Продление сертификатов для сетевого контроллера

Область применения: Azure Stack HCI версий 23H2 и 22H2; Windows Server 2022 и Windows Server 2019

В этой статье содержатся инструкции по автоматическому и ручному продлению или изменению сертификатов сетевого контроллера. Если у вас возникли проблемы с продлением сертификатов сетевого контроллера, обратитесь к служба поддержки Майкрософт.

В инфраструктуре программно-конфигурируемой сети (SDN) сетевой контроллер использует проверку подлинности на основе сертификатов для защиты каналов связи в Северном направлении с помощью клиентов управления и южных подключений с сетевыми устройствами, такими как Load Balancer программного обеспечения. Сертификаты сетевого контроллера поставляются с периодом действия, по истечении которого они становятся недействительными и больше не могут быть доверенными для использования. Мы настоятельно рекомендуем продлить их до истечения срока их действия.

Общие сведения о сетевом контроллере см. в статье Что такое сетевой контроллер?

Когда следует обновлять или изменять сертификаты сетевого контроллера

Вы можете продлить или изменить сертификаты сетевого контроллера в следующих случаях:

• Срок действия сертификатов приближается. Вы действительно можете продлить сертификаты сетевого контроллера в любой момент до истечения их срока действия.

  Примечание

  Если вы обновляете существующие сертификаты с тем же ключом, вы все настроены и ничего делать не нужно.

• Вы хотите заменить самозаверяющий сертификат сертификатом, подписанным центром сертификации (ЦС).

  Примечание

  При изменении сертификатов убедитесь, что вы используете то же имя субъекта, что и старый сертификат.

Типы сертификатов сетевого контроллера

В Azure Stack HCI каждая виртуальная машина сетевого контроллера использует два типа сертификатов:

• Сертификат REST. Единый сертификат для северного взаимодействия с клиентами REST (например, Windows Admin Center) и южной связи с узлами Hyper-V и программными подсистемами балансировки нагрузки. Этот же сертификат присутствует на всех виртуальных машинах сетевого контроллера. Сведения о продлении сертификатов REST см. в статье Продление сертификатов REST.

• Сертификат узла сетевого контроллера. Сертификат на каждой виртуальной машине сетевого контроллера для проверки подлинности между узлами. Сведения о продлении сертификатов узла сетевого контроллера см. в статье Продление сертификатов узлов.

Предупреждение

Не позволяйте сроку действия этих сертификатов истечь. Продлите их до истечения срока действия, чтобы избежать проблем с проверкой подлинности. Кроме того, не удаляйте существующие сертификаты с истекшим сроком действия перед их продлением. Сведения о дате окончания срока действия сертификата см. в статье Просмотр срока действия сертификата.

Просмотр срока действия сертификата

Используйте следующий командлет на каждой виртуальной машине сетевого контроллера, чтобы проверка дату окончания срока действия сертификата:

Get-ChildItem Cert:\LocalMachine\My | where{$_.Subject -eq "CN=<Certificate-subject-name>"} | Select-Object NotAfter, Subject

• Чтобы получить срок действия сертификата REST, замените "Certificate-subject-name" на RestIPAddress или RestName сетевого контроллера. Это значение можно получить из командлета Get-NetworkController .

• Чтобы получить срок действия сертификата узла, замените "Certificate-subject-name" полным доменным именем (FQDN) виртуальной машины сетевого контроллера. Это значение можно получить из командлета Get-NetworkController .

Продление сертификатов сетевого контроллера

Сертификаты сетевого контроллера можно обновить автоматически или вручную.

Автоматическое продление

Командлет Start-SdnCertificateRotation позволяет автоматизировать продление сертификатов сетевого контроллера. Автоматическое продление сертификата помогает свести к минимуму все простои или незапланированные простои, вызванные проблемами с истечением срока действия сертификата.

Ниже приведены сценарии, в которых можно использовать командлет для автоматического Start-SdnCertificateRotation продления сертификатов сетевого контроллера.

• Самозаверяемые сертификаты. Start-SdnCertificateRotation Используйте командлет для создания самозаверяющих сертификатов и обновления этих сертификатов на всех узлах сетевого контроллера.
• Использование собственных сертификатов. Принесите собственные сертификаты, самозаверяющий или подписанный ЦС, и используйте Start-SdnCertificateRotation командлет для продления сертификата. Командлет устанавливает сертификаты на всех узлах сетевого контроллера и распространяет их на другие компоненты инфраструктуры SDN.
• Предустановленные сертификаты. Необходимые сертификаты уже установлены на узлах сетевого контроллера. Используйте командлет , Start-SdnCertificateRotation чтобы обновить эти сертификаты для других компонентов инфраструктуры SDN.

Дополнительные сведения о создании сертификатов SDN и управлении ими см. в статье Управление сертификатами для программно-конфигурируемой сети.

Требования

Ниже приведены требования к автоматическому продлению сертификата.

• Командлет необходимо выполнить Start-SdnCertificateRotation на одном из узлов сетевого контроллера. Инструкции по установке см. в разделе Установка модуля SdnDiagnostics.

• Для авторизации обмена данными между узлами сетевого контроллера необходимо иметь учетные данные для следующих двух типов учетных записей:

  • Credential , чтобы указать учетную запись пользователя с правами локального администратора на сетевом контроллере.

  • NcRestCredential , чтобы указать учетную запись пользователя с доступом к REST API сетевого контроллера. Это член из ClientSecurityGroupGet-NetworkController. Эта учетная запись используется для вызова REST API для обновления ресурса учетных данных с помощью нового сертификата.

  Дополнительные сведения о настройке авторизации для подключения сетевого контроллера по северному трафику см. в разделе Авторизация для связи по северному подключению.

Автоматическое продление самозаверяющего сертификата

С помощью командлета Start-SdnCertificateRotation можно создавать самозаверяющие сертификаты и автоматически обновлять их на всех узлах сетевого контроллера. По умолчанию командлет создает сертификаты со сроком действия в три года, но вы можете указать другой срок действия.

Выполните следующие действия на одном из узлов сетевого контроллера, чтобы создать самозаверяющие сертификаты и автоматически продлить их.

1. Чтобы создать самозаверяющие сертификаты, выполните Start-SdnCertificateRotation командлет . Параметр можно использовать -Force с командлетом , чтобы избежать запросов на подтверждение или ввода вручную во время процесса смены.

   • Чтобы создать самозаверяющие сертификаты со сроком действия по умолчанию в три года, выполните следующие команды:

     Import-Module -Name SdnDiagnostics -Force
     Start-SdnCertificateRotation -GenerateCertificate -CertPassword (Get-Credential).Password -Credential (Get-Credential)
     

   • Чтобы создать самозаверяющие сертификаты с определенным сроком действия, используйте NotAfter параметр для указания срока действия.

     Например, чтобы создать самозаверяющие сертификаты со сроком действия в пять лет, выполните следующие команды:

     Import-Module -Name SdnDiagnostics -Force
     Start-SdnCertificateRotation -GenerateCertificate -CertPassword (Get-Credential).Password -NotAfter (Get-Date).AddYears(5) -Credential (Get-Credential)
     

2. Введите учетные данные. Вы получите два запроса на ввод двух типов учетных данных:

   • В первом запросе введите пароль для защиты созданного сертификата. Имя пользователя может быть любым и не используется.
   • Во втором запросе используйте учетные данные с правами администратора ко всем узлам сетевого контроллера.

3. После создания новых сертификатов вы получите предупреждение, чтобы подтвердить, хотите ли вы продолжить процесс смены сертификатов. В тексте предупреждения отображается список сертификатов сетевого контроллера, которые будут заменены только что созданными сертификатами. Для подтверждения введите Y.

   Ниже приведен пример снимка экрана с предупреждением:

   

4. После подтверждения продолжения смены сертификатов можно просмотреть состояние текущих операций в командном окне PowerShell.

   Важно!

   Не закрывайте окно PowerShell, пока не завершится командлет. В зависимости от среды, например количества узлов сетевого контроллера в кластере, может потребоваться несколько минут или более часа.

   Ниже приведен пример снимка экрана командного окна PowerShell с состоянием текущих операций:

   

Автоматическое продление собственных сертификатов

Помимо создания самозаверяющих сертификатов сетевого контроллера, вы также можете использовать собственные сертификаты, самозаверяющие или ЦС, и использовать Start-SdnCertificateRotation командлет для обновления этих сертификатов.

Выполните следующие действия на одном из узлов сетевого контроллера, чтобы автоматически обновить собственные сертификаты:

1. Подготовьте сертификаты в .pfx формате и сохраните их в папке на одном из узлов сетевого контроллера, из которого выполняется Start-SdnCertificateRotation командлет. Параметр можно использовать -Force с командлетом , чтобы избежать запросов на подтверждение или ввода вручную во время процесса смены.

2. Чтобы начать обновление сертификата, выполните следующие команды:

   Import-Module -Name SdnDiagnostics -Force
   Start-SdnCertificateRotation -CertPath "<Path where you put your certificates>" -CertPassword (Get-Credential).Password -Credential (Get-Credential)
   

3. Введите учетные данные. Вы получите два запроса на ввод двух типов учетных данных:

   • В первом запросе введите пароль сертификата. Имя пользователя может быть любым и не используется.
   • Во втором запросе используйте учетные данные с правами администратора ко всем узлам сетевого контроллера.

4. Вы получите предупреждение, чтобы подтвердить, хотите ли вы продолжить процесс смены сертификатов. В тексте предупреждения отображается список сертификатов сетевого контроллера, которые будут заменены только что созданными сертификатами. Для подтверждения введите Y.

   Ниже приведен пример снимка экрана с предупреждением:

   

5. После подтверждения продолжения смены сертификатов можно просмотреть состояние текущих операций в командном окне PowerShell.

   Важно!

   Не закрывайте окно PowerShell, пока не завершится командлет. В зависимости от среды, например количества узлов сетевого контроллера в кластере, может потребоваться несколько минут или более часа.

Автоматическое продление предустановленных сертификатов

В этом сценарии на узлах сетевого контроллера установлены необходимые сертификаты. Start-SdnCertificateRotation Используйте командлет , чтобы обновить эти сертификаты в других компонентах инфраструктуры SDN.

Выполните следующие действия на одном из узлов сетевого контроллера, чтобы автоматически обновить предустановленные сертификаты.

1. Установите сертификаты сетевого контроллера на всех узлах сетевого контроллера согласно предпочтительному методу. Убедитесь, что сертификаты являются доверенными для других компонентов инфраструктуры SDN, включая серверы SDN MUX и узлы SDN.

2. Create конфигурации смены сертификатов:

   1. Чтобы создать конфигурацию смены сертификатов по умолчанию, выполните следующие команды:

      Import-Module -Name SdnDiagnostics -Force
      $certConfig = New-SdnCertificateRotationConfig
      $certConfig
      

   2. Проверьте конфигурацию смены сертификатов по умолчанию, чтобы проверить, являются ли автоматически обнаруженные сертификаты теми, которые вы хотите использовать. По умолчанию он получает последний выданный сертификат для использования.

      Ниже приведен пример конфигурации смены сертификатов.

      PS C:\Users\LabAdmin> $certConfig
      
      Name					Value
      ----					-----
      ws22ncl.corp.contoso.com 	F4AAF14991DAF282D9056E147AE60C2C5FE80A49
      ws22nc3.corp.contoso.com 	BC3E6B090E2AA80220B7BAED7F8F981A1E1DD115
      ClusterCredentialType 		X509
      ws22nc2.corp.contoso.corn 	75DC229A8E61AD855CC445C42482F9F919CC1077
      NcRestCert				029D7CA0067A60FB24827D8434566787114AC30C
      

      где:

      • ws22ncx.corp.contoso.com отображает отпечаток сертификата для каждого узла сетевого контроллера.
      • ClusterCredentialType показывает тип проверки подлинности кластера сетевого контроллера. Если тип проверки подлинности не X509, сертификат узла не используется и не отображается в выходных данных.
      • В NcRestCert отображается отпечаток сертификата rest сетевого контроллера.

   3. (Необязательно) Если созданный $certConfig файл неверен, его можно изменить, указав отпечаток нового сертификата. Например, чтобы изменить отпечаток сертификата rest сетевого контроллера, выполните следующую команду:

      $certConfig.NcRestCert = <new certificate thumbprint>
      

3. Запустите смену сертификатов. Параметр можно использовать -Force с командлетом , чтобы избежать запросов на подтверждение или ввода вручную во время процесса смены.

   Import-Module -Name SdnDiagnostics -Force
   Start-SdnCertificateRotation -CertRotateConfig $certConfig -Credential (Get-Credential)
   

4. При появлении запроса на ввод учетных данных введите учетные данные, имеющие доступ администратора ко всем узлам сетевого контроллера.

5. Вы получите предупреждение, чтобы подтвердить, хотите ли вы продолжить автоматическую смену сертификатов. Предупреждение отображает список сертификатов сетевого контроллера, которые будут заменены вашими собственными сертификатами. Для подтверждения введите Y.

   Ниже приведен пример снимка экрана с предупреждением, которое предлагает подтвердить смену сертификатов:

   

6. После подтверждения продолжения смены сертификатов можно просмотреть состояние текущих операций в командном окне PowerShell.

   Важно!

   Не закрывайте окно PowerShell, пока не завершится командлет. В зависимости от среды, например количества узлов сетевого контроллера в кластере, может потребоваться несколько минут или более часа.

Продление вручную

Используйте следующие инструкции, чтобы вручную обновить сертификаты REST и сертификаты узла сетевого контроллера.

Важно!

Если срок действия сертификатов сетевого контроллера уже истек, следуйте инструкциям в разделе автоматического продления , чтобы обновить сертификаты.

Продление сертификатов REST

Сертификат REST сетевого контроллера используется для:

• Связь с клиентами REST по северному трафику
• Шифрование учетных данных
• Подключение на юг к узлам и виртуальным машинам Load Balancer программного обеспечения

При обновлении сертификата REST необходимо обновить клиенты управления и сетевые устройства, чтобы использовать новый сертификат.

Чтобы обновить сертификат REST, выполните следующие действия.

1. Перед продлением убедитесь, что срок действия сертификата на виртуальных машинах сетевого контроллера не истек. См . раздел Просмотр срока действия сертификата.

2. Приобретите новый сертификат и поместите его в личный магазин локального компьютера (LocalMachine\My). Если это самозаверяющий сертификат, поместите его в корневое хранилище (LocalMachine\Root) каждой виртуальной машины сетевого контроллера. Сведения о том, как создать сертификат или выдать его из центра сертификации, см. в статье Управление сертификатами для программно-конфигурируемой сети.

3. Назначьте новый сертификат переменной:

   $cert= Get-ChildItem Cert:\LocalMachine\My | where{$_.Thumbprint -eq "<thumbprint of the new certificate>"}
   

4. Скопируйте сертификат на все виртуальные машины сетевого контроллера.

5. Укажите разрешения на чтение и разрешение для центра nt/сетевой службы в сертификате:

   $targetCertPrivKey = $Cert.PrivateKey
   $privKeyCertFile = Get-Item -path
   "$ENV:ProgramData\Microsoft\Crypto\RSA\MachineKeys\*" | where-object {$_.Name -eq $targetCertPrivKey.CspKeyContainerInfo.UniqueKeyContainerName}
   $privKeyAcl = Get-Acl $privKeyCertFile
   $permission = "NT AUTHORITY\NETWORK SERVICE","Read","Allow"
   $accessRule = new-object System.Security.AccessControl.FileSystemAccessRule $permission
   $privKeyAcl.AddAccessRule($accessRule)
   Set-Acl $privKeyCertFile.FullName $privKeyAcl
   

6. (Только для самозаверяющего сертификата) Скопируйте открытый ключ сертификата на все узлы и виртуальные машины Load Balancer программного обеспечения.

7. Измените параметры сетевого контроллера, чтобы использовать новый сертификат.

Копирование сертификата на все виртуальные машины сетевого контроллера

Выполните следующие действия, чтобы скопировать один сертификат на все виртуальные машины сетевого контроллера.

1. Убедитесь, что вы приобрели новый сертификат и поместите его в личный магазин локального компьютера (My – cert:\localmachine\my).

2. На первой виртуальной машине сетевого контроллера экспортируйте сертификат в PFX-файл.

   $mypwd = ConvertTo-SecureString -String "<password>" -Force -AsPlainText
   Export-PfxCertificate -FilePath "C:\newpfx.pfx" -Password $mypwd -Cert $cert    
   # Here, $cert is the new certificate
   

3. На других виртуальных машинах сетевого контроллера импортируйте сертификат и закрытые ключи из PFX-файла в целевое хранилище:

   $mypwd = ConvertTo-SecureString -String "<password>" -Force -AsPlainText
   Import-PfxCertificate -FilePath C:\newpfx.pfx -CertStoreLocation Cert:\LocalMachine\My -Password $mypwd
   # Ensure that you copy the pfx file into the local machine before importing the cert
   

Скопируйте открытый ключ сертификата на все узлы и виртуальные машины Load Balancer программного обеспечения (только для самозаверяющего сертификата).

Если вы используете самозаверяющий сертификат, поместите его в корневое хранилище локального компьютера (LocalMachine\Root) для каждого из следующих элементов:

• Каждая виртуальная машина сетевого контроллера.
• Каждый хост-компьютер Azure Stack HCI и программное обеспечение Load Balancer виртуальных машин. Это гарантирует, что сертификат является доверенным для одноранговых сущностей.

Ниже приведен пример команды для импорта открытого ключа сертификата, который уже был экспортирован:

Import-Certificate -FilePath "\\sa18fs\SU1_LibraryShare1\RestCert.cer\" -CertStoreLocation cert:\localMachine\Root

Изменение параметров сетевого контроллера для использования нового сертификата

Измените параметры узла, кластера и приложения сетевого контроллера, чтобы использовать новый сертификат.

Для северной связи

Чтобы изменить сертификат, который сетевой контроллер использует для подключения по северному трафику, выполните следующую команду на любой из виртуальных машин сетевого контроллера:

Set-NetworkController -ServerCertificate \$cert

Для шифрования учетных данных

Чтобы изменить сертификат, который сетевой контроллер использует для шифрования учетных данных, выполните следующую команду на любой из виртуальных машин сетевого контроллера:

Set-NetworkControllerCluster -CredentialEncryptionCertificate $cert

Для связи на юг

Чтобы изменить сертификат, который сетевой контроллер использует для взаимодействия с узлами и программными подсистемами балансировки нагрузки, выполните следующую команду:

$certCred = Get-NetworkControllerCredential -ConnectionUri <REST uri of deployment> |where-object { $_.properties.type -eq "X509Certificate" }
$certCred[0].Properties.Value ="<Thumbprint of the new certificate>"

New-NetworkControllerCredential -ConnectionUri <REST uri of deployment> -ResourceId $certCred[0].ResourceId -Properties $certCred[0].Properties -Force

Продление сертификатов узла

Чтобы обновить сертификат узла сетевого контроллера, выполните следующие действия на каждой виртуальной машине сетевого контроллера.

1. Приобретите новый сертификат и поместите его в личное хранилище локального компьютера (LocalMachine\My). Если это самозаверяющий сертификат, его также необходимо поместить в хранилище (LocalMachine\Root) каждой виртуальной машины сетевого контроллера. Сведения о том, как создать сертификат или выдать его из центра сертификации, см. в статье Управление сертификатами для программно-конфигурируемой сети.

2. Назначьте новый сертификат переменной:

   $cert = Get-ChildItem Cert:\LocalMachine\My | where{$_.Thumbprint -eq "<thumbprint of the new certificate>"}
   

3. Укажите разрешения на чтение и разрешение для центра nt/сетевой службы в сертификате:

   $targetCertPrivKey = $Cert.PrivateKey
   $privKeyCertFile = Get-Item -path
   "$ENV:ProgramData\Microsoft\Crypto\RSA\MachineKeys\*" | where-object {$_.Name -eq $targetCertPrivKey.CspKeyContainerInfo.UniqueKeyContainerName}
   $privKeyAcl = Get-Acl $privKeyCertFile
   $permission = "NT AUTHORITY\NETWORK SERVICE","Read","Allow"
   $accessRule = new-object System.Security.AccessControl.FileSystemAccessRule $permission
   $privKeyAcl.AddAccessRule($accessRule)
   Set-Acl $privKeyCertFile.FullName $privKeyAcl
   

4. Выполните следующую команду, чтобы изменить сертификат узла:

   Set-NetworkControllerNode -Name "<Name of the Network Controller node>" -NodeCertificate $cert
   

Повторный импорт сертификатов в Windows Admin Center

Если вы обновили сертификат REST сетевого контроллера и используете Windows Admin Center для управления SDN, необходимо удалить кластер Azure Stack HCI из Windows Admin Center и добавить его снова. Это гарантирует, что Windows Admin Center импортирует обновленный сертификат и использует его для управления SDN.

Выполните следующие действия, чтобы повторно импортировать обновленный сертификат в Windows Admin Center.

1. В Windows Admin Center выберите Диспетчер кластеров в верхнем раскрывающемся меню.
2. Выберите кластер, который нужно удалить, и нажмите кнопку Удалить.
3. Нажмите кнопку Добавить, введите имя кластера, а затем нажмите кнопку Добавить.
4. После загрузки кластера выберите Инфраструктура SDN. Это заставляет Windows Admin Center автоматически повторно импортировать обновленный сертификат.

Дальнейшие действия

• Обновление инфраструктуры SDN для Azure Stack HCI