CMG-serverautentiseringscertifikat

  • Artikel

Gäller för: Configuration Manager (aktuell gren)

Det första steget när du konfigurerar en molnhanteringsgateway (CMG) är att hämta certifikatet för serverautentisering. CMG skapar en HTTPS-tjänst som Internetbaserade klienter ansluter till. Servern kräver ett certifikat för serverautentisering för att skapa den säkra kanalen. Du kan hämta ett certifikat för detta ändamål från en offentlig leverantör eller utfärda det från din offentliga nyckelinfrastruktur (PKI).

När du skapar CMG i Configuration Manager-konsolen anger du det här certifikatet. Det gemensamma namnet (CN) för det här certifikatet definierar tjänstnamnet för CMG:en.

Obs!

Du kan behöva ytterligare certifikat för klienter och hanteringsplatser. Dessa certifikat beskrivs i det tredje steget i CMG-konfigurationsprocessen , Konfigurera klientautentisering.

En påminnelse om viss CMG-terminologi som används i den här artikeln:

  • Tjänstnamn: Eget namn (CN) för CMG-serverns autentiseringscertifikat. Klienter och platssystemrollen cmg-anslutningspunkt kommunicerar med det här tjänstnamnet. Till exempel eller GraniteFalls.contoso.comGraniteFalls.WestUS.CloudApp.Azure.Com.

  • Distributionsnamn: Den första delen av tjänstnamnet plus Azure-platsen för molntjänstdistributionen. Molntjänsthanterarkomponenten i tjänstanslutningspunkten använder det här namnet när cmg-filen distribueras i Azure. Distributionsnamnet finns alltid i en Azure-domän. Azure-platsen beror på distributionsmetoden, till exempel:

    • Vm-skalningsuppsättning: GraniteFalls.WestUS.CloudApp.Azure.Com
    • Klassisk distribution: GraniteFalls.CloudApp.Net

    Viktigt

    Den här artikeln använder exempel med en VM-skalningsuppsättning som rekommenderad distributionsmetod i version 2107 och senare. Om du använder en klassisk distribution bör du observera skillnaden när du läser den här artikeln och förbereder certifikatet för serverautentisering.

Välj certifikattyp

Bestäm först var du vill hämta certifikatet. Det finns flera faktorer att tänka på.

Klienter måste lita på CMG-serverns autentiseringscertifikat för att upprätta HTTPS-kanalen med CMG-tjänsten. Det finns två metoder för att uppnå det här förtroendet:

  1. Använd ett certifikat från en offentlig och globalt betrodd certifikatprovider.

    • Windows-klienter inkluderar betrodda rotcertifikatutfärdare (CA) från dessa leverantörer. Genom att använda ett certifikat som utfärdats av någon av dessa leverantörer litar dina klienter automatiskt på det.

    • Det finns en kostnad som är associerad med det här certifikatet, som är specifik för providern.

  2. Använd ett certifikat som utfärdats av en företagscertifikatutfärdare från din offentliga nyckelinfrastruktur (PKI).

    • De flesta PKI-implementeringar för företag lägger till betrodda rotcertifikatutfärdare till Windows-klienter. Om du till exempel använder Active Directory Certificate Services med en grupprincip. Om du utfärdar CMG-serverautentiseringscertifikatet från en certifikatutfärdare som klienterna inte litar på automatiskt lägger du till certifikatutfärdarcertifikatets betrodda rotcertifikat till Internetbaserade klienter.

      Om du planerar att installera Configuration Manager-klienten från Intune kan du även använda Intune-certifikatprofiler för att etablera certifikat på klienter. Mer information finns i Konfigurera en certifikatprofil.

    • Din organisation kan ha en intern kostnad för att utfärda certifikat, men det finns vanligtvis inga externa kostnader kopplade till det här certifikatet.

Viktigt

Innan du får det här certifikatet kontrollerar du att tjänstnamnet är globalt unikt för molntjänst- och lagringskontot. Kontrollera också att namnet använder tecken som stöds. Mer information finns i Globalt unikt namn.

Sammanfattningsjämförelse av certifikattyper

Offentlig leverantör Enterprise PKI
Klientförtroende Betrodd i Windows som standard Automatisk med vissa implementeringar, annars måste du distribuera
Kostnad Ja Inte typiskt
Exempel på tjänstnamn GraniteFalls.contoso.com GraniteFalls.contoso.com eller GraniteFalls.WestUS.CloudApp.Azure.Com
DNS CNAME krävs Ja Nej för Azure-domännamn (GraniteFalls.WestUS.CloudApp.Azure.Com)

Obs!

CMG-serverautentiseringscertifikatet stöder jokertecken. Vissa certifikatutfärdare utfärdar certifikat med jokertecken för tjänstnamnsprefixet. Till exempel *.contoso.com. Vissa organisationer använder jokerteckencertifikat för att förenkla sin PKI och minska underhållskostnaderna.

Mer information om hur du använder ett jokerteckencertifikat med en CMG finns i Konfigurera en CMG.

Globalt unikt namn

Det här certifikatet kräver ett globalt unikt namn för att identifiera tjänsten i Azure. Innan du begär ett certifikat kontrollerar du att det Azure-distributionsnamn du vill ha är unikt. Till exempel GraniteFalls.WestUS.CloudApp.Azure.Com.

Vm-skalningsuppsättning

  1. Logga in på Azure-portalen.

  2. På startsidan för Azure Portal väljer du Skapa en resurs under Azure-tjänster.

  3. Sök efter VM-skalningsuppsättning. Välj Skapa.

  4. Välj den prenumeration och resursgrupp som du ska använda för CMG:en.

  5. I fältet Vm-skalningsuppsättningens namn anger du det prefix som du vill använda. Till exempel GraniteFalls.

  6. Välj den region som du ska använda för CMG:en. Till exempel (USA) USA, västra.

Gränssnittet visar om domännamnet är tillgängligt eller redan används av en annan tjänst.

Viktigt

Skapa inte tjänsten i portalen, använd bara den här processen för att kontrollera namntillgängligheten.

Upprepa den här processen för den Key Vault resursen. Distributionen av VM-skalningsuppsättningen skapar ett nyckelvalv med samma namn, som också måste vara globalt unikt.

Innehållsaktiverat CMG-lagringskonto

Om du även aktiverar CMG för innehåll kontrollerar du att det också är ett unikt Azure Storage-kontonamn. Om CMG-distributionsnamnet är unikt, men lagringskontot inte är det, kan Configuration Manager inte etablera tjänsten i Azure. Upprepa ovanstående process i Azure Portal med följande ändringar:

  • Sök efter lagringskonto.

  • Testa ditt namn i fältet Lagringskontonamn .

Viktigt

DNS-namnprefixet ska vara mellan 3 och 24 tecken långt och endast innehålla siffror och gemener. Använd inte specialtecken, till exempel ett bindestreck (-). Till exempel: granitefalls.

Utfärda certifikatet

CMG-serverautentiseringscertifikatet stöder följande konfigurationer:

  • 2048-bitars eller 4096-bitars nyckellängd

  • Det här certifikatet stöder nyckellagringsproviders för privata certifikatnycklar (v3). Mer information finns i översikten över CNG v3-certifikat.

Använda ett offentligt providercertifikat

En tredjepartscertifikatleverantör kan inte skapa ett certifikat för en Azure-domän som cloudapp.azure.com, eftersom Microsoft äger dessa domäner. Du kan bara få ett certifikat utfärdat för en domän som du äger. Den främsta orsaken till att hämta ett certifikat från en tredjepartsleverantör är att dina klienter redan litar på providerns rotcertifikat.

Den specifika processen för att hämta det här certifikatet varierar beroende på provider. Kontakta certifikatprovidern från tredje part om du vill ha mer information.

För webbservercertifikatets eget namn (CN):

  • Du har sett till att distributionsnamnet är globalt unikt i Azure för molntjänst- och lagringskontot. Till exempel GraniteFalls.WestUS.CloudApp.Azure.Com.

  • För att fastställa tjänstnamnet lägger du till distributionsnamnprefixet (GraniteFalls) i organisationens domännamn (contoso.com).

  • Använd det här tjänstnamnet som certifikatets eget namn (CN). Till exempel GraniteFalls.contoso.com.

Därefter måste du skapa ett DNS CNAME-alias.

Använda ett företags-PKI-certifikat

Utfärdandet av ett webbservercertifikat från din organisations PKI varierar beroende på produkt. Anvisningarna för att distribuera tjänstcertifikatet för molnbaserade distributionsplatser är för Active Directory Certificate Services. Den här processen gäller vanligtvis för CMG-serverns autentiseringscertifikat.

För webbservercertifikatets eget namn (CN):

  • Du har sett till att distributionsnamnet är globalt unikt i Azure för molntjänst- och lagringskontot. Till exempel GraniteFalls.WestUS.CloudApp.Azure.Com.

  • För att fastställa tjänstnamnet har du två alternativ:

    • Använd ditt domännamn (rekommenderas). Lägg till distributionsnamnprefixet (GraniteFalls) i organisationens domännamn (contoso.com). Till exempel GraniteFalls.contoso.com. För det här alternativet måste du också skapa ett DNS CNAME-alias.

    • Använd Azure-distributionsnamnet. Det här alternativet kräver inget DNS CNAME-alias. Till exempel:

      • För det offentliga Azure-molnet: GraniteFalls.WestUS.CloudApp.Azure.Com.

      • För Azure US Government-molnet: GraniteFalls.usgovcloudapp.net.

      Obs!

      Om Namnet på Azure-distributionen ändras måste du distribuera om tjänsten för att ändra namnet på tjänsten. Om tjänstnamnet till exempel finns i domänen cloudapp.net kan du inte konvertera den klassiska molntjänst-CMG:en till en VM-skalningsuppsättning. Om du använder ditt domännamn för CMG-tjänstnamnet kan du uppdatera DNS CNAME för det nya distributionsnamnet.

  • Använd det här tjänstnamnet som certifikatets eget namn (CN).

Skapa ett DNS CNAME-alias

Om CMG-tjänstnamnet använder organisationens domännamn (GraniteFalls.contoso.com) måste du skapa en DNS-kanonisk namnpost (CNAME). Det här aliaset mappar tjänstnamnet till distributionsnamnet.

Skapa en CNAME-post i organisationens offentliga DNS. CMG-tjänsten i Azure och alla klienter som använder den måste matcha tjänstnamnet. Till exempel:

  • Contoso namnger sin CMG GraniteFalls.

  • Distributionsnamnet i Azure är GraniteFalls.WestUS.CloudApp.Azure.Com.

  • I Contosos offentliga DNS-namnområde skapar DNS-administratören en ny CNAME-post för tjänstnamnet GraniteFalls.contoso.com till Azure-distributionsnamnetcontoso.com, GraniteFalls.WestUS.CloudApp.Azure.Com.

När du skapar CMG:en, medan certifikatet har GraniteFalls.contoso.com som CN, extraherar Configuration Manager endast prefixet för tjänstnamn, till exempel: GraniteFalls. Det lägger till det här prefixet i Azure-tjänstdomänen (cloudapp.azure.com) med regionen (westus) för att skapa distributionsnamnet. Till exempel GraniteFalls.WestUS.CloudApp.Azure.Com. CNAME-aliaset i DNS-namnområdet för din domän (contoso.com) mappar dessa två FQDN:er.

Klientprincipen för Configuration Manager innehåller CMG-tjänstnamnet, GraniteFalls.contoso.com. Klienten löser tjänstnamnet via CNAME-aliaset till distributionsnamnet, GraniteFalls.WestUS.CloudApp.Azure.Com. Den kan sedan matcha IP-adressen för distributionsnamnet för att kommunicera med tjänsten i Azure.

Nästa steg

Fortsätt konfigurationen av CMG genom att konfigurera Microsoft Entra-ID:

Konfigurera Microsoft Entra-ID