Požadavky na certifikáty infrastruktury veřejných klíčů (PKI) služby Azure Stack HubAzure Stack Hub public key infrastructure (PKI) certificate requirements

Centrum Azure Stack má síť s veřejnou infrastrukturou, která používá externě přístupné veřejné IP adresy, které jsou přiřazené k malé sadě služeb Azure Stack hub a případně tenantů virtuálních počítačů.Azure Stack Hub has a public infrastructure network using externally accessible public IP addresses assigned to a small set of Azure Stack Hub services and possibly tenant VMs. Certifikáty PKI s příslušnými názvy DNS pro tyto koncové body veřejné infrastruktury centra Azure Stack se při nasazení centra Azure Stack vyžadují.PKI certificates with the appropriate DNS names for these Azure Stack Hub public infrastructure endpoints are required during Azure Stack Hub deployment. Tento článek poskytuje informace o:This article provides information about:

  • Požadavky na certifikát pro centrum Azure Stack.Certificate requirements for Azure Stack Hub.
  • Pro nasazení centra Azure Stack jsou vyžadovány povinné certifikáty.Mandatory certificates required for Azure Stack Hub deployment.
  • Volitelné certifikáty, které se vyžadují při nasazování zprostředkovatelů prostředků s hodnotou přidat.Optional certificates required when deploying value-add resource providers.

Poznámka

Azure Stack centrum ve výchozím nastavení používá k ověřování mezi uzly certifikáty vydané interní certifikační autoritou (CA) integrovaná se službou Active Directory.Azure Stack Hub by default also uses certificates issued from an internal Active Directory-integrated certificate authority (CA) for authentication between the nodes. Aby bylo možné certifikát ověřit, všechny počítače infrastruktury centra Azure Stack důvěřují kořenovému certifikátu interní certifikační autority přidáním tohoto certifikátu do místního úložiště certifikátů.To validate the certificate, all Azure Stack Hub infrastructure machines trust the root certificate of the internal CA by means of adding that certificate to their local certificate store. V centru Azure Stack není žádné připnutí ani filtrování certifikátů.There's no pinning or filtering of certificates in Azure Stack Hub. SÍŤ SAN každého certifikátu serveru je ověřena vůči plně kvalifikovanému názvu domény cíle.The SAN of each server certificate is validated against the FQDN of the target. Také se ověří celý řetěz důvěryhodnosti spolu s datem vypršení platnosti certifikátu (standardní ověřování serveru TLS bez připnutí certifikátu).The entire chain of trust is also validated, along with the certificate expiration date (standard TLS server authentication without certificate pinning).

Požadavky na certifikátyCertificate requirements

Následující seznam popisuje požadavky obecného vystavení, zabezpečení a formátování certifikátu:The following list describes the general certificate issuance, security, and formatting requirements:

  • Certifikáty se musí vydávat buď z interní certifikační autority, nebo z veřejné certifikační autority.Certificates must be issued from either an internal certificate authority or a public certificate authority. Pokud se používá Veřejná certifikační autorita, musí být součástí základní image operačního systému v rámci programu Microsoft Trusted root Authority.If a public certificate authority is used, it must be included in the base operating system image as part of the Microsoft Trusted Root Authority Program. Úplný seznam najdete v tématu seznam účastníků – důvěryhodný kořenový program společnosti Microsoft.For the full list, see List of Participants - Microsoft Trusted Root Program.
  • Vaše infrastruktura centra Azure Stack musí mít síťový přístup k umístění seznamu odvolaných certifikátů (CRL) certifikační autority publikovaného v certifikátu.Your Azure Stack Hub infrastructure must have network access to the certificate authority's Certificate Revocation List (CRL) location published in the certificate. Tento seznam odvolaných certifikátů musí být koncovým bodem HTTP.This CRL must be an http endpoint.
  • Při střídání certifikátů v předběžně 1903 sestaveních musí být certifikáty vystavené ze stejné interní certifikační autority, která se používá k podepisování certifikátů poskytovaných při nasazení nebo kterékoli veřejné certifikační autority.When rotating certificates in pre-1903 builds, certificates must be either issued from the same internal certificate authority used to sign certificates provided at deployment or any public certificate authority from above.
  • Při střídání certifikátů pro sestavení 1903 a novějších mohou certifikáty vystavit jakákoli Podniková nebo Veřejná certifikační autorita.When rotating certificates for builds 1903 and later, certificates can be issued by any enterprise or public certificate authority.
  • Použití certifikátů podepsaných svým držitelem není podporováno.The use of self-signed certificates aren't supported.
  • Pro nasazení a rotaci můžete buď použít jeden certifikát, který pokrývá všechny obory názvů v poli název předmětu a alternativní název předmětu (SAN) certifikátu, nebo můžete použít jednotlivé certifikáty pro každý obor názvů pod tím, že služby Azure Stack hub, které hodláte využívat, vyžadují.For deployment and rotation, you can either use a single certificate covering all name spaces in the certificate's Subject Name and Subject Alternative Name (SAN) fields OR you can use individual certificates for each of the namespaces below that the Azure Stack Hub services you plan to utilize require. Oba přístupy vyžadují použití zástupných karet pro koncové body, kde jsou povinné, jako je třeba trezor klíčů a KeyVaultInternal.Both approaches require using wild cards for endpoints where they're required, such as KeyVault and KeyVaultInternal.
  • Algoritmus podpisu certifikátu by neměl být SHA1.The certificate signature algorithm shouldn't be SHA1.
  • Formát certifikátu musí být PFX, protože veřejné i privátní klíče se vyžadují pro Azure Stack instalaci centra.The certificate format must be PFX, as both the public and private keys are required for Azure Stack Hub installation. Privátní klíč musí mít nastaven atribut klíč místního počítače.The private key must have the local machine key attribute set.
  • Šifrování PFX musí být 3DES (Toto šifrování je při exportu z úložiště certifikátů klienta Windows 10 nebo Windows serveru 2016 výchozí.The PFX encryption must be 3DES (this encryption is default when exporting from a Windows 10 client or Windows Server 2016 certificate store).
  • V poli "použití klíče" musí mít soubory PFX s certifikátem hodnotu "Digital Signature" a "KeyEncipherment".The certificate pfx files must have a value "Digital Signature" and "KeyEncipherment" in its "Key Usage" field.
  • Soubory PFX certifikátu musí mít v poli rozšířené použití klíče hodnoty ověřování serveru (1.3.6.1.5.5.7.3.1) a ověřování klientů (1.3.6.1.5.5.7.3.2).The certificate pfx files must have the values "Server Authentication (1.3.6.1.5.5.7.3.1)" and "Client Authentication (1.3.6.1.5.5.7.3.2)" in the "Enhanced Key Usage" field.
  • Pole certifikátu ' vydáno pro: ' nesmí být stejné jako jeho pole ' vydáno uživatelem: '.The certificate's "Issued to:" field must not be the same as its "Issued by:" field.
  • Hesla pro všechny soubory PFX certifikátu musí být v době nasazení stejná.The passwords to all certificate pfx files must be the same at the time of deployment.
  • Heslo k certifikátu PFX musí být složité heslo.Password to the certificate pfx has to be a complex password. Toto heslo si poznamenejte, protože ho použijete jako parametr nasazení.Make note of this password because you'll use it as a deployment parameter. Heslo musí splňovat následující požadavky na složitost hesla:The password must meet the following password complexity requirements:
    • Minimální délka je osm znaků.A minimum length of eight characters.
    • Alespoň tři z následujících znaků: velké písmeno, malé písmeno, číslice od 0-9, speciální znaky, abecední znak, který není velká a malá písmena.At least three of the following characters: uppercase letter, lowercase letter, numbers from 0-9, special characters, alphabetical character that's not uppercase or lowercase.
  • Zajistěte, aby odpovídaly názvům subjektu a alternativním názvům předmětu v příponě alternativního názvu subjektu (x509v3_config).Ensure that the subject names and subject alternative names in the subject alternative name extension (x509v3_config) match. V poli alternativní název subjektu můžete zadat další názvy hostitelů (websites, IP adresy, běžné názvy), které mají být chráněné jedním certifikátem SSL.The subject alternative name field lets you specify additional host names (websites, IP addresses, common names) to be protected by a single SSL certificate.

Poznámka

Certifikáty podepsané svým držitelem nejsou podporovány.Self-signed certificates aren't supported.
Při nasazování centra Azure Stack v odpojeném režimu se doporučuje používat certifikáty vydané podnikovou certifikační autoritou.When deploying Azure Stack Hub in disconnected mode it is recommended to use certificates issued by an enterprise certificate authority. To je důležité, protože klienti přistupující k koncovým bodům centra Azure Stack musí být schopni kontaktovat seznam odvolaných certifikátů (CRL).This is important because clients accessing Azure Stack Hub endpoints must be able to contact the certificate revocation list (CRL).

Poznámka

Je podporována přítomnost zprostředkujících certifikačních autorit v řetězu certifikátů.The presence of Intermediary Certificate Authorities in a certificate's chain-of-trusts is supported.

Povinné certifikátyMandatory certificates

Tabulka v této části popisuje certifikáty PKI veřejného koncového bodu centra Azure Stack, které jsou vyžadovány pro nasazení služby Azure AD a AD FS Azure Stack hub.The table in this section describes the Azure Stack Hub public endpoint PKI certificates that are required for both Azure AD and AD FS Azure Stack Hub deployments. Požadavky na certifikát jsou seskupené podle oblasti a také jako používané obory názvů a certifikáty, které jsou požadovány pro každý obor názvů.Certificate requirements are grouped by area, as well as the namespaces used and the certificates that are required for each namespace. Tabulka také popisuje složku, ve které poskytovatel řešení kopíruje různé certifikáty na veřejný koncový bod.The table also describes the folder in which your solution provider copies the different certificates per public endpoint.

Vyžadují se certifikáty s příslušnými názvy DNS pro každý koncový bod veřejné infrastruktury centra Azure Stack.Certificates with the appropriate DNS names for each Azure Stack Hub public infrastructure endpoint are required. Název DNS každého koncového bodu je vyjádřen ve formátu: < prefix>. <> < oblasti plně kvalifikovaný název domény>.Each endpoint's DNS name is expressed in the format: <prefix>.<region>.<fqdn>.

Pro vaše nasazení musí hodnoty [region] a [externalfqdn] odpovídat oblasti a názvům externích domén, které jste zvolili pro váš systém Azure Stack hub.For your deployment, the [region] and [externalfqdn] values must match the region and external domain names that you chose for your Azure Stack Hub system. Příklad: Pokud byl název oblasti Redmond a externí název domény byl contoso.com, názvy DNS budou mít < předponu formátu>. Redmond.contoso.com.As an example, if the region name was Redmond and the external domain name was contoso.com, the DNS names would have the format <prefix>.redmond.contoso.com. < Předpona> hodnoty jsou předdefinována společností Microsoft, aby popsala koncový bod zabezpečený certifikátem.The <prefix> values are predesignated by Microsoft to describe the endpoint secured by the certificate. Kromě toho je < prefix> hodnoty externích koncových bodů infrastruktury závislý na službě Azure Stack hub, která používá konkrétní koncový bod.In addition, the <prefix> values of the external infrastructure endpoints depend on the Azure Stack Hub service that uses the specific endpoint.

Pro produkční prostředí doporučujeme pro každý koncový bod vygenerovat jednotlivé certifikáty a zkopírovat je do odpovídajícího adresáře.For the production environments, we recommend individual certificates are generated for each endpoint and copied into the corresponding directory. Pro vývojová prostředí je možné certifikáty zadat jako jeden certifikát se zástupným znakem, který pokrývá všechny obory názvů v polích předmět a alternativní název předmětu (SAN) zkopírované do všech adresářů.For development environments, certificates can be provided as a single wildcard certificate covering all namespaces in the Subject and Subject Alternative Name (SAN) fields copied into all directories. Jeden certifikát, který pokrývá všechny koncové body a služby, je nezabezpečený stav, a proto jenom pro vývoj.A single certificate covering all endpoints and services is an insecure posture and hence development-only. Pamatujte si, že obě možnosti vyžadují, abyste použili certifikáty se zástupnými znaky pro koncové body, jako je ACS , a Key Vault tam, kde jsouRemember, both options require you to use wildcard certificates for endpoints like acs and Key Vault where they're required.

Poznámka

Během nasazování musíte zkopírovat certifikáty do složky pro nasazení, která odpovídá zprostředkovateli identity, na který nasazujete (Azure AD nebo AD FS).During deployment, you must copy certificates to the deployment folder that matches the identity provider you're deploying against (Azure AD or AD FS). Pokud používáte jeden certifikát pro všechny koncové body, musíte tento soubor certifikátu zkopírovat do každé složky pro nasazení, jak je uvedeno v následujících tabulkách.If you use a single certificate for all endpoints, you must copy that certificate file into each deployment folder as outlined in the following tables.Struktura složky je předem vytvořená ve virtuálním počítači pro nasazení a je možné ji najít na adrese: C:\CloudDeployment\Setup\Certificates. The folder structure is pre-built in the deployment virtual machine and can be found at: C:\CloudDeployment\Setup\Certificates.

Složka pro nasazeníDeployment folder Požadovaný předmět certifikátu a alternativní názvy subjektu (SAN)Required certificate subject and subject alternative names (SAN) Rozsah (na oblast)Scope (per region) Obor názvů subdoménySubdomain namespace
Veřejný portálPublic Portal portál. <> < oblasti plně kvalifikovaný název domény>portal.<region>.<fqdn> PortályPortals <> < oblasti plně kvalifikovaný název domény><region>.<fqdn>
Portál pro správuAdmin Portal adminportal. <> < oblasti plně kvalifikovaný název domény>adminportal.<region>.<fqdn> PortályPortals <> < oblasti plně kvalifikovaný název domény><region>.<fqdn>
Azure Resource Manager veřejnéAzure Resource Manager Public Správa. <> < oblasti plně kvalifikovaný název domény>management.<region>.<fqdn> Azure Resource ManagerAzure Resource Manager <> < oblasti plně kvalifikovaný název domény><region>.<fqdn>
Správce Azure Resource ManagerAzure Resource Manager Admin adminmanagement. <> < oblasti plně kvalifikovaný název domény>adminmanagement.<region>.<fqdn> Azure Resource ManagerAzure Resource Manager <> < oblasti plně kvalifikovaný název domény><region>.<fqdn>
ACSBlobACSBlob *. blob. <> < oblasti plně kvalifikovaný název domény>*.blob.<region>.<fqdn>
(Zástupný certifikát SSL)(Wildcard SSL Certificate)
Blob StorageBlob Storage objekt BLOB. <> < oblasti plně kvalifikovaný název domény>blob.<region>.<fqdn>
ACSTableACSTable *. Table. <> < oblasti plně kvalifikovaný název domény>*.table.<region>.<fqdn>
(Zástupný certifikát SSL)(Wildcard SSL Certificate)
Table StorageTable Storage Tabulka: <> < oblasti plně kvalifikovaný název domény>table.<region>.<fqdn>
ACSQueueACSQueue *. Queue. <> < oblasti plně kvalifikovaný název domény>*.queue.<region>.<fqdn>
(Zástupný certifikát SSL)(Wildcard SSL Certificate)
Queue StorageQueue Storage Queue. <> < oblasti plně kvalifikovaný název domény>queue.<region>.<fqdn>
KeyVaultKeyVault *. trezor. <> < oblasti plně kvalifikovaný název domény>*.vault.<region>.<fqdn>
(Zástupný certifikát SSL)(Wildcard SSL Certificate)
Key VaultKey Vault trezor. <> < oblasti plně kvalifikovaný název domény>vault.<region>.<fqdn>
KeyVaultInternalKeyVaultInternal *. adminvault. <> < oblasti plně kvalifikovaný název domény>*.adminvault.<region>.<fqdn>
(Zástupný certifikát SSL)(Wildcard SSL Certificate)
Interní Trezor klíčůInternal Keyvault adminvault. <> < oblasti plně kvalifikovaný název domény>adminvault.<region>.<fqdn>
Hostitel rozšíření SprávceAdmin Extension Host *. adminhosting. <region> .<fqdn>*.adminhosting.<region>.<fqdn> (Zástupné certifikáty SSL)(Wildcard SSL Certificates) Hostitel rozšíření SprávceAdmin Extension Host adminhosting. <region> ..<fqdn>adminhosting.<region>.<fqdn>
Hostitel veřejného rozšířeníPublic Extension Host *. hostování. <region> ..<fqdn>*.hosting.<region>.<fqdn> (Zástupné certifikáty SSL)(Wildcard SSL Certificates) Hostitel veřejného rozšířeníPublic Extension Host hostování. <region> ..<fqdn>hosting.<region>.<fqdn>

Pokud nasadíte Azure Stack centrum pomocí režimu nasazení služby Azure AD, stačí, když vyžádáte certifikáty uvedené v předchozí tabulce.If you deploy Azure Stack Hub using the Azure AD deployment mode, you only need to request the certificates listed in previous table. Pokud ale Azure Stack centrum nasazujete pomocí režimu nasazení AD FS, musíte si taky vyžádat certifikáty popsané v následující tabulce:But, if you deploy Azure Stack Hub using the AD FS deployment mode, you must also request the certificates described in the following table:

Složka pro nasazeníDeployment folder Požadovaný předmět certifikátu a alternativní názvy subjektu (SAN)Required certificate subject and subject alternative names (SAN) Rozsah (na oblast)Scope (per region) Obor názvů subdoménySubdomain namespace
ADFSADFS službou. <> < oblasti plně kvalifikovaný název domény>adfs.<region>.<fqdn>
(Certifikát SSL)(SSL Certificate)
ADFSADFS <> < oblasti plně kvalifikovaný název domény><region>.<fqdn>
GraphGraph zapisovací. <> < oblasti plně kvalifikovaný název domény>graph.<region>.<fqdn>
(Certifikát SSL)(SSL Certificate)
GraphGraph <> < oblasti plně kvalifikovaný název domény><region>.<fqdn>

Důležité

Všechny certifikáty uvedené v této části musí mít stejné heslo.All the certificates listed in this section must have the same password.

Volitelné certifikáty PaaSOptional PaaS certificates

Pokud plánujete nasadit další služby centra Azure Stack PaaS (jako je SQL, MySQL, App Service nebo Event Hubs) po nasazení a konfiguraci centra Azure Stack, musíte požádat o další certifikáty, abyste pokryli koncové body služeb PaaS.If you're planning to deploy the additional Azure Stack Hub PaaS services (such as SQL, MySQL, App Service, or Event Hubs) after Azure Stack Hub has been deployed and configured, you must request additional certificates to cover the endpoints of the PaaS services.

Důležité

Certifikáty, které používáte pro poskytovatele prostředků, musí mít stejnou kořenovou autoritu jako ty, které se používají pro koncové body globálního centra Azure Stack.The certificates that you use for resource providers must have the same root authority as those used for the global Azure Stack Hub endpoints.

Následující tabulka obsahuje popis koncových bodů a certifikátů vyžadovaných pro poskytovatele prostředků.The following table describes the endpoints and certificates required for resource providers. Tyto certifikáty nemusíte kopírovat do složky pro nasazení centra Azure Stack.You don't need to copy these certificates to the Azure Stack Hub deployment folder. Místo toho tyto certifikáty zadáte během instalace poskytovatele prostředků.Instead, you provide these certificates during resource provider installation.

Rozsah (na oblast)Scope (per region) CertifikátCertificate Požadovaný předmět certifikátu a alternativní názvy subjektu (San)Required certificate subject and Subject Alternative Names (SANs) Obor názvů subdoménySubdomain namespace
App ServiceApp Service Výchozí certifikát SSL pro webový provozWeb Traffic Default SSL Cert *. AppService. <> < oblasti plně kvalifikovaný název domény>*.appservice.<region>.<fqdn>
*. SCM. AppService. <> < oblasti plně kvalifikovaný název domény>*.scm.appservice.<region>.<fqdn>
*. SSO. AppService. <> < oblasti plně kvalifikovaný název domény>*.sso.appservice.<region>.<fqdn>
(Certifikát SSL s více doménovými znaky1)(Multi Domain Wildcard SSL Certificate1)
AppService. <> < oblasti plně kvalifikovaný název domény>appservice.<region>.<fqdn>
SCM. AppService. <> < oblasti plně kvalifikovaný název domény>scm.appservice.<region>.<fqdn>
App ServiceApp Service Rozhraní APIAPI API. AppService. <> < oblasti plně kvalifikovaný název domény>api.appservice.<region>.<fqdn>
(Certifikát SSL2)(SSL Certificate2)
AppService. <> < oblasti plně kvalifikovaný název domény>appservice.<region>.<fqdn>
SCM. AppService. <> < oblasti plně kvalifikovaný název domény>scm.appservice.<region>.<fqdn>
App ServiceApp Service FTPFTP FTP. AppService. <> < oblasti plně kvalifikovaný název domény>ftp.appservice.<region>.<fqdn>
(Certifikát SSL2)(SSL Certificate2)
AppService. <> < oblasti plně kvalifikovaný název domény>appservice.<region>.<fqdn>
SCM. AppService. <> < oblasti plně kvalifikovaný název domény>scm.appservice.<region>.<fqdn>
App ServiceApp Service Jednotné přihlašováníSSO SSO. AppService. <> < oblasti plně kvalifikovaný název domény>sso.appservice.<region>.<fqdn>
(Certifikát SSL2)(SSL Certificate2)
AppService. <> < oblasti plně kvalifikovaný název domény>appservice.<region>.<fqdn>
SCM. AppService. <> < oblasti plně kvalifikovaný název domény>scm.appservice.<region>.<fqdn>
Event HubsEvent Hubs SSLSSL *. eventhub. <> < oblasti plně kvalifikovaný název domény>*.eventhub.<region>.<fqdn>
(Zástupný certifikát SSL)(Wildcard SSL Certificate)
eventhub. <> < oblasti plně kvalifikovaný název domény>eventhub.<region>.<fqdn>
IoT HubIoT Hub SSLSSL *. mgmtiothub. <> < oblasti plně kvalifikovaný název domény>*.mgmtiothub.<region>.<fqdn>
(Zástupný certifikát SSL)(Wildcard SSL Certificate)
mgmtiothub. <> < oblasti plně kvalifikovaný název domény>mgmtiothub.<region>.<fqdn>
SQL, MySQLSQL, MySQL SQL a MySQLSQL and MySQL *. dbadapter. <> < oblasti plně kvalifikovaný název domény>*.dbadapter.<region>.<fqdn>
(Zástupný certifikát SSL)(Wildcard SSL Certificate)
dbadapter. <> < oblasti plně kvalifikovaný název domény>dbadapter.<region>.<fqdn>

1 vyžaduje jeden certifikát s více alternativními názvy subjektu zástupného znaku.1 Requires one certificate with multiple wildcard subject alternative names. Všechny veřejné certifikační autority nemusí podporovat více než jeden zástupný znak sítě SAN na jednom certifikátu.Multiple wildcard SANs on a single certificate might not be supported by all public certificate authorities.

2 *. AppService. <> < oblasti plně kvalifikovaný název domény> zástupný certifikát se nedá použít místo těchto tří certifikátů (API. AppService.<> < oblasti plně kvalifikovaný název domény>, FTP. AppService. <> < oblasti plně kvalifikovaný název domény> a SSO. AppService. <> < oblasti plně kvalifikovaný název domény>.2 A *.appservice.<region>.<fqdn> wildcard certificate can't be used in place of these three certificates (api.appservice.<region>.<fqdn>, ftp.appservice.<region>.<fqdn>, and sso.appservice.<region>.<fqdn>. AppService explicitně vyžaduje použití samostatných certifikátů pro tyto koncové body.Appservice explicitly requires the use of separate certificates for these endpoints.

Další informaceLearn more

Naučte se generovat certifikáty PKI pro nasazení centra Azure Stack.Learn how to generate PKI certificates for Azure Stack Hub deployment.

Další krokyNext steps

Integrujte AD FS identity s vašímdatovým centrem centra Azure Stack.Integrate AD FS identity with your Azure Stack Hub datacenter.