Azure Stack Hub ortak anahtar altyapısı (PKI) sertifika gereksinimleri
Azure Stack Hub, küçük bir Azure Stack Hub hizmetlerine ve büyük olasılıkla kiracı VM'lerine atanmış dışarıdan erişilebilir genel IP adreslerini kullanan bir genel altyapı ağına sahiptir. Bu Azure Stack Hub genel altyapı uç noktaları için uygun DNS adlarına sahip PKI sertifikaları, Azure Stack Hub dağıtımı sırasında gereklidir. Bu makalede aşağıdakiler hakkında bilgi sağlanır:
- Azure Stack Hub için sertifika gereksinimleri.
- Azure Stack Hub dağıtımı için zorunlu sertifikalar gerekir.
- Değer ekleme kaynak sağlayıcıları dağıtılırken isteğe bağlı sertifikalar gerekir.
Not
Azure Stack Hub varsayılan olarak düğümler arasında kimlik doğrulaması için iç Active Directory ile tümleşik sertifika yetkilisinden (CA) verilen sertifikaları da kullanır. Sertifikayı doğrulamak için, tüm Azure Stack Hub altyapı makineleri bu sertifikayı yerel sertifika depolarına ekleyerek iç CA'nın kök sertifikasına güvenir. Azure Stack Hub'da sertifikaları sabitleme veya filtreleme yoktur. Her sunucu sertifikasının SAN'ı, hedefin FQDN'sine karşı doğrulanır. Güven zincirinin tamamı sertifika son kullanma tarihiyle birlikte (sertifika sabitleme olmadan standart TLS sunucu kimlik doğrulaması) da doğrulanır.
Sertifika gereksinimleri
Aşağıdaki listede genel sertifika verme, güvenlik ve biçimlendirme gereksinimleri açıklanmaktadır:
- Sertifikaların bir iç sertifika yetkilisinden veya ortak sertifika yetkilisinden verilmesi gerekir. Ortak sertifika yetkilisi kullanılıyorsa, temel işletim sistemi görüntüsüne Microsoft Güvenilen Kök Yetkili Programı'nın bir parçası olarak eklenmelidir. Tam liste için bkz . Katılımcı Listesi - Microsoft Güvenilen Kök Programı.
- Azure Stack Hub altyapınızın sertifikada yayımlanan sertifika yetkilisinin Sertifika İptal Listesi (CRL) konumuna ağ erişimi olmalıdır. Bu CRL bir http uç noktası olmalıdır. Not: Bağlantısız dağıtımlar için, CRL uç noktasına erişilemiyorsa, genel sertifika yetkilisi (CA) tarafından verilen sertifikalar desteklenmez. Daha fazla ayrıntı için bkz. Bağlantısız dağıtımlarda bozuk veya kullanılamayan özellikler.
- Sertifikaları 1903 öncesi derlemelerde döndürürken, sertifikaların dağıtımda sağlanan sertifikaları imzalamak için kullanılan iç sertifika yetkilisinden veya yukarıdan herhangi bir genel sertifika yetkilisinden verilmesi gerekir.
- 1903 ve sonraki derlemeler için sertifikaları döndürürken, sertifikalar herhangi bir kuruluş veya ortak sertifika yetkilisi tarafından yayımlanabilir.
- Otomatik olarak imzalanan sertifikaların kullanımı desteklenmez.
- Dağıtım ve döndürme için, sertifikanın Konu Adı ve Konu Alternatif Adı'ndaki (SAN) tüm ad alanlarını kapsayan tek bir sertifika kullanabilirsiniz. Alternatif olarak, kullanmayı planladığınız Azure Stack Hub hizmetlerinin gerektirdiği aşağıdaki ad alanlarının her biri için tek tek sertifikalar kullanabilirsiniz. Her iki yaklaşım da AnahtarVault ve KeyVaultInternal gibi gerekli olan uç noktalar için joker karakterler kullanmayı gerektirir.
- Sertifika imza algoritması SHA1 olmamalıdır.
- Azure Stack Hub yüklemesi için hem genel hem de özel anahtarlar gerektiğinden sertifika biçimi PFX olmalıdır. Özel anahtarın yerel makine anahtarı özniteliği ayarlanmış olmalıdır.
- PFX şifrelemesi 3DES olmalıdır (Windows 10 istemciden veya Windows Server 2016 sertifika deposundan dışarı aktarırken bu şifreleme varsayılandır).
- Sertifika pfx dosyalarının "Anahtar Kullanımı" alanında "Dijital İmza" ve "KeyEncipherment" değeri olmalıdır.
- Sertifika pfx dosyalarının "Gelişmiş Anahtar Kullanımı" alanında "Sunucu Kimlik Doğrulaması (1.3.6.1.5.5.7.3.1)" ve "İstemci Kimlik Doğrulaması (1.3.6.1.5.5.7.3.2)" değerleri olmalıdır.
- Sertifikanın "Verilen:" alanı, "Veren:" alanıyla aynı olmamalıdır.
- Tüm sertifika pfx dosyalarının parolaları dağıtım sırasında aynı olmalıdır.
- Sertifika pfx parolasının karmaşık bir parola olması gerekir. Dağıtım parametresi olarak kullanacağınız için bu parolayı not edin. Parola aşağıdaki parola karmaşıklığı gereksinimlerini karşılamalıdır:
- En az sekiz karakter uzunluğunda.
- Şu karakterlerden en az üç tane: büyük harf, küçük harf, 0-9 arasında sayılar, özel karakterler, büyük veya küçük harf olmayan alfabetik karakter.
- Konu alternatif adı uzantısındaki (x509v3_config) konu adlarının ve konu alternatif adlarının eşleştiğinden emin olun. Konu alternatif adı alanı, tek bir SSL sertifikası tarafından korunacak ek konak adlarını (web siteleri, IP adresleri, ortak adlar) belirtmenize olanak tanır.
Not
Otomatik olarak imzalanan sertifikalar desteklenmez.
Azure Stack Hub'ı bağlantısız modda dağıtırken, kurumsal sertifika yetkilisi tarafından verilen sertifikaların kullanılması önerilir. Azure Stack Hub uç noktalarına erişen istemcilerin sertifika iptal listesine (CRL) başvurabilmesi gerektiğinden bu önemlidir.
Not
Bir sertifikanın güven zincirinde Aracı Sertifika Yetkilileri'nin bulunması desteklenir .
Zorunlu sertifikalar
Bu bölümdeki tabloda, hem Microsoft Entra Kimliği hem de AD FS Azure Stack Hub dağıtımları için gereken Azure Stack Hub genel uç nokta PKI sertifikaları açıklanmaktadır. Sertifika gereksinimleri alana ve kullanılan ad alanlarına ve her ad alanı için gerekli olan sertifikalara göre gruplandırılır. Tabloda, çözüm sağlayıcınızın ortak uç nokta başına farklı sertifikaları kopyaladığı klasör de açıklanır.
Her Azure Stack Hub genel altyapı uç noktası için uygun DNS adlarına sahip sertifikalar gereklidir. Her uç noktanın DNS adı şu biçimde ifade edilir: <ön ek>.<bölge.><fqdn>.
Dağıtımınız için bölge<> ve <fqdn değerlerinin> Azure Stack Hub sisteminiz için seçtiğiniz bölge ve dış etki alanı adlarıyla eşleşmesi gerekir. Örneğin, bölge Redmond ve dış etki alanı adı contoso.com ise, DNS adları biçim <ön ekini> redmond.contoso.com. Ön< ek> değerleri, sertifika tarafından güvenliği sağlanan uç noktayı tanımlamak için Microsoft tarafından önceden tasarlanmıştır. Ayrıca, dış altyapı uç noktalarının <ön ek> değerleri, belirli uç noktayı kullanan Azure Stack Hub hizmetine bağlıdır.
Üretim ortamları için, her uç nokta için tek tek sertifikaların oluşturulmasını ve karşılık gelen dizine kopyailmesini öneririz. Geliştirme ortamları için sertifikalar, tüm dizinlere kopyalanan Konu ve Konu Alternatif Adı (SAN) alanlarındaki tüm ad alanlarını kapsayan tek bir joker sertifika olarak sağlanabilir. Tüm uç noktaları ve hizmetleri kapsayan tek bir sertifika güvenli olmayan bir duruş ve dolayısıyla yalnızca geliştirmedir. Her iki seçeneğin de acs ve Key Vault gibi uç noktalar için gerekli olduğu yerlerde joker sertifikalar kullanmanızı gerektirdiğini unutmayın.
Not
Dağıtım sırasında, sertifikaları dağıttığınız kimlik sağlayıcısıyla eşleşen dağıtım klasörüne kopyalamanız gerekir (Microsoft Entra Kimliği veya AD FS). Tüm uç noktalar için tek bir sertifika kullanıyorsanız, bu sertifika dosyasını aşağıdaki tablolarda açıklandığı gibi her dağıtım klasörüne kopyalamanız gerekir. Klasör yapısı dağıtım sanal makinesinde önceden oluşturulmuş ve şu konumda bulunabilir: C:\CloudDeployment\Setup\Certificates.
Dağıtım klasörü | Gerekli sertifika konusu ve konu alternatif adları (SAN) | Kapsam (bölge başına) | Alt etki alanı ad alanı |
---|---|---|---|
Genel Portal | Portal.<bölge.><Fqdn> | Portallar | <bölge.><Fqdn> |
Yönetim Portalı | adminportal.<bölge.><Fqdn> | Portallar | <bölge.><Fqdn> |
Azure Resource Manager Genel | Yönetimi.<bölge.><Fqdn> | Azure Resource Manager | <bölge.><Fqdn> |
Azure Resource Manager Yönetici | yönetici yönetimi.<bölge.><Fqdn> | Azure Resource Manager | <bölge.><Fqdn> |
ACSBlob | *.Blob.<bölge.><Fqdn> (Joker Karakter SSL Sertifikası) |
Blob Depolama | Blob.<bölge.><Fqdn> |
ACSTable | *.Tablo.<bölge.><Fqdn> (Joker Karakter SSL Sertifikası) |
Tablo Depolama | Tablo.<bölge.><Fqdn> |
ACSQueue | *.Sıra.<bölge.><Fqdn> (Joker Karakter SSL Sertifikası) |
Kuyruk Depolama | Sıra.<bölge.><Fqdn> |
KeyVault | *.Kasa.<bölge.><Fqdn> (Joker Karakter SSL Sertifikası) |
Key Vault | Kasa.<bölge.><Fqdn> |
KeyVaultInternal | *.adminvault.<bölge.><Fqdn> (Joker Karakter SSL Sertifikası) |
İç Anahtar Kasası | adminvault.<bölge.><Fqdn> |
uzantı kona Yönetici | *.adminhosting.<bölge.><fqdn> (Joker Karakter SSL Sertifikaları) | uzantı kona Yönetici | adminhosting.<bölge.><Fqdn> |
Genel Uzantı Konağı | *.Barındırma.<bölge.><fqdn> (Joker Karakter SSL Sertifikaları) | Genel Uzantı Konağı | Barındırma.<bölge.><Fqdn> |
Azure Stack Hub'ı Microsoft Entra dağıtım modunu kullanarak dağıtırsanız, yalnızca önceki tabloda listelenen sertifikaları istemeniz gerekir. Ancak Azure Stack Hub'ı AD FS dağıtım modunu kullanarak dağıtırsanız, aşağıdaki tabloda açıklanan sertifikaları da istemeniz gerekir:
Dağıtım klasörü | Gerekli sertifika konusu ve konu alternatif adları (SAN) | Kapsam (bölge başına) | Alt etki alanı ad alanı |
---|---|---|---|
ADFS | Adfs. <bölge.<>Fqdn> (SSL Sertifikası) |
ADFS | <bölge.><Fqdn> |
Graf | Grafik. <bölge.<>Fqdn> (SSL Sertifikası) |
Graf | <bölge.><Fqdn> |
Önemli
Bu bölümde listelenen tüm sertifikaların parolası aynı olmalıdır.
İsteğe bağlı PaaS sertifikaları
Azure Stack Hub dağıtıldıktan ve yapılandırıldıktan sonra Azure Stack Hub PaaS hizmetlerini (SQL, MySQL, App Service veya Event Hubs gibi) dağıtmayı planlıyorsanız PaaS hizmetlerinin uç noktalarını kapsayacak ek sertifikalar istemeniz gerekir.
Önemli
Kaynak sağlayıcıları için kullandığınız sertifikaların, genel Azure Stack Hub uç noktaları için kullanılanlarla aynı kök yetkiliye sahip olması gerekir.
Aşağıdaki tabloda, kaynak sağlayıcıları için gereken uç noktalar ve sertifikalar açıklanmaktadır. Bu sertifikaları Azure Stack Hub dağıtım klasörüne kopyalamanız gerekmez. Bunun yerine, kaynak sağlayıcısı yüklemesi sırasında bu sertifikaları sağlarsınız.
Kapsam (bölge başına) | Sertifika | Gerekli sertifika konusu ve Konu Diğer Adları (AD'ler) | Alt etki alanı ad alanı |
---|---|---|---|
App Service | Web Trafiği Varsayılan SSL Sertifikası | *.appservice. <bölge.<>Fqdn> *.scm.appservice. <bölge.<>Fqdn> *.sso.appservice. <bölge.<>Fqdn> (Çoklu Etki Alanı Joker Karakter SSL Sertifikası1) |
appservice. <bölge.<>Fqdn> scm.appservice. <bölge.<>Fqdn> |
App Service | API | api.appservice. <bölge.<>Fqdn> (SSL Sertifikası2) |
appservice. <bölge.<>Fqdn> scm.appservice. <bölge.<>Fqdn> |
App Service | FTP | ftp.appservice. <bölge.<>Fqdn> (SSL Sertifikası2) |
appservice. <bölge.<>Fqdn> scm.appservice. <bölge.<>Fqdn> |
App Service | SSO | sso.appservice. <bölge.<>Fqdn> (SSL Sertifikası2) |
appservice. <bölge.<>Fqdn> scm.appservice. <bölge.<>Fqdn> |
Event Hubs | SSL | *.eventhub. <bölge.<>Fqdn> (Joker Karakter SSL Sertifikası) |
eventhub. <bölge.<>Fqdn> |
SQL, MySQL | SQL ve MySQL | *.dbadapter. <bölge.<>Fqdn> (Joker Karakter SSL Sertifikası) |
dbadapter. <bölge.<>Fqdn> |
1 Birden çok joker karakter konusu alternatif adı olan bir sertifika gerektirir. Tek bir sertifikadaki birden çok joker karakterLI AD tüm ortak sertifika yetkilileri tarafından desteklenmeyebilir.
2 *.appservice. <bölge.<>fqdn> joker sertifikası, bu üç sertifika (api.appservice) yerine kullanılamaz.<bölge.><fqdn>, ftp.appservice. <bölge.<>fqdn> ve sso.appservice. <bölge.<>fqdn>. Appservice, bu uç noktalar için ayrı sertifikalar kullanılmasını açıkça gerektirir.
Sonraki adımlar
Azure Stack Hub dağıtımı için PKI sertifikaları oluşturmayı öğrenin.