazwę wdrożenia.

Utwórz rekord CNAME w publicznym systemie DNS organizacji. Usługa CMG na platformie Azure i wszyscy klienci, którzy z niej korzystają, muszą rozpoznać nazwę usługi. Przykład:

• Firma Contoso nazywa swoje cmg granitefalls.

• Nazwa wdrożenia na platformie Azure to GraniteFalls.WestUS.CloudApp.Azure.Com.

• W publicznej przestrzeni nazw DNS contoso.com firmy Contoso administrator DNS tworzy nowy rekord CNAME dla nazwy GraniteFalls.contoso.com usługi o nazwie GraniteFalls.WestUS.CloudApp.Azure.Comwdrożenia platformy Azure.

Podczas tworzenia cmg, podczas gdy certyfikat ma GraniteFalls.contoso.com jako CN, program Configuration Manager wyodrębnia tylko prefiks nazwy usługi, na przykład: GraniteFalls. Dołącza ten prefiks do domeny usługi platformy Azure (cloudapp.azure.com) z regionem (westus), aby utworzyć nazwę wdrożenia. Na przykład GraniteFalls.WestUS.CloudApp.Azure.Com. Alias CNAME w przestrzeni nazw DNS dla domeny (contoso.com) mapuje te dwie nazwy FQDN.

Zasady klienta programu Configuration Manager zawierają nazwę usługi CMG. GraniteFalls.contoso.com Klient rozpoznaje nazwę usługi za pośrednictwem aliasu CNAME jako nazwę wdrożenia . GraniteFalls.WestUS.CloudApp.Azure.Com Następnie może rozpoznać adres IP nazwy wdrożenia, aby komunikować się z usługą na platformie Azure.

Następne kroki

Kontynuuj konfigurację usługi CMG, konfigurując identyfikator Entra firmy Microsoft:

Konfigurowanie identyfikatora usługi Microsoft Entra