使用 TLS/SSL 憑證從內部網路啟用遠端存取 (進階)

在本教學課程中，您將了解如何使用多個內部部署機器來設定自我裝載整合執行階段，以及如何使用 TLS/SSL 憑證 (進階) 來啟用來自內部網路的遠端存取，以保護整合執行階段節點之間的通訊。

必要條件

• SSL/TLS 增強式加密簡介。
• 憑證可以是 Web 伺服器的一般 TLS 憑證。 需求：
  • 憑證必須是受信任的 X509 v3 公開憑證。 建議您使用公開合作夥伴憑證授權單位 (CA) 所發出的憑證。
  • 每個整合執行階段節點都必須信任此憑證。
  • 我們建議使用主體替代名稱 (SAN) 憑證，因為整合執行階段節點的所有完整網域名稱 (FQDN) 都必須透過此憑證進行保護。 (「WCF TLS/SSL 驗證僅檢查 SAN 中的最後一個 DNS 名稱」已在 .NET Framework 4.6.1 中修正。如需詳細資訊，請參閱風險降低：X509CertificateClaimSet.FindClaims 方法。)
  • 不支援萬用字元憑證 (*)。
  • 憑證必須具有私密金鑰 (如 PFX 格式)。
  • 此憑證可以使用 Windows Server 2012 R2 所支援的任何 TLS/SSL 憑證金鑰大小。
  • 我們目前僅支援 CSP (密碼編譯服務提供者) 憑證。 不支援使用 CNG 金鑰的憑證 (金鑰儲存體提供者)。

步驟

1. 在所有機器上執行下列 PowerShell 命令，以取得其 FQDN：

   [System.Net.Dns]::GetHostByName("localhost").HostName
   

   例如，FQDN 是 node1.domain.contoso.com 和 node2.domain.contoso.com。

2. 在主體替代名稱中，產生具有所有機器 FQDN 的憑證。

   

3. 將所有節點上的憑證安裝至 [本機機器] -> [個人]，以在整合執行階段設定管理員上進行選取：

   1. 按一下憑證，並予以安裝。

   2. 選取 [本機電腦]，然後輸入密碼。

      

   3. 選取 [將所有憑證放在下列存放區]。 按一下 [瀏覽] 。 選取 [個人]。

   4. 選取 [完成] 以安裝憑證。

4. 啟用來自內部網路的遠端存取：

   1. 在自我裝載整合執行階段節點註冊期間：

      1. 選取 [啟用來自內部網路的遠端存取]，然後選取 [下一步]。

         

      2. 設定「Tcp 連接埠」 (預設為 8060)。 請確定已在防火牆上開啟連接埠。

      3. 按一下 [選取]。 在快顯視窗中，選擇正確的憑證，然後選取 [完成]。

         

   2. 在註冊自我裝載整合執行階段節點之後：

      注意

      自我裝載整合執行階段只有在具有「單一節點」時才能變更遠端存取設定，這是原廠設定。 否則，無法核取選項按鈕。

      

      1. 移至自我裝載 [Integration Runtime Configuration Manager] -> [設定] -> [來自內部網路的遠端存取]。 按一下變更。

      2. 選擇 [啟用並使用 TLS/SSL 憑證 (進階)]。

      3. 按一下 [選取]。 在快顯視窗中，選擇正確的憑證，然後選取 [確定]。

         

   3. 確認自我裝載 [Integration Runtime Configuration Manager] 中的遠端存取設定。

      

      

5. 如果您沒有公開信任的憑證，則使用自我簽署憑證：

   1. 產生並匯出自我簽署憑證 (如果您已經有憑證，則可以略過此步驟)：

      1. 透過 PowerShell 產生自我簽署憑證 (使用較高的權限)：

         New-SelfSignedCertificate -DnsName contoso.com, node1.domain.contoso.com, node2.domain.contoso.com -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" -CertStoreLocation cert:\LocalMachine\My
         

      2. 若要使用私密金鑰將所產生的憑證匯出至受密碼保護的 PFX 檔案，您將需要其指紋。 其可以從 New-SelfSignedCertificate 命令的結果中進行複製。 例如，其為 CEB5B4372AA7BF877E56BCE27542F9F0A1AD197F。

      3. 透過 PowerShell，使用私密金鑰來匯出所產生的憑證 (具有較高的權限)：

         $CertPassword = ConvertTo-SecureString -String “Password” -Force -AsPlainText
         Export-PfxCertificate -Cert
         cert:\LocalMachine\My\CEB5B4372AA7BF877E56BCE27542F9F0A1AD197F -FilePath C:\self-signedcertificate.pfx -Password $CertPassword            
         

      4. 您已使用私密金鑰將憑證匯出至 C:\self-signedcertificate.pfx。

   2. 將所有節點上的憑證安裝至：[本機電腦] -> [受信任的根憑證授權單位存放區]：

      1. 按一下憑證，並予以安裝。
      2. 選取 [本機電腦]，然後輸入密碼。
      3. 選取 [將所有憑證放在下列存放區]。 按一下 [瀏覽] 。 選取 [受信任的根憑證授權單位]。
      4. 選取 [完成] 以安裝憑證。

      

6. 疑難排解

   1. 確認憑證存在於目標存放區中：

      1. 遵循此程序：如何：使用 MMC 嵌入式管理單元檢視憑證 - WCF，以在 MMC 嵌入式管理單元中檢視憑證 (本機電腦)。

         

      2. 確認憑證已安裝在 [個人] 和 [受信任的根憑證授權單位存放區] (如果其為自我簽署憑證)。

         

   2. 確認憑證具有私密金鑰，而且未過期。

      

   3. 請確定自我裝載整合執行階段的服務帳戶 (預設帳戶為 NT SERVICE\DIAHostService) 具有憑證私密金鑰的讀取權限：

      1. 以滑鼠右鍵按一下憑證 -> [所有工作] -> [管理私密金鑰]。

      2. 如果沒有，則請授與權限，並[套用]，然後儲存。