Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure Stack Hub, küçük bir Azure Stack Hub hizmetlerine ve muhtemelen kiracı VM'lerine atanmış dışarıdan erişilebilir genel IP adreslerini kullanan bir genel altyapı ağına sahiptir. Bu Azure Stack Hub genel altyapı uç noktaları için uygun DNS adlarına sahip PKI sertifikaları, Azure Stack Hub dağıtımı sırasında gereklidir. Bu makalede şunlar hakkında bilgi sağlanır:
- Azure Stack Hub için sertifika gereksinimleri.
- Azure Stack Hub dağıtımı için zorunlu sertifikalar gerekir.
- Değer ekleme kaynak sağlayıcıları dağıtılırken isteğe bağlı sertifikalar gerekir.
Not
Varsayılan olarak, Azure Stack Hub düğümler arasında kimlik doğrulaması için iç Active Directory ile tümleşik sertifika yetkilisinden (CA) verilen sertifikaları da kullanır. Sertifikayı doğrulamak için, tüm Azure Stack Hub altyapı makineleri bu sertifikayı yerel sertifika depolarına ekleyerek iç CA'nın kök sertifikasına güvenir. Azure Stack Hub'da sertifikaları sabitleme veya filtreleme yoktur. Her sunucu sertifikasının SAN'ı, hedefin FQDN'sine karşı doğrulanır. Güven zincirinin tamamı, sertifika son kullanma tarihi (sertifika sabitleme olmadan standart TLS sunucu kimlik doğrulaması) ile birlikte doğrulanır.
Sertifika gereksinimleri
Aşağıdaki listede genel sertifika verme, güvenlik ve biçimlendirme gereksinimleri açıklanmaktadır:
- Sertifikaların bir iç sertifika yetkilisinden veya genel sertifika yetkilisinden verilmesi gerekir. Bir ortak sertifika yetkilisi kullanılıyorsa, temel işletim sistemi görüntüsüne Microsoft Güvenilen Kök Yetkili Programı'nın bir parçası olarak dahil edilmelidir. Tam liste için bkz. Katılımcı Listesi - Microsoft Güvenilen Kök Programı.
- Azure Stack Hub altyapınızın sertifikada yayımlanan sertifika yetkilisinin Sertifika İptal Listesi (CRL) konumuna ağ erişimi olmalıdır. Bu CRL bir http uç noktası olmalıdır. Bağlantısız dağıtımlar için CRL uç noktasına erişilemiyorsa, genel sertifika yetkilisi (CA) tarafından verilen sertifikalar desteklenmez. Daha fazla bilgi için bkz. Bağlantısız dağıtımlarda bozulmuş veya kullanılamayan özellikler.
- 1903 öncesi sürümlerde sertifikaları döndürürken, sertifikaların ya dağıtım sırasında sağlanan sertifikaları imzalamak için kullanılan aynı iç sertifika yetkilisinden ya da daha önce belirtilen herhangi bir genel sertifika yetkilisinden verilmesi gerekir.
- 1903 ve sonraki derlemeler için sertifika yenileme işlemi sırasında, sertifikalar herhangi bir kurumsal veya genel sertifika yetkilisi tarafından yayımlanabilir.
- Otomatik olarak imzalanan sertifikalar desteklenmez.
- Dağıtım ve döndürme için, sertifikanın Konu Adı ve Konu Alternatif Adı (SAN) içindeki tüm ad alanlarını kapsayan tek bir sertifika kullanabilirsiniz. Alternatif olarak, kullanmayı planladığınız Azure Stack Hub hizmetlerinin gerektirdiği her ad alanı için ayrı ayrı sertifikalar kullanabilirsiniz. Her iki yaklaşımda da KeyVault ve KeyVaultInternalgibi uç noktalar için joker karakterler kullanılması gerekir.
- Sertifika imza algoritması SHA1 olmamalıdır.
- Azure Stack Hub yüklemesi için hem genel hem de özel anahtarlar gerektiğinden sertifika biçimi PFX olmalıdır. Özel anahtarın yerel makine anahtarı özniteliği ayarlanmış olmalıdır.
- PFX şifrelemesi 3DES olmalıdır (windows 10 istemcisinden veya Windows Server 2016 sertifika deposundan dışarı aktarılırken bu şifreleme varsayılandır).
- Sertifika pfx dosyalarının "Anahtar Kullanımı" alanında "Dijital İmza" ve "Anahtar Şifreleme" değeri olmalıdır.
- Sertifika pfx dosyalarının "Gelişmiş Anahtar Kullanımı" alanında "Sunucu Kimlik Doğrulaması (1.3.6.1.5.5.7.3.1)" değerleri olmalıdır.
- Sertifikanın "Verilen:" alanı, "Veren:" alanıyla aynı olmamalıdır.
- Tüm sertifika pfx dosyalarının parolaları dağıtım sırasında aynı olmalıdır.
- Sertifika pfx'inin parolası karmaşık bir parola olmalıdır. Dağıtım parametresi olarak kullandığınız için bu parolayı not edin. Parola aşağıdaki parola karmaşıklığı gereksinimlerini karşılamalıdır:
- En az sekiz karakter uzunluğunda.
- Aşağıdaki karakterlerden en az üç tane: büyük harf, küçük harf, 0-9 arasında sayılar, özel karakterler, büyük veya küçük harf olmayan alfabetik karakter.
- Konu alternatif adı uzantısındaki (x509v3_config) konu adlarının ve konu alternatif adlarının eşleştiğinden emin olun. Konu alternatif adı alanı, tek bir SSL sertifikası tarafından korunacak ek ana bilgisayar adlarını (web siteleri, IP adresleri, ortak adlar) belirtmenize olanak tanır.
Not
Otomatik olarak imzalanan sertifikalar desteklenmez.
Azure Stack Hub'ı bağlantısız modda dağıtırken, bir kurumsal sertifika yetkilisi tarafından verilen sertifikaları kullanmanız önerilir. Azure Stack Hub uç noktalarına erişen istemcilerin sertifika iptal listesine (CRL) başvurabilmesi gerektiğinden bu önemlidir.
Not
Bir sertifikanın güven zincirinde Aracı Sertifika Yetkililerinin bulunması desteklenir.
Zorunlu sertifikalar
Bu bölümdeki tabloda hem Microsoft Entra Id hem de AD FS Azure Stack Hub dağıtımları için gereken Azure Stack Hub genel uç nokta PKI sertifikaları açıklanmaktadır. Sertifika gereksinimleri alana ve kullanılan ad alanlarına ve her ad alanı için gerekli sertifikalara göre gruplandırılır. Tabloda, çözüm sağlayıcınızın ortak uç nokta başına farklı sertifikaları kopyaladığı klasör de açıklanır.
Her Azure Stack Hub genel altyapı uç noktası için uygun DNS adlarına sahip sertifikalar gereklidir. Her uç noktanın DNS adı biçiminde <prefix>.<region>.<fqdn>ifade edilir.
Dağıtımınız için ve <region> değerlerinin <fqdn> Azure Stack Hub sisteminiz için seçtiğiniz bölge ve dış etki alanı adlarıyla eşleşmesi gerekir. Örneğin, bölge Redmond ve dış etki alanı adı contoso.com ise, DNS adları biçimindedir <prefix>.redmond.contoso.com.
<prefix> Değerler, sertifika tarafından güvenliği sağlanan uç noktayı açıklamak için Microsoft tarafından ayrılmıştır. Ayrıca dış altyapı uç noktalarının değerleri, <prefix> belirli uç noktayı kullanan Azure Stack Hub hizmetine bağlıdır.
Üretim ortamları için, her uç nokta için tek tek sertifikaların oluşturulmasını ve ilgili dizine kopyalandığını öneririz. Geliştirme ortamları için sertifikalar, tüm dizinlere kopyalanan Konu ve Konu Alternatif Adı (SAN) alanlarındaki tüm ad alanlarını kapsayan tek bir joker karakter sertifikası olarak sağlanabilir. Tüm uç noktaları ve hizmetleri kapsayan tek bir sertifika güvensiz bir duruş olduğundan yalnızca geliştirme amaçlıdır. Her iki seçeneğin de gerekli olduğu acs ve Key Vault gibi uç noktalar için joker sertifikalar kullanmanızı gerektirdiğini unutmayın.
Not
Dağıtım sırasında, sertifikaları dağıttığınız kimlik sağlayıcısıyla eşleşen dağıtım klasörüne kopyalamanız gerekir (Microsoft Entra Id veya AD FS). Tüm uç noktalar için tek bir sertifika kullanıyorsanız, bu sertifika dosyasını aşağıdaki tablolarda açıklandığı gibi her dağıtım klasörüne kopyalamanız gerekir. Klasör yapısı dağıtım sanal makinesinde önceden oluşturulmuş ve C:\CloudDeployment\Setup\Certificates konumunda bulunabilir.
| Dağıtım klasörü | Gerekli sertifika konusu ve konu alternatif adları (SAN) | Kapsam (bölge başına) | Alt alan adı ad alanı |
|---|---|---|---|
| Genel portal | portal.<region>.<fqdn> |
Portallar | <region>.<fqdn> |
| Yönetici portalı | adminportal.<region>.<fqdn> |
Portallar | <region>.<fqdn> |
| Azure Resource Manager Herkese Açık | management.<region>.<fqdn> |
Azure Resource Manager | <region>.<fqdn> |
| Azure Resource Manager Yöneticisi | adminmanagement.<region>.<fqdn> |
Azure Resource Manager | <region>.<fqdn> |
| ACSBlob | *.blob.<region>.<fqdn>(Joker KARAKTER SSL sertifikası) |
Blob veri depolama | blob.<region>.<fqdn> |
| ACSTable | *.table.<region>.<fqdn>(Joker KARAKTER SSL sertifikası) |
Tablo Saklama | table.<region>.<fqdn> |
| ACSQueue | *.queue.<region>.<fqdn>(Joker KARAKTER SSL sertifikası) |
Kuyruk depolama | queue.<region>.<fqdn> |
| KeyVault | *.vault.<region>.<fqdn>(Joker KARAKTER SSL sertifikası) |
Anahtar Kasası (Key Vault) | vault.<region>.<fqdn> |
| KeyVaultInternal | *.adminvault.<region>.<fqdn>(Joker KARAKTER SSL sertifikası) |
İç Anahtar Valizi | adminvault.<region>.<fqdn> |
| Admin Uzantı Sunucusu |
*.adminhosting.<region>.<fqdn> (Joker KARAKTER SSL sertifikaları) |
Yönetici uzantısı konağı | adminhosting.<region>.<fqdn> |
| Genel Uzantı Konağı |
*.hosting.<region>.<fqdn> (Joker KARAKTER SSL sertifikaları) |
Genel uzantı konağı | hosting.<region>.<fqdn> |
Azure Stack Hub'ı Microsoft Entra dağıtım modunu kullanarak dağıtırsanız, yalnızca önceki tabloda listelenen sertifikaları istemeniz gerekir. AZURE Stack Hub'ı AD FS dağıtım modunu kullanarak dağıtırsanız, aşağıdaki tabloda açıklanan sertifikaları da istemeniz gerekir:
| Dağıtım klasörü | Gerekli sertifika konusu ve konu alternatif adları (SAN) | Kapsam (bölge başına) | Alt alan adı ad alanı |
|---|---|---|---|
| ADFS | adfs.<region>.<fqdn>(SSL sertifikası) |
AD FS | <region>.<fqdn> |
| Grafik | graph.<region>.<fqdn>(SSL sertifikası) |
Grafik | <region>.<fqdn> |
Önemli
Bu bölümde listelenen tüm sertifikalar aynı parolaya sahip olmalıdır.
İsteğe bağlı PaaS sertifikaları
Azure Stack Hub dağıtıldıktan ve yapılandırıldıktan sonra Azure Stack Hub PaaS hizmetlerini (SQL, MySQL, App Service veya Event Hubs gibi) dağıtmayı planlıyorsanız PaaS hizmetlerinin uç noktalarını kapsayacak ek sertifikalar istemeniz gerekir.
Önemli
Kaynak sağlayıcıları için kullandığınız sertifikaların, genel Azure Stack Hub uç noktaları için kullanılanlarla aynı kök yetkiliye sahip olması gerekir.
Aşağıdaki tabloda, kaynak sağlayıcıları için gereken uç noktalar ve sertifikalar açıklanmaktadır. Bu sertifikaları Azure Stack Hub dağıtım klasörüne kopyalamanız gerekmez. Bunun yerine, kaynak sağlayıcısı yüklemesi sırasında şu sertifikaları sağlarsınız:
| Kapsam (bölge başına) | Sertifika | Gerekli sertifika konusu ve Konu Alternatif Adları (SAN'ler) | Alt alan adı ad alanı |
|---|---|---|---|
| Uygulama Hizmeti | Web Trafiği Varsayılan SSL Sertifikası | *.appservice.<region>.<fqdn>*.scm.appservice.<region>.<fqdn>*.sso.appservice.<region>.<fqdn>(Çok Alan Adlı Wildcard SSL Sertifikası1) |
appservice.<region>.<fqdn>scm.appservice.<region>.<fqdn> |
| Uygulama Hizmeti | Uygulama Programlama Arayüzü (API) | api.appservice.<region>.<fqdn>(SSL Sertifikası2) |
appservice.<region>.<fqdn>scm.appservice.<region>.<fqdn> |
| Uygulama Hizmeti | FTP | ftp.appservice.<region>.<fqdn>(SSL Sertifikası2) |
appservice.<region>.<fqdn>scm.appservice.<region>.<fqdn> |
| Uygulama Hizmeti | Tek oturum açma (SSO) | sso.appservice.<region>.<fqdn>(SSL Sertifikası2) |
appservice.<region>.<fqdn>scm.appservice.<region>.<fqdn> |
| Event Hubs | SSL | *.eventhub.<region>.<fqdn>(Wildcard SSL Sertifikası) |
eventhub.<region>.<fqdn> |
| SQL, MySQL | SQL ve MySQL | *.dbadapter.<region>.<fqdn>(Wildcard SSL Sertifikası) |
dbadapter.<region>.<fqdn> |
1 Bir sertifika, birden fazla joker karakterli konu alternatif adı gerektirir. Bazı genel sertifika yetkilileri, tek bir sertifikada birden çok joker SAN'ı desteklemeyebilir.
2*.appservice.<region>.<fqdn> Bu üç sertifika (api.appservice.<region>.<fqdn>, ftp.appservice.<region>.<fqdn>ve sso.appservice.<region>.<fqdn>) yerine joker karakter sertifikası kullanılamaz. Appservice, bu uç noktalar için ayrı sertifikalar kullanılmasını açıkça gerektirir.
Sonraki adımlar
azure stack hub dağıtım için PKI sertifikaları oluşturmayıöğrenin.