通过

Microsoft连接缓存的 Windows HTTPS 支持参考

本文提供有关连接缓存上的 Windows HTTPS 安装流的更多详细信息。

必备条件

客户端连接方法

尝试以下作来确定与连接的缓存服务器的相应连接方法,以便设置 HTTPS 支持。

  • 检查传递优化策略配置

    以下命令在 Windows 注册表中查询传递优化策略路径下的“DOCacheHost”值:

    Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\DeliveryOptimization" -Name "DOCacheHost" -ErrorAction SilentlyContinue

    如果输出中 存在 该值,则表示客户端已显式配置为使用特定的Microsoft连接缓存服务器。

    如果输出中 缺少 值,则客户端可能依赖于 DHCP 选项 235 来动态发现连接的缓存服务器(假设配置了 DOCacheHostSource)。

  • 检查现有 HTTP 连接的详细信息

    以下命令检查与连接的缓存服务器上的端口 80 的 TCP 连接。 将 替换为 insert-mcc-server-name 服务器的完整计算机名称。

    Test-NetConnection -ComputerName [insert-mcc-server-name] -Port 80 -InformationLevel Detailed

    从输出:

    • RemoteAddress 是客户端为连接的缓存服务器解析的 IP 地址
    • NameResolutionResults 列出客户端使用的主机名(如果涉及 DNS 解析)

生成 CSR

Scenario-Based 参数示例

查看基于方案的参数示例,并相应地对命令进行编辑 generateCsr

单个 Office - 仅限 IP 地址

场景:小型分支机构,其中客户端配置为使用静态 IP 地址 (连接到连接的缓存,例如,通过 DOCacheHost 策略设置为“192.168.1.100”) 。 管理员使用本地用户帐户。

.\generateCsr.ps1 `
    -RunTimeAccountName $credential.Username `
    -mccLocalAccountCredential $credential `
    -algo RSA `
    -keySizeOrCurve 2048 `
    -csrName "mcc-branch-office" `
    -subjectCommonName "192.168.1.100" `
    -subjectCountry "US" `
    -subjectState "TX" `
    -subjectOrg "Contoso Corp" `
    -sanIp "192.168.1.100"

企业Standard - DNS 主机名

场景:企业环境,其中客户端通过标准化主机名 (mcc-server.contoso.com) 进行连接。 管理员使用 gMSA 帐户。

.\generateCsr.ps1 `
    -RunTimeAccount "CONTOSO\mcc-gmsa$" `
    -algo RSA `
    -keySizeOrCurve 4096 `
    -csrName "mcc-enterprise-prod" `
    -subjectCommonName "mcc-server.contoso.com" `
    -subjectCountry "US" `
    -subjectState "Washington" `
    -subjectOrg "Contoso Corporation" `
    -sanDns "mcc-server.contoso.com"

DHCP 发现环境

场景:使用 DHCP 选项 235 进行连接缓存发现的环境,其中客户端可以使用服务器的实际主机名或 DHCP 提供的名称进行连接。 管理员使用本地用户帐户。

.\generateCsr.ps1 `
    -RunTimeAccountName $credential.Username `
    -mccLocalAccountCredential $credential `
    -algo RSA `
    -keySizeOrCurve 2048 `
    -csrName "mcc-dhcp-discovery" `
    -subjectCommonName "cache-server.corporate.local" `
    -subjectCountry "US" `
    -subjectState "FL" `
    -subjectOrg "Corporate IT Services" `
    -sanDns "cache-server.corporate.local,mcc-auto.corporate.local,fileserver.corporate.local"

混合环境 - 混合客户端连接

场景:迁移期间混合环境,其中某些旧版客户端仍使用 IP 地址,而较新的客户端使用 DNS 名称。 涵盖这两种连接方法。 管理员使用本地用户帐户。

.\generateCsr.ps1 `
    -RunTimeAccountName $credential.Username `
    -mccLocalAccountCredential $credential `
    -algo RSA `
    -keySizeOrCurve 2048 `
    -csrName "mcc-hybrid-migration" `
    -subjectCommonName "mcc-cache.contoso.com" `
    -subjectCountry "US" `
    -subjectState "CA" `
    -subjectOrg "Contoso Inc" `
    -sanDns "mcc-cache.contoso.com,cache.contoso.local" `
    -sanIp "10.0.1.50,192.168.100.10"

具有区域命名的多站点

方案:具有多个连接缓存节点的大型组织使用一致的命名约定 (mcc-region-site 格式) 。 此示例适用于西雅图数据中心节点。 管理员使用 gMSA 帐户。

.\generateCsr.ps1 `
    -RunTimeAccount "CORP\mcc-production-gmsa$" `
    -algo RSA `
    -keySizeOrCurve 4096 `
    -csrName "mcc-seattle-dc1" `
    -subjectCommonName "mcc-sea-dc1.corp.contoso.com" `
    -subjectCountry "US" `
    -subjectState "Washington" `
    -subjectOrg "Contoso Corporation" `
    -sanDns "mcc-sea-dc1.corp.contoso.com,mcc-seattle.contoso.com"

负载均衡的环境

场景:高可用性设置,其中多个连接的缓存节点位于负载均衡器后面。 客户端连接到负载均衡器 VIP,但证书需要支持直接节点访问才能进行故障排除。 管理员使用 gMSA 帐户。

.\generateCsr.ps1 `
    -RunTimeAccount "ENTERPRISE\mcc-ha-gmsa$" `
    -algo RSA `
    -keySizeOrCurve 4096 `
    -csrName "mcc-node1-ha" `
    -subjectCommonName "mcc.enterprise.com" `
    -subjectCountry "US" `
    -subjectState "NY" `
    -subjectOrg "Enterprise Solutions Inc" `
    -sanDns "mcc.enterprise.com,mcc-node1.enterprise.com,mcc-cluster.enterprise.local"

开发/测试环境

方案:具有宽松命名要求的开发环境。 支持 localhost 测试和实验室网络访问。 管理员使用本地用户帐户。

.\generateCsr.ps1 `
    -RunTimeAccountName $credential.Username `
    -mccLocalAccountCredential $credential `
    -algo RSA `
    -keySizeOrCurve 2048 `
    -csrName "mcc-dev-lab" `
    -subjectCommonName "localhost" `
    -subjectCountry "US" `
    -subjectState "Dev" `
    -subjectOrg "IT Development" `
    -sanDns "localhost,mcc-dev.lab.local,devserver.local" `
    -sanIp "127.0.0.1,192.168.10.100,10.10.10.50"

椭圆曲线的高安全性

场景:安全意识强的组织需要新式 ECC 加密,以提高性能和符合较新的安全标准。 管理员使用 gMSA 帐户。

.\generateCsr.ps1 `
    -RunTimeAccount "SECURE\mcc-prod-gmsa$" `
    -algo EC `
    -keySizeOrCurve secp384r1 `
    -csrName "mcc-secure-prod" `
    -subjectCommonName "mcc-secure.defense.gov" `
    -subjectCountry "US" `
    -subjectState "VA" `
    -subjectOrg "Department of Defense" `
    -sanDns "mcc-secure.defense.gov"

Azure VM/混合云部署

方案:在具有公共和专用连接的 VM 上部署Azure连接缓存节点。 来自本地的客户端通过专用 IP/主机名进行连接,而基于云的客户端可以使用Azure公共 DNS 名称。 管理员使用本地用户帐户。

.\generateCsr.ps1 `
   -RunTimeAccountName $credential.Username `
   -mccLocalAccountCredential $credential `
   -algo RSA `
   -keySizeOrCurve 2048 `
   -csrName "mcc-azure-hybrid" `
   -subjectCommonName "mcc-eastus.cloudapp.azure.com" `
   -subjectCountry "US" `
   -subjectState "WA" `
   -subjectOrg "Contoso Corporation" `
   -sanDns "mcc-eastus.cloudapp.azure.com,mcc-azure.contoso.local,mcc-vm01.contoso.com" `
   -sanIp "10.0.1.10,172.16.0.50"

签署 CSR

转换为 .crt 文件类型

  • 如果收到 .cer

    • PowerShell:

      Rename-Item -Path "xxxx.cer" "xxxx.crt"

    • WSL:

      openssl x509 -in xxxx.cer -out xxxx.crt

  • 如果收到 .der

    • PowerShell:

      certutil -encode "xxxx.der" "xxxx.crt"

    • WSL:

      openssl x509 -inform DER -in xxxx.der -out xxxx.crt

其他资源

  • Last updated on