Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье приведены дополнительные сведения о потоке установки Windows HTTPS в подключенном кэше.
Предварительные условия
Методы подключения клиента
Выполните следующие действия, чтобы определить подходящий метод подключения к серверу подключенного кэша для настройки поддержки HTTPS.
Проверка конфигурации политики оптимизации доставки
Следующая команда запрашивает в реестре Windows значение DOCacheHost по пути политики оптимизации доставки:
Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\DeliveryOptimization" -Name "DOCacheHost" -ErrorAction SilentlyContinueЕсли значение присутствует в выходных данных, это означает, что клиент явно настроен на использование определенного сервера подключенного кэша Майкрософт.
Если значение отсутствует в выходных данных, клиент может использовать вариант DHCP 235 для динамического обнаружения подключенных серверов кэша, если настроен doCacheHostSource.
Проверка сведений о существующем HTTP-подключении
Следующая команда проверяет подключение TCP к порту 80 на сервере подключенного кэша. Замените
insert-mcc-server-nameполным именем компьютера сервера.Test-NetConnection -ComputerName [insert-mcc-server-name] -Port 80 -InformationLevel DetailedИз выходных данных:
-
RemoteAddress— это IP-адрес, разрешенный клиентом для сервера подключенного кэша. -
NameResolutionResultsвыводит имя узла, используемое клиентами, если используется разрешение DNS
-
Создание CSR
Примеры параметров Scenario-Based
Просмотрите примеры параметров на основе сценария и внесите соответствующие изменения в команду generateCsr :
Один офис — только IP-адрес
Сценарий: небольшой филиал, где клиенты настроены для подключения к подключенному кэшу с помощью статического IP-адреса (например, с помощью политики DOCacheHost, для которой задано значение "192.168.1.100"). Администратор использует локальную учетную запись пользователя.
.\generateCsr.ps1 `
-RunTimeAccountName $credential.Username `
-mccLocalAccountCredential $credential `
-algo RSA `
-keySizeOrCurve 2048 `
-csrName "mcc-branch-office" `
-subjectCommonName "192.168.1.100" `
-subjectCountry "US" `
-subjectState "TX" `
-subjectOrg "Contoso Corp" `
-sanIp "192.168.1.100"
Корпоративная Standard — dns hostname
Сценарий: корпоративная среда, в которой клиенты подключаются через стандартизированное имя узла (mcc-server.contoso.com). Администратор использует учетную запись gMSA.
.\generateCsr.ps1 `
-RunTimeAccount "CONTOSO\mcc-gmsa$" `
-algo RSA `
-keySizeOrCurve 4096 `
-csrName "mcc-enterprise-prod" `
-subjectCommonName "mcc-server.contoso.com" `
-subjectCountry "US" `
-subjectState "Washington" `
-subjectOrg "Contoso Corporation" `
-sanDns "mcc-server.contoso.com"
Среда обнаружения DHCP
Сценарий. Среда, использующая вариант DHCP 235 для обнаружения подключенного кэша, в которой клиенты могут подключаться с использованием фактического имени узла сервера или имени, предоставленного DHCP. Администратор использует локальную учетную запись пользователя.
.\generateCsr.ps1 `
-RunTimeAccountName $credential.Username `
-mccLocalAccountCredential $credential `
-algo RSA `
-keySizeOrCurve 2048 `
-csrName "mcc-dhcp-discovery" `
-subjectCommonName "cache-server.corporate.local" `
-subjectCountry "US" `
-subjectState "FL" `
-subjectOrg "Corporate IT Services" `
-sanDns "cache-server.corporate.local,mcc-auto.corporate.local,fileserver.corporate.local"
Гибридная среда — смешанные клиентские подключения
Сценарий. Смешанная среда во время миграции, в которой некоторые устаревшие клиенты по-прежнему используют IP-адреса, а более новые клиенты используют DNS-имена. Охватывает оба метода подключения. Администратор использует локальную учетную запись пользователя.
.\generateCsr.ps1 `
-RunTimeAccountName $credential.Username `
-mccLocalAccountCredential $credential `
-algo RSA `
-keySizeOrCurve 2048 `
-csrName "mcc-hybrid-migration" `
-subjectCommonName "mcc-cache.contoso.com" `
-subjectCountry "US" `
-subjectState "CA" `
-subjectOrg "Contoso Inc" `
-sanDns "mcc-cache.contoso.com,cache.contoso.local" `
-sanIp "10.0.1.50,192.168.100.10"
Многосайтовый режим с региональным именованием
Сценарий. Крупная организация с несколькими узлами подключенного кэша, использующими согласованное соглашение об именовании (формат mcc-region-site). Этот пример предназначен для узла центра обработки данных в Сиэтле. Администратор использует учетную запись gMSA.
.\generateCsr.ps1 `
-RunTimeAccount "CORP\mcc-production-gmsa$" `
-algo RSA `
-keySizeOrCurve 4096 `
-csrName "mcc-seattle-dc1" `
-subjectCommonName "mcc-sea-dc1.corp.contoso.com" `
-subjectCountry "US" `
-subjectState "Washington" `
-subjectOrg "Contoso Corporation" `
-sanDns "mcc-sea-dc1.corp.contoso.com,mcc-seattle.contoso.com"
Среда с балансировкой нагрузки
Сценарий. Настройка высокого уровня доступности, в которой несколько узлов подключенного кэша находятся за подсистемой балансировки нагрузки. Клиенты подключаются к ВИРТУАЛЬНОму ip-адресу подсистемы балансировки нагрузки, но сертификат должен поддерживать прямой доступ к узлу для устранения неполадок. Администратор использует учетную запись gMSA.
.\generateCsr.ps1 `
-RunTimeAccount "ENTERPRISE\mcc-ha-gmsa$" `
-algo RSA `
-keySizeOrCurve 4096 `
-csrName "mcc-node1-ha" `
-subjectCommonName "mcc.enterprise.com" `
-subjectCountry "US" `
-subjectState "NY" `
-subjectOrg "Enterprise Solutions Inc" `
-sanDns "mcc.enterprise.com,mcc-node1.enterprise.com,mcc-cluster.enterprise.local"
Среда разработки и тестирования
Сценарий. Среда разработки со строгими требованиями к именованию. Поддерживает тестирование localhost и доступ к лабораторной сети. Администратор использует локальную учетную запись пользователя.
.\generateCsr.ps1 `
-RunTimeAccountName $credential.Username `
-mccLocalAccountCredential $credential `
-algo RSA `
-keySizeOrCurve 2048 `
-csrName "mcc-dev-lab" `
-subjectCommonName "localhost" `
-subjectCountry "US" `
-subjectState "Dev" `
-subjectOrg "IT Development" `
-sanDns "localhost,mcc-dev.lab.local,devserver.local" `
-sanIp "127.0.0.1,192.168.10.100,10.10.10.50"
Высокий уровень безопасности с эллиптической кривой
Сценарий. Организация, заботяющаяся о безопасности, требуется современное шифрование ECC для повышения производительности и соответствия новым стандартам безопасности. Администратор использует учетную запись gMSA.
.\generateCsr.ps1 `
-RunTimeAccount "SECURE\mcc-prod-gmsa$" `
-algo EC `
-keySizeOrCurve secp384r1 `
-csrName "mcc-secure-prod" `
-subjectCommonName "mcc-secure.defense.gov" `
-subjectCountry "US" `
-subjectState "VA" `
-subjectOrg "Department of Defense" `
-sanDns "mcc-secure.defense.gov"
Azure виртуальная машина или гибридное облачное развертывание
Сценарий. Узел подключенного кэша, развернутый на Azure виртуальной машине с общедоступным и частным подключением. Клиенты из локальной среды подключаются через частный IP-адрес или имя узла, а облачные клиенты могут использовать Azure общедоступное DNS-имя. Администратор использует локальную учетную запись пользователя.
.\generateCsr.ps1 `
-RunTimeAccountName $credential.Username `
-mccLocalAccountCredential $credential `
-algo RSA `
-keySizeOrCurve 2048 `
-csrName "mcc-azure-hybrid" `
-subjectCommonName "mcc-eastus.cloudapp.azure.com" `
-subjectCountry "US" `
-subjectState "WA" `
-subjectOrg "Contoso Corporation" `
-sanDns "mcc-eastus.cloudapp.azure.com,mcc-azure.contoso.local,mcc-vm01.contoso.com" `
-sanIp "10.0.1.10,172.16.0.50"
Подписывание CSR
Преобразование в тип файла CRT
Если вы получаете
.cer:PowerShell:
Rename-Item -Path "xxxx.cer" "xxxx.crt"WSL:
openssl x509 -in xxxx.cer -out xxxx.crt
Если вы получаете
.der:PowerShell:
certutil -encode "xxxx.der" "xxxx.crt"WSL:
openssl x509 -inform DER -in xxxx.der -out xxxx.crt