Ověřovací certifikát serveru CMG

  • Článek

Platí pro: Configuration Manager (Current Branch)

Prvním krokem při nastavování brány pro správu cloudu (CMG) je získání ověřovacího certifikátu serveru. CmG vytvoří službu HTTPS, ke které se připojují internetoví klienti. Server k vytvoření zabezpečeného kanálu vyžaduje ověřovací certifikát serveru. Certifikát pro tento účel můžete získat od veřejného poskytovatele nebo ho vydat z infrastruktury veřejných klíčů (PKI).

Při vytváření cmg v konzole Configuration Manager zadáte tento certifikát. Běžný název (CN) tohoto certifikátu definuje název služby cmg.

Poznámka

Možná budete potřebovat další certifikáty pro klienty a body správy. Tyto certifikáty jsou popsány ve třetím kroku procesu nastavení CMG – Konfigurace ověřování klientů.

Připomenutí terminologie CMG, která se používá v tomto článku:

  • Název služby: Běžný název (CN) ověřovacího certifikátu serveru CMG. Klienti a role systému lokality spojovacího bodu CMG komunikují s tímto názvem služby. Například GraniteFalls.contoso.com nebo GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Název nasazení: První část názvu služby plus umístění Azure pro nasazení cloudové služby. Komponenta správce cloudových služeb spojovacího bodu služby používá tento název při nasazování CMG v Azure. Název nasazení je vždy v doméně Azure. Umístění Azure závisí na metodě nasazení, například:

    • Škálovací sada virtuálních počítačů: GraniteFalls.WestUS.CloudApp.Azure.Com
    • Nasazení Classic: GraniteFalls.CloudApp.Net

    Důležité

    Tento článek používá příklady se škálovací sadou virtuálních počítačů jako doporučenou metodou nasazení ve verzi 2107 a novější. Pokud používáte nasazení Classic, všimněte si rozdílu při čtení tohoto článku a připravte ověřovací certifikát serveru.

Zvolte typ certifikátu.

Nejprve se rozhodněte, kde chcete certifikát získat. Je potřeba zvážit několik faktorů.

Klienti musí důvěřovat ověřovacímu certifikátu serveru CMG, aby mohli vytvořit kanál HTTPS se službou CMG. Existují dvě metody, jak dosáhnout tohoto vztahu důvěryhodnosti:

  1. Použijte certifikát od veřejného a globálně důvěryhodného zprostředkovatele certifikátů.

    • Klienti Windows zahrnují důvěryhodné kořenové certifikační autority od těchto zprostředkovatelů. Když použijete certifikát vystavený jedním z těchto zprostředkovatelů, budou mu klienti automaticky důvěřovat.

    • S tímto certifikátem jsou spojené náklady, které jsou specifické pro daného poskytovatele.

  2. Použijte certifikát vystavený certifikační autoritou organizace z infrastruktury veřejných klíčů (PKI).

    • Většina podnikových implementací infrastruktury veřejných klíčů přidává důvěryhodné kořenové certifikační autority do klientů s Windows. Například pokud používáte službu Active Directory Certificate Services se zásadami skupiny. Pokud vydáte ověřovací certifikát serveru CMG z certifikační autority, které vaši klienti automaticky nedůvěřují, přidejte důvěryhodný kořenový certifikát certifikační autority do internetových klientů.

      Pokud plánujete nainstalovat klienta Configuration Manager z Intune, můžete také pomocí profilů certifikátů Intune zřizovat certifikáty na klientech. Další informace najdete v tématu Konfigurace profilu certifikátu.

    • Vaše organizace může mít interní náklady na vydávání certifikátů, ale obecně s tímto certifikátem nejsou spojené žádné externí náklady.

Důležité

Než tento certifikát získáte, ujistěte se, že je název služby pro cloudovou službu a účet úložiště globálně jedinečný. Ujistěte se také, že název používá podporované znaky. Další informace najdete v tématu Globálně jedinečný název.

Souhrnné porovnání typů certifikátů

Veřejný poskytovatel Infrastruktura veřejných klíčů organizace
Vztah důvěryhodnosti klienta Ve Windows je ve výchozím nastavení důvěryhodná Automaticky s některými implementacemi, jinak je potřeba nasadit
Cena Ano Není typické
Příklad názvu služby GraniteFalls.contoso.com GraniteFalls.contoso.com Nebo GraniteFalls.WestUS.CloudApp.Azure.Com
Vyžaduje se CNAME DNS. Ano Ne pro název služby Azure Domain Service (GraniteFalls.WestUS.CloudApp.Azure.Com)

Poznámka

Ověřovací certifikát serveru CMG podporuje zástupné cardy. Některé certifikační autority vydávají certifikáty pomocí zástupné znaky pro předponu názvu služby. Například: *.contoso.com. Některé organizace používají zástupné certifikáty ke zjednodušení infrastruktury veřejných klíčů a snížení nákladů na údržbu.

Další informace o tom, jak používat certifikát se zástupným znakem s CMG, najdete v tématu Nastavení cmg.

Globálně jedinečný název

Tento certifikát vyžaduje globálně jedinečný název k identifikaci služby v Azure. Než požádáte o certifikát, ověřte, že požadovaný název nasazení Azure je jedinečný. Například: GraniteFalls.WestUS.CloudApp.Azure.Com.

Škálovací sada virtuálních počítačů

  1. Přihlaste se na portál Microsoft Azure.

  2. Na domovské stránce Azure Portal vyberte Vytvořit prostředek v části Služby Azure.

  3. Vyhledejte škálovací sadu virtuálních počítačů. Vyberte Vytvořit.

  4. Vyberte předplatné a skupinu prostředků , které budete používat pro cmg.

  5. Do pole Název škálovací sady virtuálních počítačů zadejte požadovanou předponu. Například: GraniteFalls.

  6. Vyberte oblast , kterou použijete pro cmg. Například (USA) USA – západ.

Rozhraní odráží, zda je název domény dostupný nebo již používán jinou službou.

Důležité

Nevytvovávejte službu na portálu, stačí pomocí tohoto postupu zkontrolovat dostupnost názvu.

Tento postup opakujte pro prostředek Key Vault. Nasazení škálovací sady virtuálních počítačů vytvoří trezor klíčů se stejným názvem, který musí být také globálně jedinečný.

Účet úložiště CMG s podporou obsahu

Pokud také povolíte CMG pro obsah, ověřte, že se jedná také o jedinečný název účtu úložiště Azure. Pokud je název nasazení CMG jedinečný, ale účet úložiště ne, Configuration Manager službu v Azure nezřídí. Výše uvedený postup opakujte v Azure Portal s následujícími změnami:

  • Vyhledejte účet úložiště.

  • Otestujte své jméno v poli Název účtu úložiště .

Důležité

Předpona názvu DNS by měla mít délku 3 až 24 znaků a obsahovat pouze číslice a malá písmena. Nepoužívejte speciální znaky, například pomlčku (-). Příklad: granitefalls.

Vystavení certifikátu

Ověřovací certifikát serveru CMG podporuje následující konfigurace:

  • Délka 2048bitového nebo 4096bitového klíče

  • Tento certifikát podporuje poskytovatele úložiště klíčů pro privátní klíče certifikátu (v3). Další informace najdete v tématu Přehled certifikátů CNG v3.

Použití certifikátu veřejného poskytovatele

Externí poskytovatel certifikátů nemůže vytvořit certifikát pro doménu Azure, jako je , jako je cloudapp.azure.com, protože tyto domény vlastní Microsoft. Můžete získat pouze certifikát vystavený pro doménu, kterou vlastníte. Hlavním důvodem pro získání certifikátu od poskytovatele třetí strany je to, že vaši klienti už důvěřují kořenovému certifikátu tohoto zprostředkovatele.

Konkrétní proces získání tohoto certifikátu se liší podle poskytovatele. Další informace získáte od jiného poskytovatele certifikátů.

Běžný název certifikátu webového serveru:

  • Ujistili jste se, že název nasazení je globálně jedinečný v Azure pro cloudovou službu a účet úložiště. Například: GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Pokud chcete určit název služby, připojte předponu názvu nasazení (GraniteFalls) k názvu domény vaší organizace (contoso.com).

  • Jako běžný název certifikátu použijte tento název služby . Například: GraniteFalls.contoso.com.

Dále musíte vytvořit alias DNS CNAME.

Použití podnikového certifikátu PKI

Vystavení certifikátu webového serveru z infrastruktury veřejných klíčů vaší organizace se liší podle produktu. Pokyny k nasazení certifikátu služby pro cloudové distribuční body jsou určené pro službu Active Directory Certificate Services. Tento proces obecně platí pro ověřovací certifikát serveru CMG.

Běžný název certifikátu webového serveru:

  • Ujistili jste se, že název nasazení je globálně jedinečný v Azure pro cloudovou službu a účet úložiště. Například: GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Pokud chcete určit název služby, máte dvě možnosti:

    • Použijte název domény (doporučeno). Připojte předponu názvu nasazení (GraniteFalls) k názvu domény vaší organizace (contoso.com). Například: GraniteFalls.contoso.com. Pro tuto možnost musíte také vytvořit alias DNS CNAME.

    • Použijte název nasazení Azure. Tato možnost nevyžaduje alias DNS CNAME. Příklady:

      • Pro veřejný cloud Azure: GraniteFalls.WestUS.CloudApp.Azure.Com.

      • Pro cloud Azure US Government: GraniteFalls.usgovcloudapp.net.

      Poznámka

      Pokud se název nasazení Azure změní, budete muset službu znovu nasadit, abyste tento název služby změnili. Pokud je například název vaší služby v cloudapp.net doméně, nemůžete převést cmg klasické cloudové služby na škálovací sadu virtuálních počítačů. Pokud jako název služby CMG použijete název domény, můžete aktualizovat název DNS CNAME pro nový název nasazení.

  • Jako běžný název certifikátu použijte tento název služby .

Vytvoření aliasu DNS CNAME

Pokud název služby CMG používá název domény vaší organizace (GraniteFalls.contoso.com), musíte vytvořit záznam kanonického názvu DNS (CNAME). Tento alias mapuje název služby na název nasazení.

Vytvořte záznam CNAME ve veřejném DNS vaší organizace. Služba CMG v Azure a všichni klienti, kteří ji používají, musí přeložit název služby. Příklady:

  • Společnost Contoso pojmenuje jejich CMG GraniteFalls.

  • Název nasazení v Azure je GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Ve veřejném oboru názvů DNS contoso.com společnosti Contoso vytvoří správce DNS nový záznam CNAME pro název GraniteFalls.contoso.com služby na název nasazení Azure. GraniteFalls.WestUS.CloudApp.Azure.Com

Když vytvoříte CMG, zatímco certifikát má GraniteFalls.contoso.com jako CN, Configuration Manager extrahuje pouze předponu názvu služby, například GraniteFalls. Tuto předponu připojí k doméně služby Azure (cloudapp.azure.com) s oblastí (westus) a vytvoří název nasazení. Například: GraniteFalls.WestUS.CloudApp.Azure.Com. Alias CNAME v oboru názvů DNS pro vaši doménu (contoso.com) mapuje tyto dva plně kvalifikované názvy domén.

Zásady Configuration Manager klienta zahrnují název GraniteFalls.contoso.comslužby CMG . Klient přeloží název služby prostřednictvím aliasu CNAME na název GraniteFalls.WestUS.CloudApp.Azure.Comnasazení . Pak může přeložit IP adresu názvu nasazení pro komunikaci se službou v Azure.

Další kroky

Pokračujte v nastavení CMG konfigurací ID Microsoft Entra:

Konfigurace ID Microsoft Entra