CMG sunucusu kimlik doğrulama sertifikası
Uygulama hedefi: Configuration Manager (güncel dalı)
Bulut yönetimi ağ geçidi (CMG) ayarladığınızda ilk adım, sunucu kimlik doğrulama sertifikasını almaktır. CMG, internet tabanlı istemcilerin bağlandığı bir HTTPS hizmeti oluşturur. Sunucu, güvenli kanalı oluşturmak için bir sunucu kimlik doğrulama sertifikası gerektirir. Bu amaçla bir ortak sağlayıcıdan sertifika alabilir veya ortak anahtar altyapınızdan (PKI) sertifika vekleyebilirsiniz.
Configuration Manager konsolunda CMG oluşturduğunuzda, bu sertifikayı sağlarsınız. Bu sertifikanın ortak adı (CN), CMG'nin hizmet adını tanımlar.
Not
İstemciler ve yönetim noktaları için ek sertifikalara ihtiyacınız olabilir. Bu sertifikalar, CMG kurulum işleminin üçüncü adımı olan İstemci kimlik doğrulamasını yapılandırma bölümünde ele alınmıştır.
Bu makalede kullanılan bazı CMG terminolojisinin anımsatıcısı:
Hizmet adı: CMG sunucusu kimlik doğrulama sertifikasının ortak adı (CN). İstemciler ve CMG bağlantı noktası site sistemi rolü bu hizmet adıyla iletişim kurar. Örneğin,
GraniteFalls.contoso.comveyaGraniteFalls.WestUS.CloudApp.Azure.Com.Dağıtım adı: Hizmet adının ilk bölümü ve bulut hizmeti dağıtımı için Azure konumu. Hizmet bağlantı noktasının bulut hizmet yöneticisi bileşeni, CMG'yi Azure'a dağıtırken bu adı kullanır. Dağıtım adı her zaman bir Azure etki alanındadır. Azure konumu dağıtım yöntemine bağlıdır, örneğin:
- Sanal makine ölçek kümesi:
GraniteFalls.WestUS.CloudApp.Azure.Com - Klasik dağıtım:
GraniteFalls.CloudApp.Net
Önemli
Bu makalede, 2107 ve sonraki sürümlerde önerilen dağıtım yöntemi olarak sanal makine ölçek kümesine sahip örnekler kullanılmaktadır. Klasik dağıtım kullanıyorsanız, bu makaleyi okurken farkı not edin ve sunucu kimlik doğrulama sertifikasını hazırlayın.
- Sanal makine ölçek kümesi:
Sertifika türünü seçin
İlk olarak, sertifikayı nereden almak istediğinize karar verin. Dikkate alınması gereken birkaç faktör vardır.
İstemcilerin CMG hizmetiyle HTTPS kanalı oluşturmak için CMG sunucusu kimlik doğrulama sertifikasına güvenmesi gerekir. Bu güveni gerçekleştirmek için iki yöntem vardır:
Genel ve genel olarak güvenilen bir sertifika sağlayıcısından sertifika kullanın.
Windows istemcileri, bu sağlayıcılardan güvenilen kök sertifika yetkilileri (CA) içerir. İstemcileriniz bu sağlayıcılardan biri tarafından verilen bir sertifikayı kullanarak bu sertifikaya otomatik olarak güvenir.
Bu sertifikayla ilişkili, sağlayıcıya özgü bir maliyet vardır.
Ortak anahtar altyapınızdan (PKI) kurumsal CA tarafından verilen bir sertifika kullanın.
Çoğu kurumsal PKI uygulaması, güvenilen kök CA'ları Windows istemcilerine ekler. Örneğin, Active Directory Sertifika Hizmetleri'ni grup ilkesiyle kullanıyorsanız. İstemcilerinizin otomatik olarak güvenmedığı bir CA'dan CMG sunucusu kimlik doğrulama sertifikası verirseniz, CA güvenilen kök sertifikasını internet tabanlı istemcilere ekleyin.
Configuration Manager istemcisini Intune'dan yüklemeyi planlıyorsanız, istemcilerde sertifika sağlamak için Intune sertifika profillerini de kullanabilirsiniz. Daha fazla bilgi için bkz. Sertifika profili yapılandırma.
Kuruluşunuzun sertifika vermek için bir iç maliyeti olabilir, ancak genellikle bu sertifikayla ilişkili dış maliyet yoktur.
Önemli
Bu sertifikayı almadan önce, hizmet adının bulut hizmeti ve depolama hesabı için genel olarak benzersiz olduğundan emin olun. Ayrıca adın desteklenen karakterleri kullandığından emin olun. Daha fazla bilgi için bkz. Genel olarak benzersiz ad.
Sertifika türlerinin özet karşılaştırması
| Genel sağlayıcı | Kuruluş PKI'si | |
|---|---|---|
| İstemci güveni | Varsayılan olarak Windows'ta güvenilir | Bazı uygulamalarla otomatik olarak, aksi takdirde dağıtılması gerekir |
| Ücret | Evet | Tipik değil |
| Hizmet adı örneği | GraniteFalls.contoso.com |
GraniteFalls.contoso.com veya GraniteFalls.WestUS.CloudApp.Azure.Com |
| DNS CNAME gerekli | Evet | Azure etki alanı hizmet adı için hayır (GraniteFalls.WestUS.CloudApp.Azure.Com) |
Not
CMG sunucusu kimlik doğrulama sertifikası joker karakterleri destekler. Bazı sertifika yetkilileri, hizmet adı ön eki için joker karakter kullanarak sertifikalar yayımlar. Örneğin, *.contoso.com. Bazı kuruluşlar, PKI'larını basitleştirmek ve bakım maliyetlerini azaltmak için joker sertifikalar kullanır.
CMG ile joker sertifika kullanma hakkında daha fazla bilgi için bkz. CMG ayarlama.
Genel olarak benzersiz ad
Bu sertifika, Azure'daki hizmeti tanımlamak için genel olarak benzersiz bir ad gerektirir. Sertifika istemeden önce, istediğiniz Azure dağıtım adının benzersiz olduğunu onaylayın. Örneğin, GraniteFalls.WestUS.CloudApp.Azure.Com.
Sanal makine ölçek kümesi
Azure portalda oturum açın.
Azure portalı giriş sayfasında Azure hizmetleri'nin altında Kaynak oluştur'u seçin.
Sanal makine ölçek kümesini arayın. Oluştur’u seçin.
CMG için kullanacağınız Abonelik ve Kaynak grubunu seçin.
Sanal makine ölçek kümesi adı alanına istediğiniz ön eki yazın. Örneğin,
GraniteFalls.CMG için kullanacağınız Bölgeyi seçin. Örneğin, (ABD) Batı ABD.
Arabirim, etki alanı adının kullanılabilir olup olmadığını veya başka bir hizmet tarafından zaten kullanımda olup olmadığını yansıtır.
Önemli
Hizmeti portalda oluşturmayın, yalnızca ad kullanılabilirliğini denetlemek için bu işlemi kullanın.
Key Vault kaynağı için bu işlemi yineleyin. Sanal makine ölçek kümesi dağıtımı, genel olarak benzersiz olması gereken aynı ada sahip bir anahtar kasası oluşturur.
İçerik özellikli CMG depolama hesabı
İçerik için CMG'yi de etkinleştirirseniz, bunun aynı zamanda benzersiz bir Azure depolama hesabı adı olduğunu onaylayın. CMG dağıtım adı benzersizse ancak depolama hesabı değilse Configuration Manager hizmeti Azure'da sağlayamaz. Yukarıdaki işlemi Azure portalında aşağıdaki değişikliklerle tekrarlayın:
Depolama hesabını arayın.
Depolama hesabı adı alanında adınızı test edin.
Önemli
DNS adı ön eki 3 ile 24 karakter uzunluğunda olmalı ve yalnızca sayı ve küçük harf içermelidir. Tire (-) gibi özel karakterler kullanmayın. Örneğin: granitefalls.
Sertifikayı verme
CMG sunucusu kimlik doğrulama sertifikası aşağıdaki yapılandırmaları destekler:
2048 bit veya 4096 bit anahtar uzunluğu
Bu sertifika, sertifika özel anahtarları (v3) için anahtar depolama sağlayıcılarını destekler. Daha fazla bilgi için bkz. CNG v3 sertifikalarına genel bakış.
Ortak sağlayıcı sertifikası kullanma
Üçüncü taraf sertifika sağlayıcısı, gibi cloudapp.azure.combir Azure etki alanı için sertifika oluşturamaz çünkü bu etki alanları Microsoft tarafından sağlanır. Yalnızca sahip olduğunuz bir etki alanı için verilen sertifikayı alabilirsiniz. Üçüncü taraf sağlayıcıdan sertifika alma işleminin temel nedeni, istemcilerinizin bu sağlayıcının kök sertifikasına zaten güvenmesidir.
Bu sertifikayı alma işlemi sağlayıcıya göre değişir. Daha fazla bilgi için üçüncü taraf sertifika sağlayıcınıza başvurun.
Web sunucusu sertifikası ortak adı (CN) için:
Bulut hizmeti ve depolama hesabı için dağıtım adının Azure'da genel olarak benzersiz olmasını sağladınız. Örneğin,
GraniteFalls.WestUS.CloudApp.Azure.Com.Hizmet adını belirlemek için dağıtım adı ön ekini (
GraniteFalls) kuruluşunuzun etki alanı adına (contoso.com) ekleyin.Sertifika ortak adı (CN) için bu hizmet adını kullanın. Örneğin,
GraniteFalls.contoso.com.
Ardından bir DNS CNAME diğer adı oluşturmanız gerekir.
Kurumsal PKI sertifikası kullanma
Kuruluşunuzun PKI'sından bir web sunucusu sertifikası verilmesi ürüne göre değişir. Hizmet sertifikasını bulut tabanlı dağıtım noktaları için dağıtma yönergeleri Active Directory Sertifika Hizmetleri içindir. Bu işlem genellikle CMG sunucusu kimlik doğrulama sertifikası için geçerlidir.
Web sunucusu sertifikası ortak adı (CN) için:
Bulut hizmeti ve depolama hesabı için dağıtım adının Azure'da genel olarak benzersiz olmasını sağladınız. Örneğin,
GraniteFalls.WestUS.CloudApp.Azure.Com.Hizmet adını belirlemek için iki seçeneğiniz vardır:
Etki alanı adınızı kullanın (önerilir). Dağıtım adı ön ekini (
GraniteFalls) kuruluşunuzun etki alanı adına (contoso.com) ekleyin. Örneğin,GraniteFalls.contoso.com. Bu seçenek için bir DNS CNAME diğer adı da oluşturmanız gerekir.Azure dağıtım adını kullanın. Bu seçenek için DNS CNAME diğer adı gerekmez. Örneğin:
Azure genel bulutu için:
GraniteFalls.WestUS.CloudApp.Azure.Com.Azure ABD Kamu bulutu için:
GraniteFalls.usgovcloudapp.net.
Not
Azure dağıtım adı değişirse, bu hizmet adını değiştirmek için hizmeti yeniden dağıtmanız gerekir. Örneğin, hizmet adınız
cloudapp.netetki alanındaysa, klasik bulut hizmeti CMG'sini sanal makine ölçek kümesine dönüştüremezsiniz. CMG hizmet adı için etki alanı adınızı kullanırsanız, yeni dağıtım adı için DNS CNAME'sini güncelleştirebilirsiniz.
Sertifika ortak adı (CN) için bu hizmet adını kullanın.
DNS CNAME diğer adı oluşturma
CMG hizmeti adı kuruluşunuzun etki alanı adını ()GraniteFalls.contoso.com kullanıyorsa, bir DNS kurallı ad kaydı (CNAME) oluşturmanız gerekir. Bu diğer ad , hizmet adınıdağıtım adıyla eşler.
Kuruluşunuzun genel DNS'sinde bir CNAME kaydı oluşturun. Azure'daki CMG hizmetinin ve bunu kullanan tüm istemcilerin hizmet adını çözümlemesi gerekir. Örneğin:
Contoso, CMG GraniteFall değerlerini adlandırıyor.
Azure'daki dağıtım adı şeklindedir
GraniteFalls.WestUS.CloudApp.Azure.Com.Contoso'nun genel DNS
contoso.comad alanında, DNS yöneticisi Azure dağıtımGraniteFalls.WestUS.CloudApp.Azure.Comadı olan hizmet adıGraniteFalls.contoso.comiçin yeni bir CNAME kaydı oluşturur.
CMG'yi oluşturduğunuzda, sertifika CN olarak sahipken GraniteFalls.contoso.com Configuration Manager yalnızca hizmet adı ön ekini ayıklar, örneğin: GraniteFalls. Dağıtım adını oluşturmak için bu ön eki bölgeyle (cloudapp.azure.com) Azure hizmet etki alanına (westus) ekler. Örneğin, GraniteFalls.WestUS.CloudApp.Azure.Com. Etki alanınızın (contoso.com) DNS ad alanındaki CNAME diğer adı, bu iki FQDN'yi bir araya getirir.
Configuration Manager istemci ilkesi CMG GraniteFalls.contoso.comhizmeti adını içerir. İstemci, hizmet adını CNAME diğer adıyla dağıtım adı GraniteFalls.WestUS.CloudApp.Azure.Comolarak çözümler. Daha sonra Azure'da hizmetle iletişim kurmak için dağıtım adının IP adresini çözümleyebilir.
Sonraki adımlar
Microsoft Entra Id'yi yapılandırarak CMG kurulumunuza devam edin: