Förnya certifikat för nätverksstyrenheten

Gäller för: Azure Stack HCI, versionerna 23H2 och 22H2; Windows Server 2022 och Windows Server 2019

Den här artikeln innehåller instruktioner om hur du förnyar eller ändrar nätverksstyrenhetscertifikat, både automatiskt och manuellt. Om du har problem med att förnya dina nätverksstyrenhetscertifikat kontaktar du Microsoft Support.

I infrastrukturen för programvarudefinierade nätverk (SDN) använder nätverksstyrenheten certifikatbaserad autentisering för att skydda northbound-kommunikationskanaler med hanteringsklienter och southbound-kommunikation med nätverksenheter, till exempel software Load Balancer. Nätverksstyrenhetscertifikaten har en giltighetsperiod, varefter de blir ogiltiga och inte längre kan vara betrodda för användning. Vi rekommenderar starkt att du förnyar dem innan de upphör att gälla.

En översikt över nätverksstyrenheten finns i Vad är nätverksstyrenhet?

När du ska förnya eller ändra nätverksstyrenhetscertifikat

Du kan förnya eller ändra nätverksstyrenhetscertifikat när:

• Certifikaten håller på att upphöra att gälla. Du kan verkligen förnya nätverksstyrenhetscertifikat när som helst innan de upphör att gälla.

  Anteckning

  Om du förnyar befintliga certifikat med samma nyckel är alla inställda och behöver inte göra något.

• Du vill ersätta ett självsignerat certifikat med ett certifikatutfärdare (CA)-signerat certifikat.

  Anteckning

  När du ändrar certifikaten ska du se till att du använder samma ämnesnamn som för det gamla certifikatet.

Typer av nätverksstyrenhetscertifikat

I Azure Stack HCI använder varje virtuell nätverksstyrenhetsdator två typer av certifikat:

• REST-certifikat. Ett enda certifikat för Northbound-kommunikation med REST-klienter (till exempel Windows Admin Center) och southbound-kommunikation med Hyper-V-värdar och programvarulastbalanserare. Samma certifikat finns på alla virtuella nätverksstyrenhetsdatorer. Information om hur du förnyar REST-certifikat finns i Förnya REST-certifikat.

• Nätverksstyrenhetens nodcertifikat. Ett certifikat på varje virtuell nätverksstyrenhetsdator för autentisering mellan noder. Information om hur du förnyar nodcertifikat för nätverksstyrenheten finns i Förnya nodcertifikat.

Varning

Låt inte certifikatet upphöra att gälla. Förnya dem innan de upphör att gälla för att undvika autentiseringsproblem. Ta inte heller bort några befintliga utgångna certifikat innan du förnyar dem. Information om förfallodatumet för ett certifikat finns i Visa certifikatets förfallodatum.

Visa certifikatets förfallodatum

Använd följande cmdlet på varje virtuell nätverksstyrenhetsdator för att kontrollera förfallodatumet för ett certifikat:

Get-ChildItem Cert:\LocalMachine\My | where{$_.Subject -eq "CN=<Certificate-subject-name>"} | Select-Object NotAfter, Subject

• Om du vill få ett REST-certifikat upphör att gälla ersätter du "Certificate-subject-name" med RestIPAddress eller RestName för nätverksstyrenheten. Du kan hämta det här värdet från cmdleten Get-NetworkController .

• Om du vill få ett nodcertifikat upphör att gälla ersätter du "Certificate-subject-name" med det fullständigt kvalificerade domännamnet (FQDN) för den virtuella nätverksstyrenhetsdatorn. Du kan hämta det här värdet från cmdleten Get-NetworkController .

Förnya nätverksstyrenhetscertifikat

Du kan förnya dina nätverksstyrenhetscertifikat antingen automatiskt eller manuellt.

Automatisk förnyelse

Med Start-SdnCertificateRotation cmdleten kan du automatisera förnyelsen av dina nätverksstyrenhetscertifikat. Automatisk förnyelse av certifikat hjälper till att minimera eventuella driftstopp eller oplanerade avbrott som orsakas av problem med certifikatets upphörande.

Här följer scenarier där du kan använda cmdleten Start-SdnCertificateRotation för att automatiskt förnya nätverksstyrenhetscertifikat:

• Självsignerade certifikat. Använd cmdleten Start-SdnCertificateRotation för att generera självsignerade certifikat och förnya certifikaten i alla nätverksstyrenhetsnoder.
• Ta med dina egna certifikat. Du tar med dina egna certifikat, antingen självsignerade eller CA-signerade och använder cmdleten Start-SdnCertificateRotation för certifikatförnyelse. Cmdleten installerar certifikaten på alla nätverksstyrenhetsnoder och distribuerar dem till andra SDN-infrastrukturkomponenter.
• Förinstallerade certifikat. Du har redan de certifikat som krävs installerade på noderna för nätverksstyrenheten. Använd cmdleten Start-SdnCertificateRotation för att förnya certifikaten till andra SDN-infrastrukturkomponenter.

Mer information om hur du skapar och hanterar SDN-certifikat finns i Hantera certifikat för programvarudefinierade nätverk.

Krav

Här följer kraven för automatisk förnyelse av certifikat:

• Du måste köra cmdleten Start-SdnCertificateRotation på en av nätverksstyrenhetsnoderna. Installationsinstruktioner finns i Installera SdnDiagnostics-modulen.

• Du måste ha autentiseringsuppgifter för följande två typer av konton för att tillåta kommunikation mellan nätverksstyrenhetsnoder:

  • Credential för att ange ett användarkonto med lokal administratörsbehörighet på nätverksstyrenheten.

  • NcRestCredential för att ange ett användarkonto med åtkomst till REST API för nätverksstyrenhet. Den är medlem i ClientSecurityGroup från Get-NetworkController. Det här kontot används för att anropa REST API för att uppdatera autentiseringsresursen med det nya certifikatet.

  Mer information om hur du konfigurerar auktorisering för nätverksstyrenhetens northbound-kommunikation finns i Authorization for Northbound communication ( Auktorisering för northbound-kommunikation).

Förnya självsignerade certifikat automatiskt

Du kan använda cmdleten Start-SdnCertificateRotation för att generera nya självsignerade certifikat och automatiskt förnya dem till alla nätverksstyrenhetsnoder. Som standard genererar cmdleten certifikat med en giltighetsperiod på tre år, men du kan ange en annan giltighetsperiod.

Utför dessa steg på en av nätverksstyrenhetsnoderna för att generera självsignerade certifikat och förnya dem automatiskt:

1. Om du vill generera självsignerade certifikat kör du cmdleten Start-SdnCertificateRotation . Du kan använda parametern -Force med cmdleten för att undvika eventuella uppmaningar om bekräftelse eller manuella indata under rotationsprocessen.

   • Kör följande kommandon för att generera självsignerade certifikat med standardperioden på tre år:

     Import-Module -Name SdnDiagnostics -Force
     Start-SdnCertificateRotation -GenerateCertificate -CertPassword (Get-Credential).Password -Credential (Get-Credential)
     

   • Om du vill generera självsignerade certifikat med en viss giltighetsperiod använder du parametern NotAfter för att ange giltighetsperioden.

     Om du till exempel vill generera självsignerade certifikat med en giltighetsperiod på fem år kör du följande kommandon:

     Import-Module -Name SdnDiagnostics -Force
     Start-SdnCertificateRotation -GenerateCertificate -CertPassword (Get-Credential).Password -NotAfter (Get-Date).AddYears(5) -Credential (Get-Credential)
     

2. Ange autentiseringsuppgifterna. Du får två uppmaningar om att ange två typer av autentiseringsuppgifter:

   • I den första prompten anger du lösenordet för att skydda det genererade certifikatet. Användarnamnet kan vara vad som helst och används inte.
   • I den andra prompten använder du autentiseringsuppgifterna som har administratörsåtkomst till alla nätverksstyrenhetsnoder.

3. När de nya certifikaten har genererats får du en varning för att bekräfta om du vill fortsätta med certifikatrotationsprocessen. Varningstexten visar listan över nätverksstyrenhetscertifikat som ska ersättas med de nyligen genererade. Ange Y för att bekräfta.

   Här är ett exempel på en skärmbild av varningen:

   

4. När du har bekräftat att du vill fortsätta med certifikatrotationen kan du visa status för de pågående åtgärderna i PowerShell-kommandofönstret.

   Viktigt

   Stäng inte PowerShell-fönstret förrän cmdleten har slutförts. Beroende på din miljö, till exempel antalet nätverksstyrenhetsnoder i klustret, kan det ta flera minuter eller mer än en timme att slutföra.

   Här är ett exempel på en skärmbild av PowerShell-kommandofönstret som visar status för pågående åtgärder:

   

Förnya dina egna certifikat automatiskt

Förutom att generera självsignerade nätverksstyrenhetscertifikat kan du även använda egna certifikat, antingen självsignerade eller CA-signerade, och använda cmdleten Start-SdnCertificateRotation för att förnya dessa certifikat.

Utför dessa steg på en av nätverksstyrenhetsnoderna för att automatiskt förnya dina egna certifikat:

1. Förbered dina certifikat i .pfx format och spara i en mapp på en av nätverksstyrenhetsnoderna där du kör cmdleten Start-SdnCertificateRotation . Du kan använda parametern -Force med cmdleten för att undvika eventuella uppmaningar om bekräftelse eller manuella indata under rotationsprocessen.

2. Starta certifikatförnyelsen genom att köra följande kommandon:

   Import-Module -Name SdnDiagnostics -Force
   Start-SdnCertificateRotation -CertPath "<Path where you put your certificates>" -CertPassword (Get-Credential).Password -Credential (Get-Credential)
   

3. Ange autentiseringsuppgifterna. Du får två uppmaningar om att ange två typer av autentiseringsuppgifter:

   • I den första prompten anger du lösenordet för certifikatet. Användarnamnet kan vara vad som helst och används inte.
   • I den andra prompten använder du autentiseringsuppgifterna som har administratörsåtkomst till alla nätverksstyrenhetsnoder.

4. Du får en varning för att bekräfta om du vill fortsätta med certifikatrotationsprocessen. Varningstexten visar listan över nätverksstyrenhetscertifikat som ska ersättas med de nyligen genererade. Ange Y för att bekräfta.

   Här är ett exempel på en skärmbild av varningen:

   

5. När du har bekräftat att du vill fortsätta med certifikatrotationen kan du visa status för de pågående åtgärderna i PowerShell-kommandofönstret.

   Viktigt

   Stäng inte PowerShell-fönstret förrän cmdleten har slutförts. Beroende på din miljö, till exempel antalet nätverksstyrenhetsnoder i klustret, kan det ta flera minuter eller mer än en timme att slutföra.

Förnya förinstallerade certifikat automatiskt

I det här scenariot har du de certifikat som krävs installerade på noderna för nätverksstyrenheten. Använd cmdleten Start-SdnCertificateRotation för att förnya certifikaten på andra SDN-infrastrukturkomponenter.

Utför dessa steg på en av nätverksstyrenhetsnoderna för att automatiskt förnya de förinstallerade certifikaten:

1. Installera nätverksstyrenhetscertifikaten på alla nätverksstyrenhetsnoder enligt önskad metod. Se till att certifikaten är betrodda av andra SDN-infrastrukturkomponenter, inklusive SDN MUX-servrar och SDN-värdar.

2. Skapa konfiguration av certifikatrotation:

   1. Kör följande kommandon för att generera standardkonfigurationen för certifikatrotation:

      Import-Module -Name SdnDiagnostics -Force
      $certConfig = New-SdnCertificateRotationConfig
      $certConfig
      

   2. Granska standardkonfigurationen för certifikatrotation för att bekräfta om de automatiskt identifierade certifikaten är de som du vill använda. Som standard hämtar den det senaste utfärdade certifikatet som ska användas.

      Här är ett exempel på en konfiguration av certifikatrotation:

      PS C:\Users\LabAdmin> $certConfig
      
      Name					Value
      ----					-----
      ws22ncl.corp.contoso.com 	F4AAF14991DAF282D9056E147AE60C2C5FE80A49
      ws22nc3.corp.contoso.com 	BC3E6B090E2AA80220B7BAED7F8F981A1E1DD115
      ClusterCredentialType 		X509
      ws22nc2.corp.contoso.corn 	75DC229A8E61AD855CC445C42482F9F919CC1077
      NcRestCert				029D7CA0067A60FB24827D8434566787114AC30C
      

      där:

      • ws22ncx.corp.contoso.com visar certifikatets tumavtryck för varje nätverksstyrenhetsnod.
      • ClusterCredentialType visar autentiseringstypen Kluster för nätverksstyrenhet. Om autentiseringstypen inte är X509 används inte nodcertifikatet och visas inte i utdata.
      • NcRestCert visar tumavtrycket för nätverksstyrenhetens restcertifikat.

   3. (Valfritt) Om det genererade $certConfig inte är korrekt kan du ändra det genom att ange tumavtrycket för ett nytt certifikat. Om du till exempel vill ändra tumavtrycket för nätverksstyrenhetens restcertifikat kör du följande kommando:

      $certConfig.NcRestCert = <new certificate thumbprint>
      

3. Starta certifikatrotation. Du kan använda parametern -Force med cmdleten för att undvika eventuella uppmaningar om bekräftelse eller manuella indata under rotationsprocessen.

   Import-Module -Name SdnDiagnostics -Force
   Start-SdnCertificateRotation -CertRotateConfig $certConfig -Credential (Get-Credential)
   

4. När du uppmanas att ange autentiseringsuppgifter anger du autentiseringsuppgifterna som har administratörsåtkomst till alla nätverksstyrenhetsnoder.

5. Du får en varning för att bekräfta om du vill fortsätta med automatisk rotation av certifikat. Varningen visar listan över nätverksstyrenhetscertifikat som ska ersättas med dina egna certifikat. Ange Y för att bekräfta.

   Här är ett exempel på en skärmbild av varningen som uppmanar dig att bekräfta rotationen av certifikat:

   

6. När du har bekräftat att du vill fortsätta med certifikatrotationen kan du visa status för de pågående åtgärderna i PowerShell-kommandofönstret.

   Viktigt

   Stäng inte PowerShell-fönstret förrän cmdleten har slutförts. Beroende på din miljö, till exempel antalet nätverksstyrenhetsnoder i klustret, kan det ta flera minuter eller mer än en timme att slutföra.

Manuell förnyelse

Använd följande instruktioner för att förnya REST-certifikat och nodcertifikat för nätverksstyrenheten manuellt.

Viktigt

Om nätverksstyrenhetscertifikaten redan har upphört att gälla använder du anvisningarna i avsnittet automatisk förnyelse för att förnya certifikaten.

Förnya REST-certifikat

Du använder nätverksstyrenhetens REST-certifikat för:

• Northbound-kommunikation med REST-klienter
• Kryptering av autentiseringsuppgifter
• Southbound-kommunikation till värdar och virtuella Load Balancer Software-datorer

När du uppdaterar ett REST-certifikat måste du uppdatera hanteringsklienter och nätverksenheter så att de använder det nya certifikatet.

Förnya REST-certifikatet genom att utföra följande steg:

1. Kontrollera att certifikatet på de virtuella nätverksstyrenhetsdatorerna inte har upphört att gälla innan du förnyar det. Se Visa certifikatets förfallodatum.

2. Skaffa det nya certifikatet och placera det i den lokala datorns personliga arkiv (LocalMachine\My). Om det är ett självsignerat certifikat placerar du det i rotarkivet (LocalMachine\Root) för varje virtuell nätverksstyrenhetsdator. Information om hur du skapar ett nytt certifikat eller utfärdar det från en certifikatutfärdare finns i Hantera certifikat för programvarudefinierade nätverk.

3. Tilldela det nya certifikatet till en variabel:

   $cert= Get-ChildItem Cert:\LocalMachine\My | where{$_.Thumbprint -eq "<thumbprint of the new certificate>"}
   

4. Kopiera certifikatet till alla virtuella nätverksstyrenhetsdatorer.

5. Ange läs- och tillåt-behörigheter för NT-utfärdare/nätverkstjänst på certifikatet:

   $targetCertPrivKey = $Cert.PrivateKey
   $privKeyCertFile = Get-Item -path
   "$ENV:ProgramData\Microsoft\Crypto\RSA\MachineKeys\*" | where-object {$_.Name -eq $targetCertPrivKey.CspKeyContainerInfo.UniqueKeyContainerName}
   $privKeyAcl = Get-Acl $privKeyCertFile
   $permission = "NT AUTHORITY\NETWORK SERVICE","Read","Allow"
   $accessRule = new-object System.Security.AccessControl.FileSystemAccessRule $permission
   $privKeyAcl.AddAccessRule($accessRule)
   Set-Acl $privKeyCertFile.FullName $privKeyAcl
   

6. (Endast för självsignerat certifikat) Kopiera certifikatets offentliga nyckel till alla värdar och virtuella Load Balancer-datorer.

7. Ändra inställningarna för nätverksstyrenheten så att det nya certifikatet används.

Kopiera certifikatet till alla virtuella nätverksstyrenhetsdatorer

Följ de här stegen för att kopiera ett certifikat till alla virtuella nätverksstyrenhetsdatorer.

1. Se till att du skaffar det nya certifikatet och placerar det i den lokala datorns personliga arkiv (My – cert:\localmachine\my).

2. På den första virtuella datorn med nätverksstyrenheten exporterar du certifikatet till en PFX-fil (Personal Information Exchange).

   $mypwd = ConvertTo-SecureString -String "<password>" -Force -AsPlainText
   Export-PfxCertificate -FilePath "C:\newpfx.pfx" -Password $mypwd -Cert $cert    
   # Here, $cert is the new certificate
   

3. På andra virtuella nätverksstyrenhetsdatorer importerar du certifikatet och de privata nycklarna från en PFX-fil till målarkivet:

   $mypwd = ConvertTo-SecureString -String "<password>" -Force -AsPlainText
   Import-PfxCertificate -FilePath C:\newpfx.pfx -CertStoreLocation Cert:\LocalMachine\My -Password $mypwd
   # Ensure that you copy the pfx file into the local machine before importing the cert
   

Kopiera certifikatets offentliga nyckel till alla värdar och virtuella programvarudatorer Load Balancer (endast för självsignerat certifikat)

Om du använder ett självsignerat certifikat placerar du det i rotarkivet för den lokala datorn (LocalMachine\Root) för vart och ett av följande:

• Varje virtuell nätverksstyrenhetsdator.
• Varje Azure Stack HCI-värddator och programvara Load Balancer virtuella datorer. Detta säkerställer att certifikatet är betrott av peer-entiteterna.

Här är ett exempelkommando för att importera den offentliga certifikatnyckeln som redan har exporterats:

Import-Certificate -FilePath "\\sa18fs\SU1_LibraryShare1\RestCert.cer\" -CertStoreLocation cert:\localMachine\Root

Ändra inställningarna för nätverksstyrenheten för att använda det nya certifikatet

Ändra noden, klustret och programinställningarna för nätverksstyrenheten så att det nya certifikatet används.

För Northbound-kommunikation

Om du vill ändra certifikatet som nätverksstyrenheten använder för Northbound-kommunikation kör du följande kommando på någon av de virtuella nätverksstyrenhetsdatorerna:

Set-NetworkController -ServerCertificate \$cert

För kryptering av autentiseringsuppgifter

Om du vill ändra certifikatet som nätverksstyrenheten använder för att kryptera autentiseringsuppgifterna kör du följande kommando på någon av de virtuella nätverksstyrenhetsdatorerna:

Set-NetworkControllerCluster -CredentialEncryptionCertificate $cert

För southbound-kommunikation

Om du vill ändra certifikatet som nätverksstyrenheten använder för att kommunicera med värdar och lastbalanserare för programvara kör du följande kommando:

$certCred = Get-NetworkControllerCredential -ConnectionUri <REST uri of deployment> |where-object { $_.properties.type -eq "X509Certificate" }
$certCred[0].Properties.Value ="<Thumbprint of the new certificate>"

New-NetworkControllerCredential -ConnectionUri <REST uri of deployment> -ResourceId $certCred[0].ResourceId -Properties $certCred[0].Properties -Force

Förnya nodcertifikat

Om du vill förnya nodcertifikatet för nätverksstyrenheten utför du följande steg på varje virtuell nätverksstyrenhetsdator:

1. Skaffa det nya certifikatet och placera det i det personliga arkivet för den lokala datorn (LocalMachine\My). Om det är ett självsignerat certifikat måste det också placeras i arkivet (LocalMachine\Root) för varje virtuell nätverksstyrenhetsdator. Information om hur du skapar ett nytt certifikat eller utfärdar det från en certifikatutfärdare finns i Hantera certifikat för programvarudefinierade nätverk.

2. Tilldela det nya certifikatet till en variabel:

   $cert = Get-ChildItem Cert:\LocalMachine\My | where{$_.Thumbprint -eq "<thumbprint of the new certificate>"}
   

3. Ange läs- och tillåt-behörigheter för NT-utfärdare/nätverkstjänst på certifikatet:

   $targetCertPrivKey = $Cert.PrivateKey
   $privKeyCertFile = Get-Item -path
   "$ENV:ProgramData\Microsoft\Crypto\RSA\MachineKeys\*" | where-object {$_.Name -eq $targetCertPrivKey.CspKeyContainerInfo.UniqueKeyContainerName}
   $privKeyAcl = Get-Acl $privKeyCertFile
   $permission = "NT AUTHORITY\NETWORK SERVICE","Read","Allow"
   $accessRule = new-object System.Security.AccessControl.FileSystemAccessRule $permission
   $privKeyAcl.AddAccessRule($accessRule)
   Set-Acl $privKeyCertFile.FullName $privKeyAcl
   

4. Kör följande kommando för att ändra nodcertifikatet:

   Set-NetworkControllerNode -Name "<Name of the Network Controller node>" -NodeCertificate $cert
   

Importera certifikat igen i Windows Admin Center

Om du har förnyat REST-certifikatet för nätverksstyrenheten och du använder Windows Admin Center för att hantera SDN måste du ta bort Azure Stack HCI-klustret från Windows Admin Center och lägga till det igen. Genom att göra detta ser du till att Windows Admin Center importerar det förnyade certifikatet och använder det för SDN-hantering.

Följ dessa steg för att importera det förnyade certifikatet på nytt i Windows Admin Center:

1. I Windows Admin Center väljer du Klusterhanteraren på den översta nedrullningsbara menyn.
2. Välj det kluster som du vill ta bort och välj sedan Ta bort.
3. Välj Lägg till, ange klusternamnet och välj sedan Lägg till.
4. När klustret har lästs in väljer du SDN-infrastruktur. Detta tvingar Windows Admin Center att automatiskt importera det förnyade certifikatet på nytt.

Nästa steg

• Uppdatera SDN-infrastrukturen för Azure Stack HCI