Azure Stack Hub ortak anahtar altyapısı (PKI) sertifika gereksinimleri

Azure Stack hub, küçük bir Azure Stack hub hizmeti kümesine ve muhtemelen Kiracı VM 'lerine atanan, dışarıdan erişilebilen genel IP adresleri kullanan genel bir altyapı ağına sahiptir. Bu Azure Stack hub ortak altyapı uç noktaları için uygun DNS adlarına sahip PKI sertifikaları Azure Stack hub dağıtımı sırasında gereklidir. Bu makalede hakkında bilgi verilmektedir:

  • Azure Stack Hub için sertifika gereksinimleri.
  • Azure Stack hub dağıtımı için gereken zorunlu sertifikalar.
  • Değer-kaynak sağlayıcıları dağıtımı sırasında gerekli olan isteğe bağlı sertifikalar.

Not

Azure Stack hub varsayılan olarak düğümler arasında kimlik doğrulaması için Dahili Active Directory tümleşik bir sertifika yetkilisinden (CA) verilen sertifikaları kullanır. Sertifikayı doğrulamak için, tüm Azure Stack hub altyapı makineleri, bu sertifikayı yerel sertifika depolama alanına ekleyerek iç CA 'nın kök sertifikasına güvenir. Azure Stack hub 'ında sertifikaların sabitlenmesi veya filtrelenmesi yoktur. Her bir sunucu sertifikasının SAN 'ı hedefin FQDN 'sine göre onaylanır. Tüm güven zinciri de, sertifika sona erme tarihi (sertifika sabitleme olmadan standart TLS sunucu kimlik doğrulaması) ile birlikte da onaylanır.

Sertifika gereksinimleri

Aşağıdaki listede genel sertifika verme, güvenlik ve biçimlendirme gereksinimleri açıklanmaktadır:

  • Sertifikalar, bir iç sertifika yetkilisinden veya bir genel sertifika yetkilisinden verilmelidir. Ortak bir sertifika yetkilisi kullanılıyorsa, Microsoft güvenilir kök yetkilisi programının bir parçası olarak temel işletim sistemi görüntüsüne dahil edilmelidir. Tam liste için bkz. katılımcılar listesi-Microsoft güvenilen kök program.
  • Azure Stack hub altyapınız, sertifika yetkilisinin sertifika Iptal listesi (CRL) konumunda yayımlanan sertifika için ağ erişimine sahip olmalıdır. Bu CRL bir http uç noktası olmalıdır. Not: bağlantısı kesilmiş dağıtımlar IÇIN, CRL uç noktası erişilebilir değilse, ortak sertifika YETKILISI (CA) tarafından verilen sertifikalar desteklenmez. Daha fazla ayrıntı için , bağlantısı kesilmiş dağıtımlarda Engelli veya kullanılamayan özelliklerbölümüne bakın.
  • 1903 öncesi yapılarda sertifika döndürürken, sertifikaların dağıtımda veya yukarıdaki herhangi bir genel sertifika yetkilisinde verilen sertifikaları imzalamak için kullanılan dahili sertifika yetkilisinden verilmiş olması gerekir.
  • 1903 ve üzeri derlemeler için sertifika döndürürken, sertifikalar herhangi bir kurumsal veya ortak sertifika yetkilisi tarafından verilebilir.
  • Otomatik olarak imzalanan sertifikaların kullanımı desteklenmez.
  • Dağıtım ve döndürme için sertifikanın konu adı ve konu alternatif adı (SAN) içindeki tüm ad alanlarını kapsayan tek bir sertifika kullanabilirsiniz. Alternatif olarak, kullanılmasını planladığınız Azure Stack hub hizmetlerinin her bir ad alanı için tek tek sertifikaları kullanabilirsiniz. Her iki yaklaşım da, gerektiğinde Anahtar Kasası ve keyvaultınternalgibi uç noktalar için joker karakterler kullanılmasını gerektirir.
  • Sertifika imza algoritması SHA1 olmamalıdır.
  • Azure Stack hub yüklemesi için hem ortak hem de özel anahtarlar gerekli olduğundan, sertifika biçiminin PFX olması gerekir. Özel anahtarın yerel makine anahtarı özniteliği ayarlanmış olmalıdır.
  • PFX şifrelemesi 3des olmalıdır (bir Windows 10 istemcisinden veya Windows Server 2016 sertifika deposundan dışarı aktarılırken bu şifreleme varsayılandır).
  • Sertifika PFX dosyalarının "anahtar kullanımı" alanında "Digital Signature" ve "KeyEncipherment" değeri olmalıdır.
  • Sertifika PFX dosyaları "Gelişmiş anahtar kullanımı" alanında "sunucu kimlik doğrulaması (1.3.6.1.5.5.7.3.1)" ve "Istemci kimlik doğrulaması (1.3.6.1.5.5.7.3.2)" değerlerine sahip olmalıdır.
  • Sertifikanın "verilen:" alanı, "Issued by:" alanıyla aynı olmamalıdır.
  • Tüm sertifika PFX dosyalarının parolaları, dağıtım sırasında aynı olmalıdır.
  • Sertifika PFX parolasının parolası karmaşık bir parola olmalıdır. Dağıtım parametresi olarak kullanacağınız için bu parolayı unutmayın. Parolanın aşağıdaki parola karmaşıklığı gereksinimlerini karşılaması gerekir:
    • En az sekiz karakter uzunluğunda.
    • Şu karakterlerden en az üçünü: büyük harf, küçük harf, 0-9 arasındaki sayılar, özel karakterler, büyük harf veya küçük harf olmayan alfabetik karakter.
  • Konu adı ve konu diğer adlarının konu alternatif adı uzantısı (x509v3_config) ile eşleştiğinden emin olun. Konu diğer adı alanı, tek bir SSL sertifikasıyla korunabilecek ek ana bilgisayar adlarını (Web siteleri, IP adresleri, ortak adlar) belirtmenize imkan tanır.

Not

Otomatik olarak imzalanan sertifikalar desteklenmez.
Azure Stack hub 'ı bağlantısı kesik modda dağıtıldığında, bir kurumsal sertifika yetkilisi tarafından verilen sertifikaların kullanılması önerilir. Bu önemlidir çünkü Azure Stack hub uç noktalarına erişen istemcilerin sertifika iptal listesi (CRL) ile iletişim kurabilmesi gerekir.

Not

Bir sertifikanın güven zincirinde ara sertifika yetkililerinin varlığı desteklenir.

Zorunlu sertifikalar

Bu bölümdeki tabloda hem Azure AD hem de AD FS Azure Stack hub dağıtımları için gereken Azure Stack merkezi genel uç nokta PKI sertifikaları açıklanmaktadır. Sertifika gereksinimleri alana ve kullanılan ad alanlarına ve her ad alanı için gereken sertifikalara göre gruplandırılır. Tablo ayrıca, çözüm sağlayıcınızın genel uç nokta başına farklı sertifikaları kopyaladığı klasörü de açıklar.

Her bir Azure Stack merkezi ortak altyapı uç noktası için uygun DNS adlarına sahip sertifikalar gereklidir. Her uç noktanın DNS adı şu biçimde ifade edilir: ön ek > . < Bölge > . < FQDN >.

Dağıtımınız için bölgenin > ve > değerlerinin Azure Stack hub sisteminiz için seçtiğiniz bölge ve dış etki alanı adlarıyla eşleşmesi gerekir. Örneğin, bölge Redmond ise ve dış etki alanı adı contoso.comise DNS adları ön ek . Redmond.contoso.com biçiminde olur. Ön ek > değerleri, sertifika tarafından güvenliği sağlanmış uç noktayı tanımlayacak şekilde Microsoft tarafından önceden atanır. Ayrıca, dış altyapı bitiş noktalarının önek > değerleri, belirli uç noktayı kullanan Azure Stack hub hizmetine bağlıdır.

Üretim ortamları için, her bir uç nokta için ayrı ayrı sertifikaların oluşturulmasını ve ilgili dizine kopyalanmasını öneririz. Geliştirme ortamları için, sertifikalar tüm dizinlere kopyalanmış konu ve konu alternatif adı (SAN) alanlarındaki tüm ad alanlarını kapsayan tek bir joker karakter sertifikası olarak sağlanabilirler. Tüm uç noktaları ve hizmetleri kapsayan tek bir sertifika, güvenli olmayan bir sonudır ve bu nedenle yalnızca geliştirme amaçlıdır. Her iki seçenek de, ACS gibi uç noktalar ve gerektiğinde Key Vault için joker karakter sertifikaları kullanmanızı gerektirdiğini unutmayın.

Not

Dağıtım sırasında, dağıtımı yaptığınız kimlik sağlayıcısıyla (Azure AD veya AD FS) eşleşen dağıtım klasörüne sertifikaları kopyalamanız gerekir. Tüm uç noktalar için tek bir sertifika kullanıyorsanız, bu sertifika dosyasını aşağıdaki tablolarda özetlenen her dağıtım klasörüne kopyalamanız gerekir. Klasör yapısı, dağıtım sanal makinesinde önceden oluşturulmuştur ve şurada bulunabilir: C:\CloudDeployment\Setup\Certificates.

Dağıtım klasörü Gerekli sertifika konusu ve konu diğer adları (SAN) Kapsam (bölge başına) Alt etki alanı adı
Ortak Portal Portal. < Bölge > . < tam> Portallar <Bölge > . < tam>
Yönetim Portalı adminportal. < Bölge > . < tam> Portallar <Bölge > . < tam>
Azure Resource Manager genel Yönetim. < Bölge > . < tam> Azure Resource Manager <Bölge > . < tam>
Yönetici Azure Resource Manager adminmanagement. < Bölge > . < tam> Azure Resource Manager <Bölge > . < tam>
ACSBlob *. blob. < Bölge > . < tam>
(Joker karakter SSL sertifikası)
Blob Depolama BLOB. < Bölge > . < tam>
ACSTable *. Table. < Bölge > . < tam>
(Joker karakter SSL sertifikası)
Tablo Depolama tablo. < Bölge > . < tam>
ACSQueue *. Queue. < Bölge > . < tam>
(Joker karakter SSL sertifikası)
Kuyruk Depolama kuyruk. < Bölge > . < tam>
KeyVault *. kasa. < Bölge > . < tam>
(Joker karakter SSL sertifikası)
Key Vault kasa. < Bölge > . < tam>
Keyvaultınternal *. adminkasa. < Bölge > . < tam>
(Joker karakter SSL sertifikası)
İç Keykasası Yönetim Kasası. < Bölge > . < tam>
Yönetici uzantısı ana bilgisayarı *. adminhosting. < Bölge > . < FQDN > (joker karakter SSL sertifikaları) Yönetici uzantısı ana bilgisayarı adminhosting. < Bölge > . < tam>
Ortak uzantı Konağı *. barındırma. < Bölge > . < FQDN > (joker karakter SSL sertifikaları) Ortak uzantı Konağı barındırma. < Bölge > . < tam>

Azure AD Dağıtım modunu kullanarak Azure Stack hub 'ı dağıtırsanız, yalnızca önceki tabloda listelenen sertifikaları istemeniz gerekir. Ancak, AD FS Dağıtım modunu kullanarak Azure Stack hub dağıtırsanız, aşağıdaki tabloda açıklanan sertifikaları da istemeniz gerekir:

Dağıtım klasörü Gerekli sertifika konusu ve konu diğer adları (SAN) Kapsam (bölge başına) Alt etki alanı adı
ADFS FS. bölge > . < FQDN >
(SSL sertifikası)
ADFS Bölge > . < tam>
Graf çıkarılamıyor. bölge > . < FQDN >
(SSL sertifikası)
Graf Bölge > . < tam>

Önemli

Bu bölümde listelenen tüm sertifikaların parolası aynı olmalıdır.

İsteğe bağlı PaaS sertifikaları

Azure Stack hub dağıtıldıktan ve yapılandırıldıktan sonra Azure Stack Hub paas hizmetlerini (SQL, MySQL, App Service veya Event Hubs gibi) dağıtmayı planlıyorsanız paas hizmetlerinin uç noktalarını kapsayacak ek sertifikalar istemeniz gerekir.

Önemli

Kaynak sağlayıcıları için kullandığınız sertifikalar, genel Azure Stack hub uç noktaları için kullanılanlarla aynı kök yetkilere sahip olmalıdır.

Aşağıdaki tabloda, kaynak sağlayıcıları için gereken uç noktalar ve sertifikalar açıklanmaktadır. Bu sertifikaları Azure Stack hub dağıtım klasörüne kopyalamanız gerekmez. Bunun yerine, bu sertifikaları kaynak sağlayıcısı yüklemesi sırasında sağlarsınız.

Kapsam (bölge başına) Sertifika Gerekli sertifika konusu ve konu diğer adları (San 'Lar) Alt etki alanı adı
App Service Web trafiği varsayılan SSL sertifikası *. appservice. bölge > . < FQDN >
*. scm. appservice. bölge > . < FQDN >
*. SSO. appservice. bölge > . < FQDN >
(Çok etki alanı joker karakter SSL sertifikası1)
appservice. bölge > . < FQDN >
SCM. appservice. bölge > . < FQDN >
App Service API api. appservice. bölge > . < FQDN >
(SSL sertifikası2)
appservice. bölge > . < FQDN >
SCM. appservice. bölge > . < FQDN >
App Service FTP FTP. appservice. bölge > . < FQDN >
(SSL sertifikası2)
appservice. bölge > . < FQDN >
SCM. appservice. bölge > . < FQDN >
App Service SSO SSO. appservice. bölge > . < FQDN >
(SSL sertifikası2)
appservice. bölge > . < FQDN >
SCM. appservice. bölge > . < FQDN >
Event Hubs SSL *. eventhub. bölge > . < FQDN >
(Joker karakter SSL sertifikası)
eventhub. bölge > . < FQDN >
SQL, MySQL SQL ve MySQL *. dbadapter. bölge > . < FQDN >
(Joker karakter SSL sertifikası)
dbadapter. bölge > . < FQDN >

1 birden çok joker karakter konu diğer adına sahip bir sertifika gerektirir. Tek bir sertifikadaki birden çok joker karakter, tüm genel sertifika yetkilileri tarafından desteklenmiyor olabilir.

2 A *. appservice. bölge . < FQDN > joker sertifikası bu üç sertifikanın yerine kullanılamaz (API. appservice.<, FTP. appservice. >ve SSO. appservice. <. Appservice, bu uç noktalar için ayrı sertifikaların kullanılmasını açıkça gerektirir.

Sonraki adımlar

Azure Stack hub dağıtımı IÇIN PKI sertifikaları oluşturmayıöğrenin.