Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo fornece mais detalhes sobre o fluxo de configuração https do Windows na Cache Ligada.
Pré-requisitos
Métodos de ligação de cliente
Experimente o seguinte para determinar o método de ligação adequado ao servidor de Cache Ligada, para efeitos de configuração do suporte HTTPS.
Verificar a configuração da política de Otimização da Entrega
O comando seguinte consulta o registo do Windows relativamente ao valor "DOCacheHost" no caminho da política de Otimização da Entrega:
Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\DeliveryOptimization" -Name "DOCacheHost" -ErrorAction SilentlyContinueSe o valor estiver presente na saída, significa que o cliente está explicitamente configurado para utilizar um servidor de Cache Ligada da Microsoft específico.
Se o valor estiver em falta na saída, o cliente poderá depender da Opção DHCP 235 para detetar dinamicamente os servidores de Cache Ligada, partindo do princípio de que o DOCacheHostSource está configurado.
Verificar os detalhes da ligação HTTP existente
O comando seguinte verifica a conectividade TCP à porta 80 no servidor de Cache Ligada. Substitua pelo
insert-mcc-server-namenome completo do computador do servidor.Test-NetConnection -ComputerName [insert-mcc-server-name] -Port 80 -InformationLevel DetailedA partir do resultado:
-
RemoteAddressé o endereço IP que o cliente resolveu para o servidor de Cache Ligada -
NameResolutionResultslista o nome do anfitrião utilizado pelos seus clientes se a resolução de DNS estiver envolvida
-
Gerar CSR
Exemplos de Parâmetros do Scenario-Based
Reveja exemplos de parâmetros baseados em cenários e faça edições ao comando generateCsr em conformidade:
Escritório Único - Apenas Endereço IP
Cenário: Pequena sucursal onde os clientes estão configurados para ligar à Cache Ligada através de um endereço IP estático (por exemplo, através da política DOCacheHost definida como "192.168.1.100"). Administração utiliza a conta de utilizador local.
.\generateCsr.ps1 `
-mccRunTimeAccount $credential.Username `
-mccLocalAccountCredential $credential `
-algo RSA `
-keySizeOrCurve 2048 `
-csrName "mcc-branch-office" `
-subjectCommonName "192.168.1.100" `
-subjectCountry "US" `
-subjectState "TX" `
-subjectOrg "Contoso Corp" `
-sanIp "192.168.1.100"
Enterprise Standard - Nome do Anfitrião DNS
Cenário: ambiente empresarial onde os clientes se ligam através do nome de anfitrião padronizado (mcc-server.contoso.com). Administração utiliza a conta gMSA.
.\generateCsr.ps1 `
-mccRunTimeAccount "CONTOSO\mcc-gmsa$" `
-algo RSA `
-keySizeOrCurve 4096 `
-csrName "mcc-enterprise-prod" `
-subjectCommonName "mcc-server.contoso.com" `
-subjectCountry "US" `
-subjectState "Washington" `
-subjectOrg "Contoso Corporation" `
-sanDns "mcc-server.contoso.com"
Ambiente de Deteção DHCP
Cenário: ambiente que utiliza a Opção DHCP 235 para a deteção da Cache Ligada em que os clientes se podem ligar através do nome de anfitrião real do servidor ou do nome fornecido pelo DHCP. Administração utiliza a conta de utilizador local.
.\generateCsr.ps1 `
-mccRunTimeAccount $credential.Username `
-mccLocalAccountCredential $credential `
-algo RSA `
-keySizeOrCurve 2048 `
-csrName "mcc-dhcp-discovery" `
-subjectCommonName "cache-server.corporate.local" `
-subjectCountry "US" `
-subjectState "FL" `
-subjectOrg "Corporate IT Services" `
-sanDns "cache-server.corporate.local,mcc-auto.corporate.local,fileserver.corporate.local"
Ambiente Híbrido - Ligações de Cliente Misto
Cenário: ambiente misto durante a migração em que alguns clientes legados ainda utilizam endereços IP enquanto os clientes mais recentes utilizam nomes DNS. Abrange ambos os métodos de ligação. Administração utiliza a conta de utilizador local.
.\generateCsr.ps1 `
-mccRunTimeAccount $credential.Username `
-mccLocalAccountCredential $credential `
-algo RSA `
-keySizeOrCurve 2048 `
-csrName "mcc-hybrid-migration" `
-subjectCommonName "mcc-cache.contoso.com" `
-subjectCountry "US" `
-subjectState "CA" `
-subjectOrg "Contoso Inc" `
-sanDns "mcc-cache.contoso.com,cache.contoso.local" `
-sanIp "10.0.1.50,192.168.100.10"
Múltiplos Sites com Nomenclatura Regional
Cenário: organização grande com vários nós de Cache Ligada através da convenção de nomenclatura consistente (formato mcc-region-site). Este exemplo destina-se a um nó de datacenter de Seattle. Administração utiliza a conta gMSA.
.\generateCsr.ps1 `
-mccRunTimeAccount "CORP\mcc-production-gmsa$" `
-algo RSA `
-keySizeOrCurve 4096 `
-csrName "mcc-seattle-dc1" `
-subjectCommonName "mcc-sea-dc1.corp.contoso.com" `
-subjectCountry "US" `
-subjectState "Washington" `
-subjectOrg "Contoso Corporation" `
-sanDns "mcc-sea-dc1.corp.contoso.com,mcc-seattle.contoso.com"
Ambiente com Balanceamento de Carga
Cenário: configuração de elevada disponibilidade em que vários nós de Cache Ligada ficam atrás de um balanceador de carga. Os clientes ligam-se ao VIP do balanceador de carga, mas o certificado tem de suportar o acesso direto ao nó para a resolução de problemas. Administração utiliza a conta gMSA.
.\generateCsr.ps1 `
-mccRunTimeAccount "ENTERPRISE\mcc-ha-gmsa$" `
-algo RSA `
-keySizeOrCurve 4096 `
-csrName "mcc-node1-ha" `
-subjectCommonName "mcc.enterprise.com" `
-subjectCountry "US" `
-subjectState "NY" `
-subjectOrg "Enterprise Solutions Inc" `
-sanDns "mcc.enterprise.com,mcc-node1.enterprise.com,mcc-cluster.enterprise.local"
Ambiente de Desenvolvimento/Teste
Cenário: ambiente de desenvolvimento com requisitos de nomenclatura flexíveis. Suporta testes de localhost e acesso à rede de laboratório. Administração utiliza a conta de utilizador local.
.\generateCsr.ps1 `
-mccRunTimeAccount $credential.Username `
-mccLocalAccountCredential $credential `
-algo RSA `
-keySizeOrCurve 2048 `
-csrName "mcc-dev-lab" `
-subjectCommonName "localhost" `
-subjectCountry "US" `
-subjectState "Dev" `
-subjectOrg "IT Development" `
-sanDns "localhost,mcc-dev.lab.local,devserver.local" `
-sanIp "127.0.0.1,192.168.10.100,10.10.10.50"
Alta Segurança com Curva Elíptica
Cenário: organização consciente da segurança que exige criptografia ECC moderna para um melhor desempenho e conformidade com normas de segurança mais recentes. Administração utiliza a conta gMSA.
.\generateCsr.ps1 `
-mccRunTimeAccount "SECURE\mcc-prod-gmsa$" `
-algo EC `
-keySizeOrCurve secp384r1 `
-csrName "mcc-secure-prod" `
-subjectCommonName "mcc-secure.defense.gov" `
-subjectCountry "US" `
-subjectState "VA" `
-subjectOrg "Department of Defense" `
-sanDns "mcc-secure.defense.gov"
Azure VM/Implementação da Cloud Híbrida
Cenário: Nó de Cache Ligada implementado na VM Azure com conectividade pública e privada. Os clientes do local ligam-se através do IP privado/nome do anfitrião, enquanto os clientes baseados na cloud podem utilizar o nome DNS público Azure. Administração utiliza a conta de utilizador local.
.\generateCsr.ps1 `
-mccRunTimeAccount $credential.Username `
-mccLocalAccountCredential $credential `
-algo RSA `
-keySizeOrCurve 2048 `
-csrName "mcc-azure-hybrid" `
-subjectCommonName "mcc-eastus.cloudapp.azure.com" `
-subjectCountry "US" `
-subjectState "WA" `
-subjectOrg "Contoso Corporation" `
-sanDns "mcc-eastus.cloudapp.azure.com,mcc-azure.contoso.local,mcc-vm01.contoso.com" `
-sanIp "10.0.1.10,172.16.0.50"
Assinar CSR
Converter em tipo de ficheiro .crt
Se receber
.cer:PowerShell:
Rename-Item -Path "xxxx.cer" "xxxx.crt"WSL:
openssl x509 -in xxxx.cer -out xxxx.crt
Se receber
.der:PowerShell:
certutil -encode "xxxx.der" "xxxx.crt"WSL:
openssl x509 -inform DER -in xxxx.der -out xxxx.crt