CMG-Serverauthentifizierungszertifikat

  • Artikel
  • 6 Minuten Lesedauer

Gilt für: Configuration Manager (Current Branch)

Der erste Schritt beim Einrichten eines Cloudverwaltungsgateways (CMG) besteht darin, das Serverauthentifizierungszertifikat abzurufen. Das CMG erstellt einen HTTPS-Dienst, mit dem internetbasierte Clients verbunden sind. Der Server benötigt ein Serverauthentifizierungszertifikat, um den sicheren Kanal zu erstellen. Sie können ein Zertifikat zu diesem Zweck von einem öffentlichen Anbieter erwerben oder es über Ihre Public Key-Infrastruktur (PKI) ausstellen.

Wenn Sie die CMG in der Configuration Manager Konsole erstellen, stellen Sie dieses Zertifikat bereit. Der allgemeine Name (Common Name, CN) dieses Zertifikats definiert den Dienstnamen der CMG.

Hinweis

Möglicherweise benötigen Sie zusätzliche Zertifikate für Clients und Verwaltungspunkte. Diese Zertifikate werden im dritten Schritt des CMG-Setupprozesses , Konfigurieren der Clientauthentifizierung" behandelt.

Eine Erinnerung an einige CMG-Terminologie, die in diesem Artikel verwendet wird:

  • Dienstname: Der allgemeine Name (CN) des CMG-Serverauthentifizierungszertifikats. Clients und die CMG-Verbindungspunkt-Standortsystemrolle kommunizieren mit diesem Dienstnamen. Zum Beispiel GraniteFalls.contoso.com oder GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Bereitstellungsname: Der erste Teil des Dienstnamens sowie der Azure-Standort für die Clouddienstbereitstellung. Die Cloud Service Manager-Komponente des Dienstverbindungspunkts verwendet diesen Namen, wenn sie die CMG in Azure bereitstellt. Der Bereitstellungsname befindet sich immer in einer Azure-Domäne. Der Azure-Standort hängt von der Bereitstellungsmethode ab, z. B.:

    • Skalierungssatz für virtuelle Computer: GraniteFalls.WestUS.CloudApp.Azure.Com
    • Klassische Bereitstellung: GraniteFalls.CloudApp.Net

    Wichtig

    In diesem Artikel werden Beispiele mit einer Vm-Skalierungsgruppe als empfohlene Bereitstellungsmethode in Version 2107 und höher verwendet. Wenn Sie eine klassische Bereitstellung verwenden, beachten Sie den Unterschied, während Sie diesen Artikel lesen und das Serverauthentifizierungszertifikat vorbereiten.

Auswählen des Zertifikattyps

Entscheiden Sie zunächst, wo Das Zertifikat abgerufen werden soll. Es gibt mehrere Faktoren zu berücksichtigen.

Clients müssen dem CMG-Serverauthentifizierungszertifikat vertrauen, um den HTTPS-Kanal mit dem CMG-Dienst einzurichten. Es gibt zwei Methoden, um diese Vertrauensstellung zu erreichen:

  1. Verwenden Sie ein Zertifikat von einem öffentlichen und global vertrauenswürdigen Zertifikatanbieter.

    • Windows Clients umfassen vertrauenswürdige Stammzertifizierungsstellen (CAs) von diesen Anbietern. Durch die Verwendung eines Zertifikats, das von einem dieser Anbieter ausgestellt wurde, vertrauen Ihre Clients dem Zertifikat automatisch.

    • Mit diesem Zertifikat sind Kosten verbunden, die für den Anbieter spezifisch sind.

  2. Verwenden Sie ein Zertifikat, das von einer Unternehmenszertifizierungsstelle aus Ihrer Public Key-Infrastruktur (PKI) ausgestellt wurde.

    • Die meisten PKI-Implementierungen des Unternehmens fügen die vertrauenswürdigen Stamm-CAs Windows Clients hinzu. Wenn Sie z. B. Active Directory-Zertifikatdienste mit Gruppenrichtlinien verwenden. Wenn Sie das CMG-Serverauthentifizierungszertifikat von einer Zertifizierungsstelle ausstellen, dem Ihre Clients nicht automatisch vertrauen, fügen Sie das vertrauenswürdige Stammzertifikat der Zertifizierungsstelle zu internetbasierten Clients hinzu.

      Wenn Sie den Configuration Manager-Client aus Intune installieren möchten, können Sie auch Intune Zertifikatprofile verwenden, um Zertifikate auf Clients bereitzustellen. Weitere Informationen finden Sie unter Konfigurieren eines Zertifikatprofils.

    • Ihre Organisation hat möglicherweise interne Kosten für die Ausstellung von Zertifikaten, aber im Allgemeinen sind keine externen Kosten mit diesem Zertifikat verbunden.

Wichtig

Bevor Sie dieses Zertifikat erhalten, stellen Sie sicher, dass der Dienstname für den Clouddienst und das Speicherkonto global eindeutig ist. Stellen Sie außerdem sicher, dass für den Namen unterstützte Zeichen verwendet werden. Weitere Informationen finden Sie unter "Global eindeutiger Name".

Zusammenfassungsvergleich der Zertifikattypen

Öffentlicher Anbieter Enterprise-PKI
Clientvertrauensstellung Standardmäßig in Windows vertrauenswürdig Automatisch mit einigen Implementierungen, andernfalls müssen sie bereitgestellt werden
Cost Ja Nicht typisch
Beispiel für Dienstname GraniteFalls.contoso.com GraniteFalls.contoso.com oder GraniteFalls.WestUS.CloudApp.Azure.Com
DNS-CNAME erforderlich Ja Nein für Azure-Domänendienstname (GraniteFalls.WestUS.CloudApp.Azure.Com)

Hinweis

Das CMG-Serverauthentifizierungszertifikat unterstützt Platzhalter. Einige Zertifizierungsstellen stellen Zertifikate mithilfe eines Platzhalterzeichens für das Präfix des Dienstnamens aus. Beispiel: *.contoso.com. Einige Organisationen verwenden Platzhalterzertifikate, um ihre PKI zu vereinfachen und Wartungskosten zu senken.

Weitere Informationen zur Verwendung eines Platzhalterzertifikats mit einem CMG finden Sie unter Einrichten einer CMG.

Global eindeutiger Name

Dieses Zertifikat erfordert einen global eindeutigen Namen, um den Dienst in Azure zu identifizieren. Bevor Sie ein Zertifikat anfordern, vergewissern Sie sich, dass der gewünschte Azure-Bereitstellungsname eindeutig ist. Beispiel: GraniteFalls.WestUS.CloudApp.Azure.Com.

Skalierungssatz für virtuelle Computer

  1. Melden Sie sich beim Azure-Portal an.

  2. Wählen Sie auf der Azure-Portal Startseite unter Azure-Dienste die Option "Ressource erstellen" aus.

  3. Suchen Sie nach der Vm-Skalierungsgruppe. Wählen Sie Erstellen aus.

  4. Wählen Sie die Gruppe "Abonnement und Ressource " aus, die Sie für die CMG verwenden möchten.

  5. Geben Sie im Feld "Name der Vm-Skalierungsgruppe " das gewünschte Präfix ein. Beispiel: GraniteFalls.

  6. Wählen Sie die Region aus, die Sie für die CMG verwenden möchten. Beispiel: (US) West US.

Die Schnittstelle gibt an, ob der Domänenname verfügbar ist oder bereits von einem anderen Dienst verwendet wird.

Wichtig

Erstellen Sie den Dienst nicht im Portal, verwenden Sie einfach diesen Prozess, um die Verfügbarkeit des Namens zu überprüfen.

Wiederholen Sie diesen Vorgang für die Key Vault Ressource. Die Bereitstellung von Skalierungssätzen für virtuelle Computer erstellt einen Schlüsseltresor mit demselben Namen, der auch global eindeutig sein muss.

Inhaltsfähiges CMG-Speicherkonto

Wenn Sie die CMG auch für Inhalte aktivieren, vergewissern Sie sich, dass es sich auch um einen eindeutigen Azure-Speicherkontonamen handelt. Wenn der CMG-Bereitstellungsname eindeutig ist, das Speicherkonto jedoch nicht, Configuration Manager den Dienst nicht in Azure bereitstellen. Wiederholen Sie den obigen Prozess im Azure-Portal mit den folgenden Änderungen:

  • Suchen Sie nach Storage Konto.

  • Testen Sie Ihren Namen im Feld Storage Kontonamens.

Wichtig

Das DNS-Namenspräfix sollte 3 bis 24 Zeichen lang sein und nur Zahlen und Kleinbuchstaben enthalten. Verwenden Sie keine Sonderzeichen, z. B. einen Gedankenstrich (-). Zum Beispiel: granitefalls.

Ausstellen des Zertifikats

Das CMG-Serverauthentifizierungszertifikat unterstützt die folgenden Konfigurationen:

  • 2048-Bit- oder 4096-Bit-Tastenlänge

  • Dieses Zertifikat unterstützt Schlüsselspeicheranbieter für private Zertifikatschlüssel (v3). Weitere Informationen finden Sie in der Übersicht über CNG v3-Zertifikate.

Verwenden eines öffentlichen Anbieterzertifikats

Ein Drittanbieter-Zertifikatanbieter kann kein Zertifikat für eine Azure-Domäne wie cloudapp.azure.comdiesen erstellen, da Microsoft diese Domänen besitzt. Sie können nur ein Zertifikat für eine Domäne erhalten, die Sie besitzen. Der Hauptgrund für den Erwerb eines Zertifikats von einem Drittanbieter ist, dass Ihre Clients dem Stammzertifikat dieses Anbieters bereits vertrauen.

Der spezifische Prozess zum Abrufen dieses Zertifikats variiert je nach Anbieter. Weitere Informationen erhalten Sie von Ihrem Drittanbieter für Zertifikatanbieter.

Für den gemeinsamen Namen des Webserverzertifikats (Common Name, CN):

  • Sie haben sichergestellt, dass der Bereitstellungsname in Azure für den Clouddienst und das Speicherkonto global eindeutig ist. Beispiel: GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Um den Dienstnamen zu ermitteln, fügen Sie das Bereitstellungsnamenpräfix (GraniteFalls) an den Domänennamen (contoso.com) Ihrer Organisation an.

  • Verwenden Sie diesen Dienstnamen für den gemeinsamen Zertifikatnamen (CN). Beispiel: GraniteFalls.contoso.com.

Als Nächstes müssen Sie einen DNS-CNAME-Alias erstellen.

Verwenden eines Unternehmens-PKI-Zertifikats

Das Ausstellen eines Webserverzertifikats von der PKI Ihrer Organisation variiert je nach Produkt. Die Anweisungen zum Bereitstellen des Dienstzertifikats für cloudbasierte Verteilungspunkte gelten für Active Directory-Zertifikatdienste. Dieser Vorgang gilt im Allgemeinen für das CMG-Serverauthentifizierungszertifikat.

Für den gemeinsamen Namen des Webserverzertifikats (Common Name, CN):

  • Sie haben sichergestellt, dass der Bereitstellungsname in Azure für den Clouddienst und das Speicherkonto global eindeutig ist. Beispiel: GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Um den Dienstnamen zu ermitteln, haben Sie zwei Optionen:

    • Verwenden Sie Ihren Domänennamen (empfohlen). Fügen Sie das Bereitstellungsnamenpräfix (GraniteFalls) an den Domänennamen (contoso.com) Ihrer Organisation an. Beispiel: GraniteFalls.contoso.com. Für diese Option müssen Sie auch einen DNS-CNAME-Alias erstellen.

    • Verwenden Sie den Azure-Bereitstellungsnamen. Für diese Option ist kein DNS-CNAME-Alias erforderlich. Beispiel:

      • Für die öffentliche Azure-Cloud: GraniteFalls.WestUS.CloudApp.Azure.Com.

      • Für die Azure US Government-Cloud: GraniteFalls.usgovcloudapp.net.

      Hinweis

      Wenn sich der Name der Azure-Bereitstellung ändert, müssen Sie den Dienst erneut bereitstellen, um diesen Dienstnamen zu ändern. Wenn sich Ihr Dienstname beispielsweise in der cloudapp.net Domäne befindet, können Sie die klassische Clouddienst-CMG nicht in eine Vm-Skalierungsgruppe konvertieren. Wenn Sie Ihren Domänennamen für den CMG-Dienstnamen verwenden, können Sie den DNS-CNAME für den neuen Bereitstellungsnamen aktualisieren.

  • Verwenden Sie diesen Dienstnamen für den gemeinsamen Zertifikatnamen (CN).

Erstellen eines DNS-CNAME-Alias

Wenn der CMG-Dienstname den DomänennamenGraniteFalls.contoso.com () Ihrer Organisation verwendet, müssen Sie einen DNS-Eintrag für kanonische Namen (CNAME) erstellen. Dieser Alias ordnet den Dienstnamen dem Bereitstellungsnamen zu.

Erstellen Sie einen CNAME-Eintrag im öffentlichen DNS Ihrer Organisation. Der CMG-Dienst in Azure und alle Clients, die ihn verwenden, müssen den Dienstnamen auflösen. Beispiel:

  • Contoso benennt seine CMG GraniteFalls.

  • Der Bereitstellungsname in Azure lautet GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Im öffentlichen DNS-Namespace von Contoso erstellt der DNS-Administrator einen neuen CNAME-Eintrag für den Dienstnamen GraniteFalls.contoso.com im Azure-Bereitstellungsnamen.contoso.com GraniteFalls.WestUS.CloudApp.Azure.Com

Wenn Sie die CMG erstellen, während das Zertifikat GraniteFalls.contoso.com als CN verwendet wird, extrahiert Configuration Manager nur das Präfix des Dienstnamens, z. B.: GraniteFalls. Es fügt dieses Präfix an die Azure-Dienstdomäne (cloudapp.azure.com) mit der Region (westus) an, um den Bereitstellungsnamen zu erstellen. Beispiel: GraniteFalls.WestUS.CloudApp.Azure.Com. Der CNAME-Alias im DNS-Namespace für Ihre Domäne (contoso.com) ordnet diese beiden FQDNs zu.

Die Configuration Manager Clientrichtlinie enthält den CMG-Dienstnamen. GraniteFalls.contoso.com Der Client löst den Dienstnamen über den CNAME-Alias in den Bereitstellungsnamen auf. GraniteFalls.WestUS.CloudApp.Azure.Com Anschließend kann die IP-Adresse des Bereitstellungsnamens aufgelöst werden, um mit dem Dienst in Azure zu kommunizieren.

Nächste Schritte

Setzen Sie das CMG-Setup fort, indem Sie Azure Active Directory (Azure AD) konfigurieren:

Konfigurieren von Azure AD