Fernzugriff aus dem Intranet mit TLS/SSL-Zertifikat aktivieren (Erweitert)

  • Artikel

In diesem Tutorial erfahren Sie, wie Sie eine selbst gehostete Integrationslaufzeit mit mehreren lokalen Rechnern einrichten und den Fernzugriff aus dem Intranet mit TLS/SSL-Zertifikat (Advanced) aktivieren, um die Kommunikation zwischen den Knoten der Integrationslaufzeit zu sichern.

Voraussetzungen

  • Eine Einführung in SSL/TLS Strong Encryption.
  • Das Zertifikat könnte ein allgemeines TLS-Zertifikat für einen Webserver sein. Anforderungen:
    • Das Zertifikat muss ein öffentlich vertrauenswürdiges Zertifikat vom Typ „X509 v3“ sein. Wir empfehlen Ihnen die Verwendung von Zertifikaten, die von einer öffentlichen Zertifizierungsstelle für Partner ausgestellt werden.
    • Jeder Integration Runtime-Knoten muss diesem Zertifikat vertrauen.
    • Wir empfehlen Subject Alternative Name (SAN)-Zertifikate, da alle vollständig qualifizierten Domänennamen (FQDN) von Integrationslaufzeitknoten durch dieses Zertifikat gesichert werden müssen. (WCF TLS/SSL validate only check last DNS Name in SAN wurde in .NET Framework 4.6.1 behoben. Weitere Informationen finden Sie unter Entschärfung: X509CertificateClaimSet.FindClaims-Methode.)
    • Wildcard-Zertifikate (*) werden nicht unterstützt.
    • Das Zertifikat muss einen privaten Schlüssel enthalten (wie im PFX-Format).
    • Für das Zertifikat können alle Schlüsselgrößen verwendet werden, die von Windows Server 2012 R2 für TLS/SSL-Zertifikate unterstützt werden.
    • Wir unterstützen bisher nur CSP-Zertifikate (Cryptographic Service Provider). Zertifikate, die CNG-Schlüssel (Key Storage Provider) verwenden, werden nicht unterstützt.

Schritte

  1. Führen Sie den folgenden PowerShell-Befehl auf allen Computern aus, um ihre FQDNs abzurufen:

    [System.Net.Dns]::GetHostByName("localhost").HostName

    Die FQDNs lauten zum Beispiel node1.domain.contoso.com und node2.domain.contoso.com.

  2. Erzeugen Sie ein Zertifikat mit den FQDNs aller Rechner im Subject Alternative Name.

    Screenshot: Generieren des Zertifikats im alternativen Antragstellernamen.

  3. Installieren Sie das Zertifikat auf allen Knoten auf Lokale Maschine ->Persönlich, damit es im Konfigurationsmanager der Integrationslaufzeit ausgewählt werden kann:

    1. Klicken Sie auf das Zertifikat und installieren Sie es.

    2. Wählen Sie Lokales Gerät und geben Sie das Passwort ein.

      Screenshot: Auswählen eines lokalen Computers.

    3. Wählen Sie Alle Zertifikate im folgenden Speicher ablegen. Klicken Sie auf Durchsuchen. Wählen Sie Persönlich.

    4. Wählen Sie Fertigstellen, um das Zertifikat zu installieren.

  4. Aktivieren Sie den Fernzugriff vom Intranet aus:

    1. Während der Registrierung des selbst gehosteten Integrationslaufzeitknotens:

      1. Wählen Sie Fernzugriff vom Intranet aktivieren und wählen Sie Weiter.

        Screenshot: Aktivieren des Remotezugriffs über das Intranet.

      2. Stellen Sie den Tcp Port ein (standardmäßig 8060). Stellen Sie sicher, dass der Port in der Firewall offen ist.

      3. Klicken Sie auf Auswählen. Wählen Sie im Pop-up-Fenster das richtige Zertifikat und wählen Sie Fertigstellen.

        Screenshot: Auswählen eines Zertifikats.

    2. Nachdem der selbst gehostete Integrations-Laufzeitknoten registriert ist:

      Hinweis

      Die selbst gehostete Integrationslaufzeit kann die Fernzugriffseinstellungen nur ändern, wenn sie über einen einzelnen Knoten verfügt, was beabsichtigt ist. Andernfalls kann das Optionsfeld nicht markiert werden.

      Screenshot: Aktivieren mit TLS/SSL-Zertifikat (Erweitert).

      1. Gehen Sie zu selbst gehostetem Integration Runtime Configuration Manager ->Einstellungen ->Fernzugriff vom Intranet. Klicken Sie auf Ändern.

      2. Wählen Sie Mit TLS/SSL-Zertifikat aktivieren (Erweitert).

      3. Klicken Sie auf Auswählen. Wählen Sie im Pop-up-Fenster das richtige Zertifikat und wählen Sie OK.

        Screenshot: Auswählen eines Zertifikats.

    3. Überprüfen Sie die Fernzugriffseinstellungen im selbst gehosteten Integration Runtime Configuration Manager.

      Screenshot: Überprüfen der Remote-Zugriffseinstellungen in Schritt 1 der selbstgehosteten Integration Runtime Configuration Manager.

      Screenshot: Überprüfen der Remote-Zugriffseinstellungen in Schritt 2 der selbstgehosteten Integration Runtime Configuration Manager.

  5. Verwendung eines selbstsignierten Zertifikats, wenn Sie kein öffentlich vertrauenswürdiges Zertifikat haben:

    1. Erzeugen und exportieren Sie ein selbstsigniertes Zertifikat (dieser Schritt kann übersprungen werden, wenn Sie das Zertifikat bereits besitzen):

      1. Generieren Sie ein selbstsigniertes Zertifikat über PowerShell (mit erhöhten Rechten):

        New-SelfSignedCertificate -DnsName contoso.com, node1.domain.contoso.com, node2.domain.contoso.com -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" -CertStoreLocation cert:\LocalMachine\My

      2. Um das generierte Zertifikat mit einem privaten Schlüssel in eine passwortgeschützte PFX-Datei zu exportieren, benötigen Sie dessen Thumbprint. Sie kann aus den Ergebnissen des Befehls New-SelfSignedCertificate kopiert werden. Zum Beispiel ist es CEB5B4372AA7BF877E56BCE27542F9F0A1AD197F.

      3. Exportieren Sie das generierte Zertifikat mit dem privaten Schlüssel über PowerShell (mit erhöhten Rechten):

        $CertPassword = ConvertTo-SecureString -String “Password” -Force -AsPlainText
Export-PfxCertificate -Cert
cert:\LocalMachine\My\CEB5B4372AA7BF877E56BCE27542F9F0A1AD197F -FilePath C:\self-signedcertificate.pfx -Password $CertPassword

      4. Sie haben das Zertifikat mit dem privaten Schlüssel nach C:\self-signedcertificate.pfx exportiert.

    2. Installieren Sie das Zertifikat auf allen Knoten nach: Lokaler Rechner ->Speicher für vertrauenswürdige Stammzertifizierungsstellen:

      1. Klicken Sie auf das Zertifikat und installieren Sie es.
      2. Wählen Sie Lokales Gerät und geben Sie das Passwort ein.
      3. Wählen Sie Alle Zertifikate im folgenden Speicher ablegen. Klicken Sie auf Durchsuchen. Wählen Sie Vertraute Stammzertifizierungsstellen.
      4. Wählen Sie Fertigstellen, um das Zertifikat zu installieren.

      Screenshot: Installieren des Zertifikats auf allen Knoten.

  6. Problembehandlung

    1. Überprüfen Sie, ob das Zertifikat im Zielspeicher vorhanden ist:

      1. Befolgen Sie diese Prozedur Anleitung: Anzeigen von Zertifikaten mit dem MMC-Snap-In - WCF zum Anzeigen von Zertifikaten (Lokaler Computer) im MMC-Snap-In.

        Screenshot: Anzeigen von Zertifikaten im MMC-Snap-In.

      2. Bestätigen Sie, dass das Zertifikat im Speicher Persönlich und Vertraute Stammzertifizierungsstellen installiert ist (wenn es sich um ein selbstsigniertes Zertifikat handelt).

        Screenshot: Das Zertifikat, das im Speicher der persönlichen und vertrauenswürdigen Stammzertifizierungsstellen installiert ist.

    2. Überprüfen Sie, ob das Zertifikat einen privaten Schlüssel hat und nicht abgelaufen ist.

      Screenshot: Überprüfen, ob das Zertifikat über einen privaten Schlüssel verfügt und nicht abgelaufen ist.

    3. Stellen Sie sicher, dass das Dienstkonto für die selbst gehostete Integrationslaufzeit (Standardkonto ist NT SERVICE\DIAHostService) Leseberechtigung für die privaten Schlüssel des Zertifikats hat:

      1. Rechtsklick auf das Zertifikat ->Alle Aufgaben ->Private Schlüssel verwalten.

      2. Wenn nein, erteilen Sie die Erlaubnis, Anwenden und speichern.

        Screenshot: Das Dienstkonto für die selbstgehostete Integration Runtime verfügt über Leseberechtigung für die privaten Schlüssel des Zertifikats.