Renovar certificados para o Controlador de Rede

Aplica-se a: Azure Stack HCI, versões 23H2 e 22H2; Windows Server 2022 e Windows Server 2019

Este artigo fornece instruções sobre como renovar ou alterar certificados do Controlador de Rede, tanto de forma automática como manual. Se tiver problemas ao renovar os certificados do Controlador de Rede, contacte Suporte da Microsoft.

Na sua infraestrutura de Rede Definida pelo Software (SDN), o Controlador de Rede utiliza a autenticação baseada em certificados para proteger canais de comunicação de Northbound com clientes de gestão e comunicações southbound com dispositivos de rede, como o Software Balanceador de Carga. Os certificados do Controlador de Rede incluem um período de validade, após o qual se tornam inválidos e já não podem ser considerados fidedignos para utilização. Recomendamos vivamente que os renove antes de expirarem.

Para obter uma descrição geral do Controlador de Rede, consulte O que é o Controlador de Rede?

Quando renovar ou alterar certificados do Controlador de Rede

Pode renovar ou alterar certificados do Controlador de Rede quando:

• Os certificados estão prestes a expirar. Pode, de facto, renovar certificados do Controlador de Rede em qualquer altura antes de expirarem.

  Nota

  Se renovar certificados existentes com a mesma chave, está pronto e não precisa de fazer nada.

• Quer substituir um certificado autoassinado por um certificado assinado pela Autoridade de Certificação (AC).

  Nota

  Ao alterar os certificados, certifique-se de que utiliza o mesmo nome do requerente do certificado antigo.

Tipos de certificados do Controlador de Rede

No Azure Stack HCI, cada VM do Controlador de Rede utiliza dois tipos de certificados:

• Certificado REST. Um único certificado para comunicação northbound com clientes REST (como Windows Admin Center) e comunicação southbound com anfitriões Hyper-V e balanceadores de carga de software. Este mesmo certificado está presente em todas as VMs do Controlador de Rede. Para renovar certificados REST, veja Renovar certificados REST.

• Certificado de nó do Controlador de Rede. Um certificado em cada VM do Controlador de Rede para autenticação entre nós. Para renovar certificados de nó do Controlador de Rede, veja Renovar certificados de nó.

Aviso

Não deixe que estes certificados expirem. Renove-os antes de expirar para evitar problemas de autenticação. Além disso, não remova quaisquer certificados expirados existentes antes de os renovar. Para saber a data de expiração de um certificado, veja Ver expiração do certificado.

Ver a expiração do certificado

Utilize o seguinte cmdlet em cada VM do Controlador de Rede para verificar a data de expiração de um certificado:

Get-ChildItem Cert:\LocalMachine\My | where{$_.Subject -eq "CN=<Certificate-subject-name>"} | Select-Object NotAfter, Subject

• Para obter a expiração de um certificado REST, substitua "Certificate-subject-name" pelo RestIPAddress ou RestName do Controlador de Rede. Pode obter este valor a Get-NetworkController partir do cmdlet.

• Para obter a expiração de um certificado de nó, substitua "Certificate-subject-name" pelo nome de domínio completamente qualificado (FQDN) da VM do Controlador de Rede. Pode obter este valor a Get-NetworkController partir do cmdlet.

Renovar certificados do Controlador de Rede

Pode renovar os certificados do Controlador de Rede automaticamente ou manualmente.

Renovação automática

O Start-SdnCertificateRotation cmdlet permite-lhe automatizar a renovação dos certificados do Controlador de Rede. A renovação automática de certificados ajuda a minimizar qualquer período de inatividade ou interrupções não planeadas causadas devido a problemas de expiração do certificado.

Eis os cenários em que pode utilizar o Start-SdnCertificateRotation cmdlet para renovar automaticamente os certificados do Controlador de Rede:

• Certificados autoassinados. Utilize o Start-SdnCertificateRotation cmdlet para gerar certificados autoassinados e renovar esses certificados em todos os nós do Controlador de Rede.
• Traga os seus próprios certificados. Pode trazer os seus próprios certificados, autoassinados ou assinados pela AC e utilizar o Start-SdnCertificateRotation cmdlet para renovação de certificados. O cmdlet instala os certificados em todos os nós do Controlador de Rede e distribui-os por outros componentes da infraestrutura SDN.
• Certificados pré-instalados. Já tem os certificados necessários instalados nos nós do Controlador de Rede. Utilize o Start-SdnCertificateRotation cmdlet para renovar esses certificados para outros componentes da infraestrutura SDN.

Para obter mais informações sobre como criar e gerir certificados SDN, veja Gerir certificados para Redes Definidas pelo Software.

Requisitos

Eis os requisitos para a renovação automática do certificado:

• Tem de executar o Start-SdnCertificateRotation cmdlet num dos nós do Controlador de Rede. Para obter instruções de instalação, veja Instalar o módulo SdnDiagnostics.

• Tem de ter credenciais para os dois tipos de contas seguintes para autorizar a comunicação entre nós do Controlador de Rede:

  • Credential para especificar uma conta de utilizador com privilégios de administrador local no Controlador de Rede.

  • NcRestCredential para especificar uma conta de utilizador com acesso à API REST do Controlador de Rede. É um membro de ClientSecurityGroup .Get-NetworkController Esta conta é utilizada para chamar a API REST para atualizar o recurso de credenciais com o novo certificado.

  Para obter mais informações sobre como configurar a autorização para a comunicação no Sentido Norte do Controlador de Rede, veja Autorização para comunicação de Northbound.

Renovar certificados autoassinados automaticamente

Pode utilizar o Start-SdnCertificateRotation cmdlet para gerar novos certificados autoassinados e renová-los automaticamente para todos os nós do Controlador de Rede. Por predefinição, o cmdlet gera certificados com um período de validade de três anos, mas pode especificar um período de validade diferente.

Execute estes passos num dos nós do Controlador de Rede para gerar certificados autoassinados e renová-los automaticamente:

1. Para gerar certificados autoassinados, execute o Start-SdnCertificateRotation cmdlet. Pode utilizar o -Force parâmetro com o cmdlet para evitar pedidos de confirmação ou entradas manuais durante o processo de rotação.

   • Para gerar certificados autoassinados com o período de validade predefinido de três anos, execute os seguintes comandos:

     Import-Module -Name SdnDiagnostics -Force
     Start-SdnCertificateRotation -GenerateCertificate -CertPassword (Get-Credential).Password -Credential (Get-Credential)
     

   • Para gerar certificados autoassinados com um período de validade específico, utilize o NotAfter parâmetro para especificar o período de validade.

     Por exemplo, para gerar certificados autoassinados com um período de validade de cinco anos, execute os seguintes comandos:

     Import-Module -Name SdnDiagnostics -Force
     Start-SdnCertificateRotation -GenerateCertificate -CertPassword (Get-Credential).Password -NotAfter (Get-Date).AddYears(5) -Credential (Get-Credential)
     

2. Introduza as credenciais. Recebe dois pedidos para fornecer dois tipos de credenciais:

   • No primeiro pedido, introduza a palavra-passe para proteger o certificado gerado. O nome de utilizador pode ser qualquer coisa e não é utilizado.
   • Na segunda linha de comandos, utilize a credencial que tem acesso de administrador a todos os nós do Controlador de Rede.

3. Depois de os novos certificados serem gerados, receberá um aviso para confirmar se pretende continuar com o processo de rotação de certificados. O texto de aviso apresenta a lista de certificados do Controlador de Rede que serão substituídos pelos certificados gerados recentemente. Escreva Y para confirmar.

   Eis uma captura de ecrã de exemplo do aviso:

   

4. Depois de confirmar que continua a rotação do certificado, pode ver o estado das operações em curso na janela de comandos do PowerShell.

   Importante

   Não feche a janela do PowerShell até que o cmdlet seja concluído. Consoante o seu ambiente, como o número de nós do Controlador de Rede no cluster, pode demorar vários minutos ou mais de uma hora a concluir.

   Segue-se uma captura de ecrã de exemplo da janela de comandos do PowerShell que mostra o estado das operações em curso:

   

Renovar automaticamente os seus próprios certificados

Além de gerar certificados autoassinados do Controlador de Rede, também pode trazer os seus próprios certificados, autoassinados ou assinados pela AC, e utilizar o Start-SdnCertificateRotation cmdlet para renovar esses certificados.

Execute estes passos num dos nós do Controlador de Rede para renovar automaticamente os seus próprios certificados:

1. Prepare os certificados em .pfx formato e guarde numa pasta num dos nós do Controlador de Rede a partir do local onde executa o Start-SdnCertificateRotation cmdlet. Pode utilizar o -Force parâmetro com o cmdlet para evitar pedidos de confirmação ou entradas manuais durante o processo de rotação.

2. Para iniciar a renovação do certificado, execute os seguintes comandos:

   Import-Module -Name SdnDiagnostics -Force
   Start-SdnCertificateRotation -CertPath "<Path where you put your certificates>" -CertPassword (Get-Credential).Password -Credential (Get-Credential)
   

3. Introduza as credenciais. Recebe dois pedidos para fornecer dois tipos de credenciais:

   • No primeiro pedido, introduza a palavra-passe do certificado. O nome de utilizador pode ser qualquer coisa e não é utilizado.
   • Na segunda linha de comandos, utilize a credencial que tem acesso de administrador a todos os nós do Controlador de Rede.

4. Recebe um aviso para confirmar se pretende continuar com o processo de rotação de certificados. O texto de aviso apresenta a lista de certificados do Controlador de Rede que serão substituídos pelos recém-gerados. Escreva Y para confirmar.

   Eis uma captura de ecrã de exemplo do aviso:

   

5. Depois de confirmar que pretende continuar com a rotação do certificado, pode ver o estado das operações em curso na janela de comandos do PowerShell.

   Importante

   Não feche a janela do PowerShell até que o cmdlet seja concluído. Consoante o seu ambiente, como o número de nós do Controlador de Rede no cluster, pode demorar vários minutos ou mais de uma hora a concluir.

Renovar automaticamente certificados pré-instalados

Neste cenário, tem os certificados necessários instalados nos nós do Controlador de Rede. Utilize o Start-SdnCertificateRotation cmdlet para renovar esses certificados noutros componentes de infraestrutura da SDN.

Execute estes passos num dos nós do Controlador de Rede para renovar automaticamente os certificados pré-instalados:

1. Instale os certificados do Controlador de Rede em todos os nós do Controlador de Rede de acordo com o seu método preferido. Confirme que os certificados são considerados fidedignos por outros componentes da infraestrutura SDN, incluindo servidores SDN MUX e anfitriões SDN.

2. Create configuração de rotação de certificados:

   1. Para gerar a configuração de rotação de certificados predefinida, execute os seguintes comandos:

      Import-Module -Name SdnDiagnostics -Force
      $certConfig = New-SdnCertificateRotationConfig
      $certConfig
      

   2. Reveja a configuração de rotação de certificados predefinida para confirmar se os certificados detetados automaticamente são os que pretende utilizar. Por predefinição, obtém o certificado emitido mais recente a ser utilizado.

      Eis uma configuração de rotação de certificado de exemplo:

      PS C:\Users\LabAdmin> $certConfig
      
      Name					Value
      ----					-----
      ws22ncl.corp.contoso.com 	F4AAF14991DAF282D9056E147AE60C2C5FE80A49
      ws22nc3.corp.contoso.com 	BC3E6B090E2AA80220B7BAED7F8F981A1E1DD115
      ClusterCredentialType 		X509
      ws22nc2.corp.contoso.corn 	75DC229A8E61AD855CC445C42482F9F919CC1077
      NcRestCert				029D7CA0067A60FB24827D8434566787114AC30C
      

      em que:

      • ws22ncx.corp.contoso.com mostra o thumbprint do certificado para cada nó do Controlador de Rede.
      • ClusterCredentialType mostra o tipo de autenticação cluster do Controlador de Rede. Se o tipo de autenticação não for X509, o certificado de nó não é utilizado e não é apresentado no resultado.
      • NcRestCert mostra o thumbprint do certificado Rest do Controlador de Rede.

   3. (Opcional) Se o gerado $certConfig não estiver correto, pode alterá-lo ao especificar o thumbprint de um novo certificado. Por exemplo, para alterar o thumbprint do certificado Rest do Controlador de Rede, execute o seguinte comando:

      $certConfig.NcRestCert = <new certificate thumbprint>
      

3. Inicie a rotação do certificado. Pode utilizar o -Force parâmetro com o cmdlet para evitar pedidos de confirmação ou entradas manuais durante o processo de rotação.

   Import-Module -Name SdnDiagnostics -Force
   Start-SdnCertificateRotation -CertRotateConfig $certConfig -Credential (Get-Credential)
   

4. Quando lhe forem pedidas credenciais, introduza a credencial que tem acesso de administrador a todos os Nós do Controlador de Rede.

5. Recebe um aviso para confirmar se pretende continuar com a rotação automática de certificados. O aviso apresenta a lista de certificados do Controlador de Rede que serão substituídos pelos seus próprios certificados. Escreva Y para confirmar.

   Eis uma captura de ecrã de exemplo do aviso que lhe pede para confirmar a rotação dos certificados:

   

6. Depois de confirmar que pretende continuar com a rotação do certificado, pode ver o estado das operações em curso na janela de comandos do PowerShell.

   Importante

   Não feche a janela do PowerShell até que o cmdlet seja concluído. Consoante o seu ambiente, como o número de nós do Controlador de Rede no cluster, pode demorar vários minutos ou mais de uma hora a concluir.

Renovação manual

Utilize as seguintes instruções para renovar manualmente certificados REST e certificados de nó do Controlador de Rede.

Importante

Se os certificados do Controlador de Rede já tiverem expirado, utilize as instruções na secção de renovação automática para renovar os certificados.

Renovar certificados REST

Utilize o certificado REST do Controlador de Rede para:

• Comunicação de northbound com clientes REST
• Encriptação de credenciais
• Comunicação southbound para anfitriões e VMs de software Balanceador de Carga

Quando atualiza um certificado REST, tem de atualizar os clientes de gestão e os dispositivos de rede para utilizar o novo certificado.

Para renovar o certificado REST, conclua os seguintes passos:

1. Certifique-se de que o certificado nas VMs do Controlador de Rede não expirou antes de o renovar. Veja Ver a expiração do certificado.

2. Procure o novo certificado e coloque-o no arquivo pessoal do computador local (LocalMachine\My). Se for um certificado autoassinado, coloque-o no arquivo raiz (LocalMachine\Root) de cada VM do Controlador de Rede. Para obter informações sobre como criar um novo certificado ou emiti-lo a partir de uma Autoridade de Certificação, veja Gerir certificados para Redes Definidas pelo Software.

3. Atribua o novo certificado a uma variável:

   $cert= Get-ChildItem Cert:\LocalMachine\My | where{$_.Thumbprint -eq "<thumbprint of the new certificate>"}
   

4. Copie o certificado para todas as VMs do Controlador de Rede.

5. Forneça permissões de Leitura e Permitir para Autoridade NT/Serviço de Rede no certificado:

   $targetCertPrivKey = $Cert.PrivateKey
   $privKeyCertFile = Get-Item -path
   "$ENV:ProgramData\Microsoft\Crypto\RSA\MachineKeys\*" | where-object {$_.Name -eq $targetCertPrivKey.CspKeyContainerInfo.UniqueKeyContainerName}
   $privKeyAcl = Get-Acl $privKeyCertFile
   $permission = "NT AUTHORITY\NETWORK SERVICE","Read","Allow"
   $accessRule = new-object System.Security.AccessControl.FileSystemAccessRule $permission
   $privKeyAcl.AddAccessRule($accessRule)
   Set-Acl $privKeyCertFile.FullName $privKeyAcl
   

6. (Apenas para certificado autoassinado) Copie a chave pública do certificado para todos os anfitriões e VMs Balanceador de Carga software.

7. Modifique as definições do Controlador de Rede para utilizar o novo certificado.

Copiar o certificado para todas as VMs do Controlador de Rede

Siga estes passos para copiar um certificado para todas as VMs do Controlador de Rede.

1. Certifique-se de que obtém o novo certificado e o coloca no arquivo pessoal do computador local (My – cert:\localmachine\my).

2. Na primeira VM do Controlador de Rede, exporte o certificado para um ficheiro PFX (Personal Information Exchange).

   $mypwd = ConvertTo-SecureString -String "<password>" -Force -AsPlainText
   Export-PfxCertificate -FilePath "C:\newpfx.pfx" -Password $mypwd -Cert $cert    
   # Here, $cert is the new certificate
   

3. Noutras VMs do Controlador de Rede, importe o certificado e as chaves privadas de um ficheiro PFX para o arquivo de destino:

   $mypwd = ConvertTo-SecureString -String "<password>" -Force -AsPlainText
   Import-PfxCertificate -FilePath C:\newpfx.pfx -CertStoreLocation Cert:\LocalMachine\My -Password $mypwd
   # Ensure that you copy the pfx file into the local machine before importing the cert
   

Copie a chave pública do certificado para todos os anfitriões e VMs do Software Balanceador de Carga (apenas para certificado autoassinado)

Se estiver a utilizar um certificado autoassinado, coloque-o no arquivo raiz do computador local (LocalMachine\Root) para cada um dos seguintes:

• Todas as VMs do Controlador de Rede.
• Todas as máquinas anfitriãs do Azure Stack HCI e software Balanceador de Carga VMs. Isto garante que o certificado é considerado fidedigno pelas entidades do elemento da rede.

Eis um comando de exemplo para importar a chave pública do certificado que já foi exportada:

Import-Certificate -FilePath "\\sa18fs\SU1_LibraryShare1\RestCert.cer\" -CertStoreLocation cert:\localMachine\Root

Modificar as definições do Controlador de Rede para utilizar o novo certificado

Modifique as definições do nó, cluster e aplicação do Controlador de Rede para utilizar o novo certificado.

Para comunicação northbound

Para alterar o certificado que o Controlador de Rede utiliza para a comunicação northbound, execute o seguinte comando em qualquer uma das VMs do Controlador de Rede:

Set-NetworkController -ServerCertificate \$cert

Para encriptação de credenciais

Para alterar o certificado que o Controlador de Rede utiliza para encriptar as credenciais, execute o seguinte comando em qualquer uma das VMs do Controlador de Rede:

Set-NetworkControllerCluster -CredentialEncryptionCertificate $cert

Para comunicação southbound

Para alterar o certificado que o Controlador de Rede utiliza para comunicar com anfitriões e Balanceadores de Carga de Software, execute o seguinte comando:

$certCred = Get-NetworkControllerCredential -ConnectionUri <REST uri of deployment> |where-object { $_.properties.type -eq "X509Certificate" }
$certCred[0].Properties.Value ="<Thumbprint of the new certificate>"

New-NetworkControllerCredential -ConnectionUri <REST uri of deployment> -ResourceId $certCred[0].ResourceId -Properties $certCred[0].Properties -Force

Renovar certificados de nó

Para renovar o certificado de nó do Controlador de Rede, execute os seguintes passos em cada VM do Controlador de Rede:

1. Procure o novo certificado e coloque-o no arquivo Pessoal do Computador Local (LocalMachine\My). Se for um certificado autoassinado, também tem de ser colocado no arquivo (LocalMachine\Root) de cada VM do Controlador de Rede. Para obter informações sobre como criar um novo certificado ou emiti-lo a partir de uma Autoridade de Certificação, veja Gerir certificados para Redes Definidas pelo Software.

2. Atribua o novo certificado a uma variável:

   $cert = Get-ChildItem Cert:\LocalMachine\My | where{$_.Thumbprint -eq "<thumbprint of the new certificate>"}
   

3. Forneça permissões de Leitura e Permitir para Autoridade NT/Serviço de Rede no certificado:

   $targetCertPrivKey = $Cert.PrivateKey
   $privKeyCertFile = Get-Item -path
   "$ENV:ProgramData\Microsoft\Crypto\RSA\MachineKeys\*" | where-object {$_.Name -eq $targetCertPrivKey.CspKeyContainerInfo.UniqueKeyContainerName}
   $privKeyAcl = Get-Acl $privKeyCertFile
   $permission = "NT AUTHORITY\NETWORK SERVICE","Read","Allow"
   $accessRule = new-object System.Security.AccessControl.FileSystemAccessRule $permission
   $privKeyAcl.AddAccessRule($accessRule)
   Set-Acl $privKeyCertFile.FullName $privKeyAcl
   

4. Execute o seguinte comando para alterar o certificado de nó:

   Set-NetworkControllerNode -Name "<Name of the Network Controller node>" -NodeCertificate $cert
   

Importar novamente certificados no Windows Admin Center

Se tiver renovado o certificado REST do Controlador de Rede e estiver a utilizar Windows Admin Center para gerir a SDN, tem de remover o cluster do Azure Stack HCI do Windows Admin Center e adicioná-lo novamente. Ao fazê-lo, garante que Windows Admin Center importa o certificado renovado e o utiliza para a gestão da SDN.

Siga estes passos para importar novamente o certificado renovado no Windows Admin Center:

1. Em Windows Admin Center, selecione Gestor de Clusters no menu pendente superior.
2. Selecione o cluster que pretende remover e, em seguida, selecione Remover.
3. Selecione Adicionar, introduza o nome do cluster e, em seguida, selecione Adicionar.
4. Assim que o cluster for carregado, selecione Infraestrutura de SDN. Isto força Windows Admin Center a voltar a importar automaticamente o certificado renovado.

Passos seguintes

• Atualizar a infraestrutura de SDN para o Azure Stack HCI