HTTPS Support for Microsoft Connected Cache Overview

Este artigo descreve como configurar o HTTPS para suportar os nós de cache da Cache Ligada para Empresas e Educação.

Visão geral

Com a versão disponibilidade geral (GA) da Cache Ligada da Microsoft para Empresas, as organizações podem agora configurar os nós de cache para fornecer conteúdo através de HTTPS. Esta melhoria permite que a Cache Ligada suporte a entrega segura de aplicações Win32 geridas por Intune e, pela primeira vez, conteúdos do Microsoft Teams, que necessitam de transporte HTTPS. Todos os outros tipos de conteúdo continuarão a ser entregues através de HTTP.

À medida que mais serviços Microsoft e fabricantes de terceiros adotam modelos de entrega apenas HTTPS, ativar o HTTPS no nó de cache garante a continuação da compatibilidade e o desempenho ideal. Sem o suporte HTTPS, os clientes que pedem URLs seguros ignoram a Cache Ligada e revertem para a entrega de conteúdos através das Redes de Entrega de Conteúdos (CDN) baseadas na cloud, o que resulta num aumento da utilização da largura de banda e na redução da eficiência da colocação em cache.

Para ativar a entrega de HTTPS, os administradores têm de gerar um Pedido de Assinatura de Certificados (CSR) a partir do computador anfitrião, assinar com uma Autoridade de Certificação (AC) fidedigna e importar o certificado assinado de volta para o computador anfitrião. Nas páginas seguintes, existem instruções de configuração orientadas e scripts para ambientes Windows e Linux para simplificar este processo.

Benefícios de ativar o suporte HTTPS

Ativar o suporte HTTPS no nó cache ligada garante que a sua organização continua a ser compatível com os requisitos de entrega de conteúdos da Microsoft em evolução e beneficia de uma maior segurança e desempenho. As principais vantagens incluem:

  • Acesso aos conteúdos do Microsoft Teams: os conteúdos do Microsoft Teams só estão disponíveis através de HTTPS. Sem o suporte https, a Cache Ligada não consegue colocar em cache ou entregar este conteúdo, o que resulta em transferências diretas a partir da cloud.

  • Continuação da entrega de aplicações Win32 geridas Intune: Microsoft Intune em breve irá impor a entrega apenas HTTPS para todas as aplicações Win32 geridas. Os nós em cache sem suporte HTTPS serão ignorados e os clientes reverterão para a entrega da CDN. A data de imposição é TBD, mas uma vez definida, os clientes serão notificados com bastante antecedência e ser-lhes-á dado tempo suficiente para se adaptarem.

  • Redução do consumo de largura de banda e melhoria da eficiência dos custos: ao colocar em cache o conteúdo HTTPS localmente, a Cache Ligada minimiza a dependência das CDNs baseadas na cloud, reduzindo os custos de saída e preservando a largura de banda da rede, especialmente crítica em ambientes restritos à largura de banda.

  • Postura de segurança e conformidade melhorada: o HTTPS garante a entrega encriptada e autenticada de conteúdos, em conformidade com as políticas de segurança empresariais e os requisitos regulamentares. Protege contra adulteração, escutas e representação.

  • Contingência totalmente integrada e suporte de protocolo duplo: a Cache Ligada suporta a entrega HTTP e HTTPS. Se o HTTPS não estiver configurado ou falhar, os clientes reverterão automaticamente para a entrega da CDN. Esta capacidade de protocolo duplo garante o acesso ininterrupto aos conteúdos sem afetar o desempenho da transferência ou a entrega ponto a ponto (P2P) através da Otimização da Entrega (DO).

Do suporte http-only para HTTPS

Anteriormente, se um cliente solicitasse conteúdo através de um URL HTTPS, a Cache Ligada não conseguia processar o pedido porque não suportava o processamento de certificados TLS nem escutava na porta 443. Como resultado, o cliente ignoraria imediatamente a cache e obteria o conteúdo diretamente a partir da CDN.

Embora a Cache Ligada tenha anteriormente assegurado a entrega segura através de mecanismos como a validação de hash e a proteção de contentores, estes métodos não conseguiam satisfazer os requisitos dos publicadores que transitam para a entrega apenas HTTPS. Como resultado, a Cache Ligada suporta agora HTTPS para manter a compatibilidade com padrões de publicador em evolução e para garantir o acesso contínuo aos tipos de conteúdo existentes e novos.

Importante

Microsoft Intune em breve irá impor a entrega apenas HTTPS (data TBD) para todas as aplicações Win32 geridas.

Para continuar a Cache Ligada para Intune entrega de conteúdos, todos os clientes Intune têm de concluir a configuração https nos nós de cache antes desta data.

Os clientes que utilizam Configuration Manager (SCCM) ou ambientes híbridos seguirão um processo diferente. As orientações adicionais para estes cenários serão publicadas em breve.

Configuração do certificado TLS

Diagrama a mostrar como funciona a geração de CSR.

Para estabelecer uma ligação HTTPS segura, a Cache Ligada tem de apresentar um certificado TLS válido aos dispositivos cliente. Em vez de gerar e distribuir certificados internamente ou depender de certificados autoassinados , que representam riscos operacionais e de segurança, a Cache Ligada utiliza um modelo baseado em CSR pelos seguintes motivos:

  • Segurança e Confiança: o método CSR permite que a Cache Ligada gere localmente um par de chaves públicas/privadas e importe um certificado assinado por uma Autoridade de Certificação (AC) fidedigna. Adiar a assinatura da AC para o cliente garante que o certificado é verificável pelos dispositivos cliente que utilizam os respetivos arquivos de fidedignidade de AC pré-instalados.

  • Compatibilidade Empresarial: muitas organizações já gerem a sua própria infraestrutura PKI. O modelo CSR permite que os administradores de TI assinem certificados com as suas ACs fidedignas existentes, garantindo uma integração totalmente integrada com as políticas de segurança empresariais.

  • Evitar a Exposição de Chaves Privadas: ao gerar o par de chaves no nó de cache e nunca exportar a chave privada, o modelo CSR garante que o material criptográfico confidencial permanece seguro e local para o nó de cache.

Manutenção do certificado TLS

Os certificados TLS utilizados pelos nós da Cache Ligada da Microsoft requerem uma manutenção contínua para garantir uma entrega segura ininterrupta de conteúdos. Isto inclui a monitorização da validade do certificado, a renovação de certificados prestes a expirar e a revogação ou desativação de certificados quando necessário.

Renovar certificados prestes a expirar

Para renovar um certificado, não tem de regenerar o CSR (passo 1). Recomendamos que volte a assinar o CSR existente (passo 2) e importar o certificado resultante com o comando de importação (passo 3). Se o processo de assinatura puder ser automatizado, crie um script que assine e importe numa cadência regular.

Desativar o suporte https

Se a entrega de HTTPS já não for necessária ou se um certificado for revogado, execute o script de desativação fornecido no computador anfitrião da Cache Ligada.

O script removerá a configuração HTTPS no contentor, mas não eliminará o certificado, o par de chaves ou o CSR do nó de cache.

Esta ação reverte a Cache Ligada para entrega apenas HTTP. Os conteúdos que requerem HTTPS (por exemplo, o Microsoft Teams, Intune aplicações Win32) deixarão de ser colocados em cache e reverterão para a entrega da CDN.

Política de retenção de certificados

  • Os certificados ativos são retidos durante a validade.
  • Os certificados inativos (expirados ou revogados) são retidos durante 18 meses após a desativação para fins de auditoria e conformidade.

Esta política está alinhada com as normas internas de segurança e privacidade da Microsoft e garante a rastreabilidade da utilização de certificados entre implementações empresariais.

Melhorias futuras

Monitorizar status de certificados

A Cache Ligada fornece visibilidade para todos os certificados TLS ativos e inativos através do portal do Azure. Cada entrada de certificado inclui:

  • Nome do domínio
  • Emissão de Autoridade de Certificação (AC)
  • Datas de emissão e expiração
  • Thumbprint ID

Os administradores devem rever regularmente esta lista para garantir que os certificados permanecem válidos e fidedignos. A Cache Ligada irá apresentar alertas quando um certificado estiver a aproximar-se da expiração.

Automatização da assinatura de certificados

Embora a automatização possa parecer ideal, a Cache Ligada ainda não consegue efetuar a assinatura de certificados em nome da empresa de forma segura devido às seguintes restrições:

  • Gestão de Credenciais: automatizar a assinatura de certificados exigiria que a Cache Ligada armazenasse e gerisse credenciais para aceder a ACs empresariais ou públicas. Isto apresenta riscos de segurança significativos, especialmente porque a Cache Ligada é executada num ambiente Linux em contentores.

  • Diversos Modelos de PKI Empresariais: as empresas utilizam uma vasta gama de configurações de AC, incluindo modelos no local, baseados na cloud e híbridos. Automatizar a assinatura exigiria que a Cache Ligada suportasse todas as variações, o que é impraticável e propenso a erros.

  • Princípio de Segurança do Menor Privilégio: delegar a assinatura ao administrador de TI garante que apenas o pessoal autorizado pode aprovar e distribuir certificados, reduzindo a superfície de ataque.

Próximas etapas

Para ativar o suporte https no nó da Cache Ligada da Microsoft, siga o guia de configuração adequado com base no seu ambiente anfitrião. Estes guias orientam-no ao longo da geração de um Pedido de Assinatura de Certificados (CSR), da assinatura com uma Autoridade de Certificação (AC) fidedigna e da importação do certificado assinado novamente para a Cache Ligada.

Para configurar o suporte HTTPS num computador anfitrião Linux , veja

Configuração https no Linux

Para configurar o suporte HTTPS num computador anfitrião Windows , consulte

Configuração https no Windows

  • Orientação da CLI/Proxy: brevemente.
  • Last updated on