Partilhar via

Certificado de autenticação do servidor CMG

  • Artigo

Aplica-se a: Configuration Manager (ramo atual)

O primeiro passo quando configurar um gateway de gestão de nuvem (CMG) é obter o certificado de autenticação do servidor. O CMG cria um serviço HTTPS ao qual os clientes baseados na Internet se conectam. O servidor requer um certificado de autenticação do servidor para construir o canal seguro. Pode adquirir um certificado para o efeito a um fornecedor público, ou emiti-lo a partir da sua infraestrutura de chave pública (PKI).

Quando criar o CMG na consola Do Gestor de Configuração, fornece este certificado. O nome comum (CN) deste certificado define o nome de serviço da CMG.

Nota

Poderá necessitar de certificados adicionais para clientes e pontos de gestão. Estes certificados estão abrangidos pela terceira etapa do processo de configuração da CMG, a autenticação do cliente Configure.

Um lembrete de alguma terminologia cmg que é usada neste artigo:

  • Nome de serviço : O nome comum (CN) do certificado de autenticação do servidor CMG. Os clientes e a função do sistema de site de ponto de ligação CMG comunicam com este nome de serviço. Por exemplo, GraniteFalls.contoso.com ou GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Nome de implantação: A primeira parte do nome de serviço mais a localização Azure para a implementação do serviço de nuvem. O componente do gestor de serviço de nuvem do ponto de ligação de serviço utiliza este nome quando implementa o CMG em Azure. O nome de implantação está sempre num domínio Azure. A localização Azure depende do método de implantação, por exemplo:

    • Conjunto de escala de máquina virtual: GraniteFalls.WestUS.CloudApp.Azure.Com
    • Implantação clássica: GraniteFalls.CloudApp.Net

    Importante

    Este artigo utiliza exemplos com uma escala de máquina virtual definida como o método de implementação recomendado na versão 2107 e posteriormente. Se utilizar uma implementação clássica, note a diferença ao ler este artigo e prepare o certificado de autenticação do servidor.

Escolha o tipo de certificado

Primeiro, decida onde quer obter o certificado. Há vários fatores a considerar.

Os clientes devem confiar no certificado de autenticação do servidor CMG para estabelecer o canal HTTPS com o serviço CMG. Existem dois métodos para concretizar esta confiança:

  1. Utilize um certificado de um fornecedor de certificados de confiança pública e global.

    • Windows clientes incluem as autoridades de certificados de raiz fidedignas (AA) destes fornecedores. Ao utilizar um certificado emitido por um destes fornecedores, os seus clientes confiam automaticamente nele.

    • Há um custo associado a este certificado, que é específico para o fornecedor.

  2. Utilize um certificado emitido por uma empresa CA a partir da sua infraestrutura de chaves públicas (PKI).

    • A maioria das implementações de PKI da empresa adicionam os CAs de raiz fidedignas a Windows clientes. Por exemplo, se utilizar serviços de certificados de diretório ativo com política de grupo. Se emitir o certificado de autenticação do servidor CMG a partir de uma AC em que os seus clientes não confiam automaticamente, adicione o certificado de raiz fidedigno da AC a clientes baseados na Internet.

      Se planeia instalar o cliente Gestor de Configuração da Intune,também pode utilizar perfis de certificados Intune para obter certificados nos clientes. Para mais informações, consulte configurar um perfil de certificado.

    • A sua organização pode ter um custo interno para emitir certificados, mas geralmente não existem custos externos associados a este certificado.

Importante

Antes de obter este certificado, certifique-se de que o nome do serviço é globalmente único para o serviço de nuvem e conta de armazenamento. Certifique-se também de que o nome utiliza caracteres suportados. Para mais informações, consulte o nome exclusivo globalmente.

Comparação sumária dos tipos de certificados

Prestador público Empresa PKI
Confiança do cliente Confiável em Windows por padrão Automático com algumas implementações, caso contrário, precisa de implementar
Custo Yes Não é típico
Exemplo de nome de serviço GraniteFalls.contoso.com GraniteFalls.contoso.com ou GraniteFalls.WestUS.CloudApp.Azure.Com
DNS CNAME necessário Yes Não para o nome de serviço de domínio Azure GraniteFalls.WestUS.CloudApp.Azure.Com ()

Nota

O certificado de autenticação do servidor CMG suporta wildcards. Algumas autoridades de certificados emitem certificados usando um caracteres wildcard para o prefixo do nome de serviço. Por exemplo, *.contoso.com. Algumas organizações usam certificados wildcard para simplificar o seu PKI e reduzir os custos de manutenção.

Para obter mais informações sobre como utilizar um certificado wildcard com um CMG, consulte Configurar um CMG.

Nome globalmente exclusivo

Este certificado requer um nome globalmente único para identificar o serviço em Azure. Antes de solicitar um certificado, confirme que o nome de implantação Azure que deseja é único. Por exemplo, GraniteFalls.WestUS.CloudApp.Azure.Com.

Conjuntos de dimensionamento de máquinas virtuais

  1. Inicie sessão no portal do Azure.

  2. A partir da página inicial do portal Azure, selecione Criar um recurso sob os serviços Azure.

  3. Procure por conjunto de escala de máquina virtual. Selecione Criar.

  4. Selecione o grupo de subscrição e recursos que utilizará para o CMG.

  5. No campo de identificação da balança de máquina virtual, digite o prefixo que pretende. Por exemplo, GraniteFalls.

  6. Selecione a Região que utilizará para o CMG. Por exemplo, (EUA) West US.

A interface reflete se o nome de domínio está disponível ou já está em uso por outro serviço.

Importante

Não crie o serviço no portal, basta utilizar este processo para verificar a disponibilidade do nome.

Conta de armazenamento CMG ativada pelo conteúdo

Se também ativar o CMG para conteúdo, confirme que também é um nome único da conta de armazenamento Azure. Se o nome de implementação cmg for único, mas a conta de armazenamento não for, o Gestor de Configuração não fornece o serviço em Azure. Repita o processo acima no portal Azure com as seguintes alterações:

  • Procure Armazenamento conta.

  • Teste o seu nome no campo de nomes da conta Armazenamento.

Importante

O prefixo do nome DNS, por GraniteFalls exemplo, deve ter 3 a 24 caracteres de comprimento e apenas usar caracteres alfanuméricos. Não use caracteres especiais, como um traço - ().

Emite o certificado

O certificado de autenticação do servidor CMG suporta as seguintes configurações:

  • Comprimento da chave de 2048 ou 4096 bits

  • Este certificado suporta os principais fornecedores de armazenamento de chaves privadas de certificado (v3). Para mais informações, consulte a visão geral dos certificados CNG v3.

Utilize um certificado de fornecedor público

Um fornecedor de certificados de terceiros não pode criar um certificado para um domínio Azure como cloudapp.azure.com , porque a Microsoft é dona desses domínios. Só é possível obter um certificado emitido para um domínio que possui. A principal razão para adquirir um certificado de um fornecedor de terceiros é que os seus clientes já confiam no certificado de raiz desse fornecedor.

O processo específico para obter este certificado varia consodem-se a fornecedor. Para mais informações, contacte o seu fornecedor de certificados de terceiros.

Para o certificado de servidor web nome comum (CN):

  • Garantiu que o nome de implementação é globalmente único em Azure para o serviço de nuvem e conta de armazenamento. Por exemplo, GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Para determinar o nome de serviço, apoeça o prefixo do nome de implantação GraniteFalls () ao nome de domínio da sua organização ( contoso.com ).

  • Utilize este nome de serviço para o nome comum do certificado (CN). Por exemplo, GraniteFalls.contoso.com.

Em seguida, você precisa criar um pseudónimo DNS CNAME.

Use um certificado PKI da empresa

A emissão de um certificado de servidor web do PKI da sua organização varia consoante o produto. As instruções para a implantação do certificado de serviço para pontos de distribuição baseados na nuvem são para serviços de certificados de diretório ativo. Este processo aplica-se geralmente ao certificado de autenticação do servidor CMG.

Para o certificado de servidor web nome comum (CN):

  • Garantiu que o nome de implementação é globalmente único em Azure para o serviço de nuvem e conta de armazenamento. Por exemplo, GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Para determinar o nome de serviço, tem duas opções:

    • Utilize o seu nome de domínio (recomendado). Anexar o prefixo do nome de implantação GraniteFalls () ao nome de domínio da sua organização ( contoso.com ). Por exemplo, GraniteFalls.contoso.com. Para esta opção, também precisa de criar um pseudónimo DNS CNAME.

    • Utilize o nome de implantação Azure. Esta opção não requer um pseudónimo DNS CNAME. Por exemplo:

      • Para a nuvem pública de Azure: GraniteFalls.WestUS.CloudApp.Azure.Com .

      • Para a nuvem do Governo dos EUA Azure: GraniteFalls.usgovcloudapp.net .

      Nota

      Se o nome de implementação Azure mudar, terá de reenfectar o serviço para alterar este nome de serviço. Por exemplo, se o seu nome de serviço estiver no cloudapp.net domínio, não pode converter o cmg clássico do serviço de nuvem para um conjunto de escala de máquina virtual. Se utilizar o nome de domínio para o nome de serviço CMG, então pode atualizar o DNS CNAME para o novo nome de implantação.

  • Utilize este nome de serviço para o nome comum do certificado (CN).

Criar um pseudónimo DNS CNAME

Se o nome de serviço CMG utilizar o nome de domínio da sua organização GraniteFalls.contoso.com (), é necessário criar um registo de nomes canónicos DNS (CNAME). Este pseudónimo mapeia o nome de serviço para o nome de implantação.

Crie um registo CNAME no DNS público da sua organização. O serviço CMG em Azure e todos os clientes que o utilizam precisam de resolver o nome do serviço. Por exemplo:

  • Contoso dá nomes às suas CmG GraniteFalls.

  • O nome de implantação em Azure é GraniteFalls.WestUS.CloudApp.Azure.Com .

  • No espaço público de nomes DNS de contoso.com Contoso, o administrador do DNS cria um novo registo CNAME para o nome de serviço para o nome de GraniteFalls.contoso.com implantação Azure, GraniteFalls.WestUS.CloudApp.Azure.Com .

Quando cria o CMG, enquanto o certificado tem GraniteFalls.contoso.com como CN, o Gestor de Configuração apenas extrai o prefixo do nome de serviço, por exemplo: GraniteFalls. Anexa este prefixo ao domínio de serviço Azure cloudapp.azure.com ( ) com a região ( ) para criar o nome de westus implantação. Por exemplo, GraniteFalls.WestUS.CloudApp.Azure.Com. O pseudónimo CNAME no espaço de nomes DNS para o seu domínio contoso.com () mapeia estes dois FQDNs.

A política de clientes do Gestor de Configuração inclui o nome de serviço CMG, GraniteFalls.contoso.com . O cliente resolve o nome de serviço através do pseudónimo CNAME para o nome de implantação, GraniteFalls.WestUS.CloudApp.Azure.Com . Em seguida, pode resolver o endereço IP do nome de implantação para comunicar com o serviço em Azure.

Passos seguintes

Continue a sua configuração CMG configurando Azure Ative Directory (Azure AD):

Configure Azure AD (Configurar o Azure AD)