Renovar certificados para infraestrutura de rede definida pelo software

Aplica-se a: Azure Local 2311.2 e posterior; Windows Server 2022 e Windows Server 2019

Este artigo fornece instruções sobre como renovar ou alterar os certificados do servidor Software Defined Networking (SDN) e multiplexador (MUX) do Balanceador de Carga de Software (SLB). Se você enfrentar problemas na renovação de seus certificados, entre em contato com o Suporte da Microsoft.

Para obter informações sobre como renovar certificados do Controlador de Rede, consulte Renovar certificados do Controlador de Rede antes que eles expirem.

Em sua infraestrutura SDN, o Controlador de Rede usa autenticação baseada em certificado para proteger as comunicações Southbound com dispositivos de rede, como o SLB e os hosts físicos. Os certificados para o SLB e o servidor vêm com um período de validade, após o qual eles se tornam inválidos e não podem mais ser confiáveis para uso. Você deve renová-los antes que expirem.

Quando renovar ou alterar certificados

Você pode renovar ou alterar o servidor SDN e os certificados MUX SLB quando:

• Os certificados estão prestes a expirar. Você pode renovar esses certificados a qualquer momento antes que eles expirem.

  Observação

  Se você renovar certificados existentes com a mesma chave, estará tudo pronto e não precisará fazer nada.

• Você deseja substituir um certificado autoassinado por um certificado assinado pela Autoridade de Certificação (CA).

  Observação

  Ao alterar os certificados, certifique-se de usar o mesmo nome de assunto do certificado antigo.

Tipos de certificados

No Azure Local e no Windows Server, os hosts físicos e as VMs (máquinas virtuais) SLB MUX usam um certificado cada para proteger a comunicação southbound com o Controlador de Rede. O Controlador de Rede distribui políticas para os hosts físicos e as VMs SLB MUX.

Visualizar vencimento do certificado

Use o seguinte cmdlet em cada host físico e VM SLB MUX para verificar a data de expiração de um certificado:

Get-ChildItem Cert:\LocalMachine\My | where{$_.Subject -eq "CN=<Certificate-subject-name>"} | Select-Object NotAfter, Subject

em que:

• Certificate-subject-name é o FQDN (nome de domínio totalmente qualificado) do servidor e das VMs SLB MUX.

Renovar certificados MUX do servidor SDN e SLB

Use os cmdlets Start-SdnServerCertificateRotation e Start-SdnMuxCertificateRotation para gerar novos certificados autoassinados e renová-los automaticamente para todos os servidores e VMs do SLB MUX, respectivamente. Por padrão, os cmdlets geram certificados com um período de validade de três anos, mas você pode especificar um período de validade diferente. A renovação automática de certificados ajuda a minimizar qualquer tempo de inatividade ou interrupções não planejadas causadas devido a problemas de expiração de certificados.

Observação

A funcionalidade para renovar certificados "traga seu próprio certificado" e certificados pré-instalados ainda não está disponível.

Requisitos

Aqui estão os requisitos para renovação de certificados:

• Você deve executar os cmdlets em qualquer computador que tenha acesso à rede de gerenciamento. Para obter instruções de instalação, consulte Instalar o módulo SdnDiagnostics.

• Você precisa ter credenciais para a conta Credential a fim de especificar uma conta de usuário com privilégios de administrador local no Controlador de Rede, SLB MUXes e servidores.

Renovar certificado autoassinado automaticamente

Execute estas etapas para gerar certificados autoassinados e renová-los automaticamente:

1. Para gerar certificados autoassinados nos hosts físicos, execute o Start-SdnServerCertificateRotation cmdlet. Você pode usar o -Force parâmetro com o cmdlet para evitar solicitações de confirmação ou entradas manuais durante o processo de rotação.

   Observação

   Para renovar os certificados SLB MUX, substitua o nome do cmdlet pelo Start-SdnMuxCertificateRotation nos comandos a seguir.

   • Para gerar certificados autoassinados com o período de validade padrão de três anos, execute os seguintes comandos:

     Import-Module -Name SdnDiagnostics -Force
     Start-SdnServerCertificateRotation -GenerateCertificate -CertPassword (Get-Credential).Password -Credential (Get-Credential)
     

   • Para gerar certificados autoassinados com um período de validade específico, use o NotAfter parâmetro para especificar o período de validade. Por exemplo, para gerar certificados autoassinados com um período de validade de cinco anos, execute os seguintes comandos:

     Import-Module -Name SdnDiagnostics -Force
     Start-SdnServerCertificateRotation -GenerateCertificate -CertPassword (Get-Credential).Password -NotAfter (Get-Date).AddYears(5) -Credential (Get-Credential)
     

2. Depois de confirmar para continuar com a rotação de certificados, você pode exibir o status das operações em andamento na janela de comando do PowerShell.

   Importante

   Não feche a janela do PowerShell até que o cmdlet seja concluído. Dependendo do seu ambiente, como o número de servidores físicos no cluster, pode levar vários minutos ou mais de uma hora para ser concluído.

Próximas etapas

• Atualize a infraestrutura da SDN para o Azure Local.