Certyfikat uwierzytelniania serwera CMG
Dotyczy: programu Configuration Manager (bieżąca gałąź)
Pierwszym krokiem podczas konfigurowania bramy zarządzania chmurą jest uzyskanie certyfikatu uwierzytelniania serwera. Cmg tworzy usługę HTTPS, z którą łączą się klienci internetowi. Serwer wymaga certyfikatu uwierzytelniania serwera w celu skompilowania bezpiecznego kanału. W tym celu możesz uzyskać certyfikat od dostawcy publicznego lub wystawić go z infrastruktury kluczy publicznych (PKI).
Podczas tworzenia usługi CMG w konsoli Configuration Manager należy podać ten certyfikat. Nazwa pospolita (CN) tego certyfikatu definiuje nazwę usługi cmg.
Uwaga
Mogą być potrzebne dodatkowe certyfikaty dla klientów i punktów zarządzania. Te certyfikaty są omówione w trzecim kroku procesu konfiguracji cmg , Konfigurowanie uwierzytelniania klienta.
Przypomnienie o terminologii cmg używanej w tym artykule:
Nazwa usługi: nazwa pospolita (CN) certyfikatu uwierzytelniania serwera CMG. Klienci i rola systemu lokacji punktu połączenia cmg komunikują się z tą nazwą usługi. Na przykład
GraniteFalls.contoso.comlubGraniteFalls.WestUS.CloudApp.Azure.Com.Nazwa wdrożenia: pierwsza część nazwy usługi oraz lokalizacja platformy Azure dla wdrożenia usługi w chmurze. Składnik menedżera usług w chmurze punktu połączenia z usługą używa tej nazwy podczas wdrażania usługi CMG na platformie Azure. Nazwa wdrożenia jest zawsze w domenie platformy Azure. Lokalizacja platformy Azure zależy od metody wdrażania, na przykład:
- Zestaw skalowania maszyn wirtualnych:
GraniteFalls.WestUS.CloudApp.Azure.Com - Wdrożenie klasyczne:
GraniteFalls.CloudApp.Net
Ważna
W tym artykule użyto przykładów z zestawem skalowania maszyn wirtualnych jako zalecanej metody wdrażania w wersji 2107 lub nowszej. Jeśli używasz wdrożenia klasycznego, zwróć uwagę na różnicę podczas czytania tego artykułu i przygotowania certyfikatu uwierzytelniania serwera.
- Zestaw skalowania maszyn wirtualnych:
Wybierz typ certyfikatu
Najpierw zdecyduj, gdzie chcesz uzyskać certyfikat. Istnieje kilka czynników, które należy wziąć pod uwagę.
Klienci muszą ufać certyfikatowi uwierzytelniania serwera CMG, aby ustanowić kanał HTTPS z usługą CMG. Istnieją dwie metody realizacji tego zaufania:
Użyj certyfikatu od publicznego i globalnie zaufanego dostawcy certyfikatów.
Klienci systemu Windows obejmują zaufane główne urzędy certyfikacji (CA) od tych dostawców. Używając certyfikatu wystawionego przez jednego z tych dostawców, klienci automatycznie ufają temu certyfikatowi.
Istnieje koszt związany z tym certyfikatem, który jest specyficzny dla dostawcy.
Użyj certyfikatu wystawionego przez urząd certyfikacji przedsiębiorstwa z infrastruktury kluczy publicznych (PKI).
Większość implementacji infrastruktury PKI przedsiębiorstwa dodaje zaufane główne urzędy certyfikacji do klientów systemu Windows. Jeśli na przykład używasz usług certyfikatów Active Directory z zasadami grupy. Jeśli wystawisz certyfikat uwierzytelniania serwera CMG z urzędu certyfikacji, któremu klienci nie ufają automatycznie, dodaj zaufany certyfikat główny urzędu certyfikacji do klientów internetowych.
Jeśli planujesz zainstalować klienta Configuration Manager z usługi Intune, możesz również użyć profilów certyfikatów usługi Intune do aprowizowania certyfikatów na klientach. Aby uzyskać więcej informacji, zobacz Konfigurowanie profilu certyfikatu.
Organizacja może mieć wewnętrzny koszt wystawiania certyfikatów, ale z tym certyfikatem zwykle nie są skojarzone żadne koszty zewnętrzne.
Ważna
Przed uzyskaniem tego certyfikatu upewnij się, że nazwa usługi jest globalnie unikatowa dla konta usługi w chmurze i magazynu. Upewnij się również, że nazwa używa obsługiwanych znaków. Aby uzyskać więcej informacji, zobacz Globalnie unikatowa nazwa.
Podsumowanie porównania typów certyfikatów
| Dostawca publiczny | infrastruktura kluczy publicznych przedsiębiorstw | |
|---|---|---|
| Zaufanie klienta | Domyślnie zaufane w systemie Windows | Automatyczne z niektórymi implementacjami, w przeciwnym razie trzeba wdrożyć |
| Koszt | Tak | Nie jest to typowe |
| Przykład nazwy usługi | GraniteFalls.contoso.com |
GraniteFalls.contoso.com Lub GraniteFalls.WestUS.CloudApp.Azure.Com |
| Wymagana nazwa CNAME DNS | Tak | Nie dla nazwy usługi domeny platformy Azure (GraniteFalls.WestUS.CloudApp.Azure.Com) |
Uwaga
Certyfikat uwierzytelniania serwera CMG obsługuje symbole wieloznaczne. Niektóre urzędy certyfikacji wystawiają certyfikaty przy użyciu symbolu wieloznacznego dla prefiksu nazwy usługi. Na przykład *.contoso.com. Niektóre organizacje używają certyfikatów z symbolami wieloznaczowymi, aby uprościć infrastrukturę PKI i zmniejszyć koszty konserwacji.
Aby uzyskać więcej informacji na temat używania certyfikatu z symbolem wieloznacznym z cmg, zobacz Konfigurowanie cmg.
Unikatowa nazwa globalna
Ten certyfikat wymaga globalnie unikatowej nazwy, aby zidentyfikować usługę na platformie Azure. Przed zażądaniem certyfikatu upewnij się, że żądana nazwa wdrożenia platformy Azure jest unikatowa. Na przykład GraniteFalls.WestUS.CloudApp.Azure.Com.
Zestaw skalowania maszyn wirtualnych
Zaloguj się do witryny Azure Portal.
Na stronie głównej Azure Portal wybierz pozycję Utwórz zasób w obszarze Usługi platformy Azure.
Wyszukaj pozycję Zestaw skalowania maszyn wirtualnych. Wybierz pozycję Utwórz.
Wybierz subskrypcję i grupę zasobów , których użyjesz dla cmg.
W polu Nazwa zestawu skalowania maszyn wirtualnych wpisz odpowiedni prefiks. Na przykład
GraniteFalls.Wybierz region , którego użyjesz dla cmg. Na przykład (USA) Zachodnie stany USA.
Interfejs odzwierciedla, czy nazwa domeny jest dostępna, czy już używana przez inną usługę.
Ważna
Nie twórz usługi w portalu, tylko użyj tego procesu, aby sprawdzić dostępność nazwy.
Powtórz ten proces dla zasobu Key Vault. Wdrożenie zestawu skalowania maszyn wirtualnych tworzy magazyn kluczy o tej samej nazwie, który również musi być unikatowy globalnie.
Konto magazynu CMG z obsługą zawartości
Jeśli włączysz również cmg dla zawartości, upewnij się, że jest to również unikatowa nazwa konta usługi Azure Storage. Jeśli nazwa wdrożenia cmg jest unikatowa, ale konto magazynu nie jest, Configuration Manager nie może aprowizować usługi na platformie Azure. Powtórz powyższy proces w Azure Portal z następującymi zmianami:
Wyszukaj konto magazynu.
Przetestuj swoją nazwę w polu Nazwa konta magazynu .
Ważna
Prefiks nazwy DNS powinien mieć długość od 3 do 24 znaków i zawierać tylko cyfry i małe litery. Nie używaj znaków specjalnych, takich jak kreska (-). Na przykład: granitefalls.
Wystawianie certyfikatu
Certyfikat uwierzytelniania serwera CMG obsługuje następujące konfiguracje:
Długość klucza 2048-bitowego lub 4096-bitowego
Ten certyfikat obsługuje dostawców magazynu kluczy dla kluczy prywatnych certyfikatu (wersja 3). Aby uzyskać więcej informacji, zobacz CNG v3 certificates overview (Omówienie certyfikatów CNG w wersji 3).
Używanie certyfikatu dostawcy publicznego
Dostawca certyfikatów innej firmy nie może utworzyć certyfikatu dla domeny platformy Azure, takiego jak cloudapp.azure.com, ponieważ firma Microsoft jest właścicielem tych domen. Certyfikat wystawiony tylko dla posiadanej domeny. Głównym powodem uzyskania certyfikatu od dostawcy innej firmy jest to, że klienci już ufają certyfikatowi głównemu tego dostawcy.
Określony proces pobierania tego certyfikatu różni się w zależności od dostawcy. Aby uzyskać więcej informacji, skontaktuj się z dostawcą certyfikatów innej firmy.
Dla nazwy pospolitej certyfikatu serwera sieci Web (CN):
Upewnij się, że nazwa wdrożenia jest globalnie unikatowa na platformie Azure dla konta usługi w chmurze i magazynu. Na przykład
GraniteFalls.WestUS.CloudApp.Azure.Com.Aby określić nazwę usługi, dołącz prefiks nazwy wdrożenia (
GraniteFalls) do nazwy domeny organizacji (contoso.com).Użyj tej nazwy usługi dla nazwy pospolitej certyfikatu (CN). Na przykład
GraniteFalls.contoso.com.
Następnie należy utworzyć alias CNAME DNS.
Korzystanie z certyfikatu PKI przedsiębiorstwa
Wystawianie certyfikatu serwera internetowego z infrastruktury kluczy publicznych organizacji różni się w zależności od produktu. Instrukcje dotyczące wdrażania certyfikatu usługi dla chmurowych punktów dystrybucji dotyczą usług certyfikatów Active Directory. Ten proces ma zwykle zastosowanie do certyfikatu uwierzytelniania serwera CMG.
Dla nazwy pospolitej certyfikatu serwera sieci Web (CN):
Upewnij się, że nazwa wdrożenia jest globalnie unikatowa na platformie Azure dla konta usługi w chmurze i magazynu. Na przykład
GraniteFalls.WestUS.CloudApp.Azure.Com.Aby określić nazwę usługi, dostępne są dwie opcje:
Użyj nazwy domeny (zalecane). Dołącz prefiks nazwy wdrożenia (
GraniteFalls) do nazwy domeny organizacji (contoso.com). Na przykładGraniteFalls.contoso.com. W przypadku tej opcji należy również utworzyć alias CNAME DNS.Użyj nazwy wdrożenia platformy Azure. Ta opcja nie wymaga aliasu CNAME DNS. Przykład:
W przypadku chmury publicznej platformy Azure:
GraniteFalls.WestUS.CloudApp.Azure.Com.W przypadku chmury azure US Government:
GraniteFalls.usgovcloudapp.net.
Uwaga
Jeśli nazwa wdrożenia platformy Azure ulegnie zmianie, należy ponownie wdrożyć usługę, aby zmienić tę nazwę usługi. Jeśli na przykład nazwa usługi znajduje się w domenie, nie można przekonwertować klasycznej grupy cmg usługi w
cloudapp.netchmurze na zestaw skalowania maszyn wirtualnych. Jeśli używasz nazwy domeny dla nazwy usługi CMG, możesz zaktualizować nazwę CNAME DNS dla nowej nazwy wdrożenia.
Użyj tej nazwy usługi dla nazwy pospolitej certyfikatu (CN).
Tworzenie aliasu CNAME DNS
Jeśli nazwa usługi CMG używa nazwy domeny organizacji (GraniteFalls.contoso.com), musisz utworzyć rekord nazwy kanonicznej DNS (CNAME). Ten alias mapuje nazwę usługi na nazwę wdrożenia.
Utwórz rekord CNAME w publicznym systemie DNS organizacji. Usługa CMG na platformie Azure i wszyscy klienci, którzy z niej korzystają, muszą rozpoznać nazwę usługi. Przykład:
Firma Contoso nazywa swoje cmg granitefalls.
Nazwa wdrożenia na platformie Azure to
GraniteFalls.WestUS.CloudApp.Azure.Com.W publicznej przestrzeni nazw DNS
contoso.comfirmy Contoso administrator DNS tworzy nowy rekord CNAME dla nazwyGraniteFalls.contoso.comusługi o nazwieGraniteFalls.WestUS.CloudApp.Azure.Comwdrożenia platformy Azure.
Podczas tworzenia cmg, podczas gdy certyfikat ma GraniteFalls.contoso.com jako CN, Configuration Manager wyodrębnia tylko prefiks nazwy usługi, na przykład: GraniteFalls. Dołącza ten prefiks do domeny usługi platformy Azure (cloudapp.azure.com) z regionem (westus), aby utworzyć nazwę wdrożenia. Na przykład GraniteFalls.WestUS.CloudApp.Azure.Com. Alias CNAME w przestrzeni nazw DNS dla domeny (contoso.com) mapuje te dwie nazwy FQDN.
Zasady klienta Configuration Manager zawierają nazwę usługi CMG. GraniteFalls.contoso.com Klient rozpoznaje nazwę usługi za pośrednictwem aliasu CNAME jako nazwę wdrożenia . GraniteFalls.WestUS.CloudApp.Azure.Com Następnie może rozpoznać adres IP nazwy wdrożenia, aby komunikować się z usługą na platformie Azure.
Następne kroki
Kontynuuj konfigurację programu CMG, konfigurując identyfikator Microsoft Entra:
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla