CMG 伺服器驗證憑證
適用於:Configuration Manager (目前的分支)
當您 (CMG) 設定雲端管理閘道時,第一個步驟是取得伺服器驗證憑證。 CMG 會建立以因特網為基礎的用戶端所連線的 HTTPS 服務。 伺服器需要伺服器驗證憑證才能建置安全通道。 您可以從公用提供者取得此用途的憑證,或從您的公鑰基礎結構 (PKI) 發行憑證。
當您在 Configuration Manager 控制台中建立 CMG 時,您會提供此憑證。 此憑證的 CN) (一般名稱會定義 CMG 的服務名稱。
注意事項
您可能需要用戶端和管理點的其他憑證。 這些憑證涵蓋在 CMG 設定程式設定 客戶端驗證的第三個步驟中。
本文中所使用的一些 CMG 術語提醒:
服務名稱:一般名稱 (CMG 伺服器驗證憑證的 CN) 。 用戶端和 CMG 連接點站台系統角色會與此服務名稱通訊。 例如,
GraniteFalls.contoso.com
或GraniteFalls.WestUS.CloudApp.Azure.Com
。部署名稱:服務名稱的第一個部分加上雲端服務部署的 Azure 位置。 服務連接點的雲端服務管理員元件會在 Azure 中部署 CMG 時使用此名稱。 部署名稱一律位於 Azure 網域中。 Azure 位置取決於部署方法,例如:
- 虛擬機擴展集:
GraniteFalls.WestUS.CloudApp.Azure.Com
- 傳統部署:
GraniteFalls.CloudApp.Net
重要事項
本文使用範例搭配虛擬機擴展集,作為 2107 版和更新版本中的建議部署方法。 如果您使用傳統部署,請在閱讀本文並準備伺服器驗證憑證時記下差異。
- 虛擬機擴展集:
選擇憑證類型
首先,決定要取得憑證的位置。 有幾個因素需要考慮。
客戶端必須信任 CMG 伺服器驗證憑證,才能與 CMG 服務建立 HTTPS 通道。 有兩種方法可以完成此信任:
使用來自公用和全域信任憑證提供者的憑證。
Windows 用戶端包含受信任的跟證書授權單位, (來自這些提供者的 CA) 。 藉由使用其中一個提供者所簽發的憑證,您的用戶端會自動信任它。
此憑證有相關聯的成本,這是提供者特有的。
使用企業 CA 從您的公鑰基礎結構 (PKI) 簽發的憑證。
大部分的企業 PKI 實作都會將受信任的根 CA 新增至 Windows 用戶端。 例如,如果您使用 Active Directory 憑證服務搭配組策略。 如果您從用戶端不會自動信任的 CA 發出 CMG 伺服器驗證憑證,請將 CA 受信任的跟證書新增至以因特網為基礎的用戶端。
如果您打算 從 Intune 安裝 Configuration Manager 客戶端,您也可以使用 Intune 憑證配置檔在用戶端上布建憑證。 如需詳細資訊, 請參閱設定憑證配置檔。
您的組織可能會有核發憑證的內部成本,但通常不會有與此憑證相關聯的外部成本。
重要事項
取得此憑證之前,請確定雲端服務和記憶體帳戶的服務名稱是全域唯一的。 也請確定名稱使用支援的字元。 如需詳細資訊,請參閱 全域唯一名稱。
憑證類型的摘要比較
公用提供者 | 企業 PKI | |
---|---|---|
用戶端信任 | 默認在 Windows 中受信任 | 使用某些實作自動執行,否則需要部署 |
成本 | 是 | 不一般 |
服務名稱範例 | GraniteFalls.contoso.com |
GraniteFalls.contoso.com 或 GraniteFalls.WestUS.CloudApp.Azure.Com |
需要 DNS CNAME | 是 | 對於 Azure 域服務名稱, () GraniteFalls.WestUS.CloudApp.Azure.Com |
注意事項
CMG 伺服器驗證憑證支援通配符。 某些證書頒發機構單位會使用通配符來發行憑證作為服務名稱前置詞。 例如,*.contoso.com
。 有些組織會使用通配符憑證來簡化其 PKI 並降低維護成本。
如需如何搭配 CMG 使用通配符憑證的詳細資訊,請參閱 設定 CMG。
全域唯一名稱
此憑證需要全域唯一的名稱,才能識別 Azure 中的服務。 在您要求憑證之前,請確認您想要的 Azure 部署名稱 是唯一的。 例如,GraniteFalls.WestUS.CloudApp.Azure.Com
。
虛擬機擴展集
登入 Azure 入口網站。
從 Azure 入口網站首頁中,選取 [Azure 服務] 底下的 [ 建立資源 ]。
搜尋 虛擬機擴展集。 選取 [建立]。
選取您將用於 CMG 的 訂 用帳戶和 資源群組 。
在 [ 虛擬機擴展集名稱] 字 段中,輸入您想要的前置詞。 例如,
GraniteFalls
。選取您將用於 CMG 的 [區域 ]。 例如, (美國西部) 。
介面會反映功能變數名稱是否可供其他服務使用或已在使用中。
重要事項
請勿在入口網站中建立服務,只要使用此程式來檢查名稱可用性即可。
針對 Key Vault 資源重複此程式。 虛擬機擴展集部署會建立具有相同名稱的密鑰保存庫,這也必須是全域唯一的。
啟用內容的 CMG 記憶體帳戶
如果您也啟用內容的 CMG,請確認它也是唯一的 Azure 記憶體帳戶名稱。 如果 CMG 部署名稱是唯一的,但記憶體帳戶不是,則 Configuration Manager 無法在 Azure 中布建服務。 在 Azure 入口網站中重複上述程式,並進行下列變更:
搜尋 記憶體帳戶。
在 [ 記憶體帳戶名稱 ] 欄位中測試您的名稱。
重要事項
DNS 名稱前置詞長度應為 3 到 24 個字元,且只包含數位和小寫字母。 請勿使用特殊字元,例如虛線 (-
) 。 例如: granitefalls
。
發出憑證
CMG 伺服器驗證憑證支援下列設定:
2048 位或 4096 位金鑰長度
此憑證支援憑證私鑰的金鑰儲存提供者, (v3) 。 如需詳細資訊,請參閱 CNG v3 憑證概觀。
使用公用提供者憑證
第三方憑證提供者無法為像 是 cloudapp.azure.com
的 Azure 網域建立憑證,因為Microsoft擁有這些網域。 您只能取得針對您擁有的網域簽發的憑證。 從第三方提供者取得憑證的主要原因,是您的用戶端已經信任該提供者的跟證書。
取得此憑證的特定程式會依提供者而有所不同。 如需詳細資訊,請連絡您的第三方憑證提供者。
針對網頁伺服器憑證的一般名稱 (CN) :
您已確定雲端服務和記憶體帳戶的部署 名稱 在 Azure 中是 全域唯 一的。 例如,
GraniteFalls.WestUS.CloudApp.Azure.Com
。若要判斷 服務名稱,請將 部署名稱 前置詞 (
GraniteFalls
) 附加至您組織的域名 (contoso.com
) 。使用此 服務名稱 作為憑證通用名稱 (CN) 。 例如,
GraniteFalls.contoso.com
。
接下來,您必須 建立 DNS CNAME 別名。
使用企業 PKI 憑證
從組織的 PKI 發行 Web 伺服器證書會因產品而異。 針對雲端 式發佈點部署服務憑證的 指示適用於 Active Directory 憑證服務。 此程式通常適用於 CMG 伺服器驗證憑證。
針對網頁伺服器憑證的一般名稱 (CN) :
您已確定雲端服務和記憶體帳戶的部署 名稱 在 Azure 中是 全域唯 一的。 例如,
GraniteFalls.WestUS.CloudApp.Azure.Com
。若要判斷 服務名稱,您有兩個選項:
使用您的功能變數名稱 (建議的) 。 將 部署名稱 前置詞 (
GraniteFalls
) 附加至貴組織的域名 (contoso.com
) 。 例如,GraniteFalls.contoso.com
。 針對此選項,您也需要 建立 DNS CNAME 別名。使用 Azure 部署名稱。 此選項不需要 DNS CNAME 別名。 例如:
針對 Azure 公用雲端:
GraniteFalls.WestUS.CloudApp.Azure.Com
。針對 Azure 美國政府雲端:
GraniteFalls.usgovcloudapp.net
。
注意事項
如果 Azure 部署名稱變更,您必須重新部署服務以變更此服務名稱。 例如,如果您的服務名稱位於網域中
cloudapp.net
,您就無法將傳統雲端服務 CMG 轉換成虛擬機擴展集。 如果您將功能變數名稱用於 CMG 服務名稱,則可以更新新部署名稱的 DNS CNAME。
使用此 服務名稱 作為憑證通用名稱 (CN) 。
建立 DNS CNAME 別名
如果 CMG 服務名稱使用您組織的功能變數名稱 (GraniteFalls.contoso.com
) ,您必須建立 DNS 標準名稱記錄 (CNAME) 。 此別名會將 服務名稱 對應至 部署名稱。
在組織的公用 DNS 中建立 CNAME 記錄。 Azure 中的 CMG 服務和使用它的所有用戶端都需要解析服務名稱。 例如:
Contoso 會將其 CMG GraniteFalls 命名為 。
Azure 中的部署名稱是
GraniteFalls.WestUS.CloudApp.Azure.Com
。在 Contoso 的公用 DNS
contoso.com
命名空間中,DNS 系統管理員會將服務名稱GraniteFalls.contoso.com
的新 CNAME 記錄建立為 Azure 部署名稱GraniteFalls.WestUS.CloudApp.Azure.Com
當您建立 CMG 時,雖然憑證具有 GraniteFalls.contoso.com
CN,但 Configuration Manager 只會擷取服務名稱前置詞,例如: GraniteFalls。 它會將此前置詞附加至 Azure 服務網域, (cloudapp.azure.com
) 區域 (westus
) 來建立部署名稱。 例如,GraniteFalls.WestUS.CloudApp.Azure.Com
。 網域的 DNS 命名空間中的 CNAME 別名 (contoso.com
) 將這兩個 FQDN 對應在一起。
Configuration Manager 用戶端原則包含 CMG 服務名稱 。 GraniteFalls.contoso.com
用戶端會透過 CNAME 別名將服務名稱解析為部署名稱 GraniteFalls.WestUS.CloudApp.Azure.Com
。 然後,它可以解析部署名稱的IP位址,以與Azure中的服務通訊。
後續步驟
設定 Microsoft Entra ID,以繼續您的 CMG 設定: