Önálló fürt védelme Windows rendszeren X.509-tanúsítványokkal
Ez a cikk az önálló Windows-fürt különböző csomópontjai közötti kommunikáció biztonságossá tételét ismerteti. Azt is ismerteti, hogyan hitelesítheti azokat az ügyfeleket, amelyek X.509-tanúsítványokkal csatlakoznak ehhez a fürthöz. A hitelesítés biztosítja, hogy csak a jogosult felhasználók férhessenek hozzá a fürthöz és az üzembe helyezett alkalmazásokhoz, és felügyeleti feladatokat végezzenek el. A fürt létrehozásakor engedélyezni kell a tanúsítványbiztonságot a fürtön.
A fürtbiztonságról, például a csomópontok közötti biztonságról, az ügyfél-csomópontok közötti biztonságról és a szerepköralapú hozzáférés-vezérlésről további információt a Fürtbiztonsági forgatókönyvek című témakörben talál.
Milyen tanúsítványokra van szüksége?
Először töltse le a Service Fabric for Windows Server csomagot a fürt egyik csomópontjára. A letöltött csomagban található egy ClusterConfig.X509.MultiMachine.json fájl. Nyissa meg a fájlt, és tekintse át a biztonsági szakaszt a tulajdonságok szakaszban:
"security": {
"metadata": "The Credential type X509 indicates this cluster is secured by using X509 certificates. The thumbprint format is d5 ec 42 3b 79 cb e5 07 fd 83 59 3c 56 b9 d5 31 24 25 42 64.",
"ClusterCredentialType": "X509",
"ServerCredentialType": "X509",
"CertificateInformation": {
"ClusterCertificate": {
"Thumbprint": "[Thumbprint]",
"ThumbprintSecondary": "[Thumbprint]",
"X509StoreName": "My"
},
"ClusterCertificateCommonNames": {
"CommonNames": [
{
"CertificateCommonName": "[CertificateCommonName]",
"CertificateIssuerThumbprint": "[Thumbprint1,Thumbprint2,Thumbprint3,...]"
}
],
"X509StoreName": "My"
},
"ClusterCertificateIssuerStores": [
{
"IssuerCommonName": "[IssuerCommonName]",
"X509StoreNames" : "Root"
}
],
"ServerCertificate": {
"Thumbprint": "[Thumbprint]",
"ThumbprintSecondary": "[Thumbprint]",
"X509StoreName": "My"
},
"ServerCertificateCommonNames": {
"CommonNames": [
{
"CertificateCommonName": "[CertificateCommonName]",
"CertificateIssuerThumbprint": "[Thumbprint1,Thumbprint2,Thumbprint3,...]"
}
],
"X509StoreName": "My"
},
"ServerCertificateIssuerStores": [
{
"IssuerCommonName": "[IssuerCommonName]",
"X509StoreNames" : "Root"
}
],
"ClientCertificateThumbprints": [
{
"CertificateThumbprint": "[Thumbprint]",
"IsAdmin": false
},
{
"CertificateThumbprint": "[Thumbprint]",
"IsAdmin": true
}
],
"ClientCertificateCommonNames": [
{
"CertificateCommonName": "[CertificateCommonName]",
"CertificateIssuerThumbprint": "[Thumbprint1,Thumbprint2,Thumbprint3,...]",
"IsAdmin": true
}
],
"ClientCertificateIssuerStores": [
{
"IssuerCommonName": "[IssuerCommonName]",
"X509StoreNames": "Root"
}
]
"ReverseProxyCertificate": {
"Thumbprint": "[Thumbprint]",
"ThumbprintSecondary": "[Thumbprint]",
"X509StoreName": "My"
},
"ReverseProxyCertificateCommonNames": {
"CommonNames": [
{
"CertificateCommonName": "[CertificateCommonName]"
}
],
"X509StoreName": "My"
}
}
},
Ez a szakasz az önálló Windows-fürt védelméhez szükséges tanúsítványokat ismerteti. Ha fürttanúsítványt ad meg, állítsa a ClusterCredentialType értékét X509 értékre. Ha külső kapcsolatokhoz kiszolgálótanúsítványt ad meg, állítsa a ServerCredentialType értéket X509 értékre. Bár nem kötelező, javasoljuk, hogy mindkét tanúsítvánnyal rendelkezzen egy megfelelően biztonságos fürthöz. Ha ezeket az értékeket X509 értékre állítja, meg kell adnia a megfelelő tanúsítványokat is, vagy a Service Fabric kivételt jelez. Bizonyos esetekben előfordulhat, hogy csak a ClientCertificateThumbprints vagy a ReverseProxyCertificate paramétert szeretné megadni. Ezekben a forgatókönyvekben nem kell X509 értékre állítania a ClusterCredentialType vagy a ServerCredentialType értéket.
Megjegyzés
Az ujjlenyomat egy tanúsítvány elsődleges identitása. A létrehozott tanúsítványok ujjlenyomatának megtekintéséhez lásd: Tanúsítvány ujjlenyomatának lekérése.
Az alábbi táblázat felsorolja a fürt beállításához szükséges tanúsítványokat:
| CertificateInformation beállítás | Leírás |
|---|---|
| ClusterCertificate | Tesztkörnyezethez ajánlott. Ez a tanúsítvány szükséges a fürt csomópontjai közötti kommunikáció védelméhez. A frissítéshez két különböző tanúsítványt használhat, egy elsődleges és egy másodlagos tanúsítványt. Állítsa be az elsődleges tanúsítvány ujjlenyomatát az Ujjlenyomat szakaszban, valamint a másodlagos ujjlenyomatot a ThumbprintSecondary változókban. |
| ClusterCertificateCommonNames | Éles környezetben ajánlott. Ez a tanúsítvány szükséges a fürt csomópontjai közötti kommunikáció védelméhez. Használhat egy vagy két gyakori fürttanúsítvány-nevet. A CertificateIssuerThumbprint a tanúsítvány kiállítójának ujjlenyomatának felel meg. Ha több, azonos köznapi nevű tanúsítványt használ, több kiállítói ujjlenyomatot is megadhat. |
| ClusterCertificateIssuerStores | Éles környezetben ajánlott. Ez a tanúsítvány megfelel a fürttanúsítvány kiállítójának. Ebben a szakaszban megadhatja a kiállító köznapi nevét és a megfelelő tároló nevét ahelyett, hogy a ClusterCertificateCommonNames alatt adja meg a kiállító ujjlenyomatát. Ez megkönnyíti a fürtkibocsátó tanúsítványok átállítását. Több kiállító is megadható, ha több fürttanúsítványt használ. Az üres IssuerCommonName az X509StoreNames alatt megadott megfelelő tárolókban lévő összes tanúsítványt engedélyezi. |
| ServerCertificate | Tesztkörnyezethez ajánlott. Ez a tanúsítvány jelenik meg az ügyfélnek, amikor megpróbál csatlakozni ehhez a fürthöz. A kényelem érdekében használhatja ugyanazt a tanúsítványt a ClusterCertificate és a ServerCertificate esetében. A frissítéshez két különböző kiszolgálótanúsítványt használhat, egy elsődleges és egy másodlagos tanúsítványt. Állítsa be az elsődleges tanúsítvány ujjlenyomatát az Ujjlenyomat szakaszban, valamint a másodlagos ujjlenyomatot a ThumbprintSecondary változókban. |
| ServerCertificateCommonNames | Éles környezetben ajánlott. Ez a tanúsítvány jelenik meg az ügyfélnek, amikor megpróbál csatlakozni ehhez a fürthöz. A CertificateIssuerThumbprint a tanúsítvány kiállítójának ujjlenyomatának felel meg. Ha több, azonos köznapi nevű tanúsítványt használ, több kiállítói ujjlenyomatot is megadhat. A kényelem érdekében használhatja ugyanazt a tanúsítványt a ClusterCertificateCommonNames és a ServerCertificateCommonNames esetében. Használhat egy vagy két kiszolgálótanúsítvány-köznapi nevet. |
| ServerCertificateIssuerStores | Éles környezetben ajánlott. Ez a tanúsítvány a kiszolgálótanúsítvány kiállítójának felel meg. Ebben a szakaszban megadhatja a kiállító köznapi nevét és a megfelelő tárolónevet a kiállító ujjlenyomatának megadása helyett a ServerCertificateCommonNames területen. Ez megkönnyíti a kiszolgálókibocsátó-tanúsítványok átállítását. Több kiállító is megadható, ha több kiszolgálótanúsítványt használ. Az üres IssuerCommonName az X509StoreNames alatt megadott megfelelő tárolókban lévő összes tanúsítványt engedélyezi. |
| ClientCertificateThumbprints | Telepítse ezt a tanúsítványkészletet a hitelesített ügyfelekre. Több különböző ügyféltanúsítvány is telepítve lehet azon gépeken, amelyeken engedélyezni szeretné a fürthöz való hozzáférést. Állítsa be az egyes tanúsítványok ujjlenyomatát a CertificateThumbprint változóban. Ha az IsAdmin értékét true (igaz) értékre állítja, a tanúsítványt tartalmazó ügyfél rendszergazdai felügyeleti tevékenységeket végezhet a fürtön. Ha az IsAdmin értéke hamis, az ezzel a tanúsítvánnyal rendelkező ügyfél csak a felhasználói hozzáférési jogosultságok esetében engedélyezett műveleteket hajthatja végre, amelyek általában csak olvashatók. További információ a szerepkörökről: Service Fabric szerepköralapú hozzáférés-vezérlés. |
| ClientCertificateCommonNames | Állítsa be a CertificateCommonName első ügyféltanúsítványának köznapi nevét. A CertificateIssuerThumbprint a tanúsítvány kiállítójának ujjlenyomata. A köznapi nevekről és a kiállítóról további információt a Tanúsítványok használatával kapcsolatos cikkben talál. |
| ClientCertificateIssuerStores | Éles környezetben ajánlott. Ez a tanúsítvány megfelel az ügyféltanúsítvány kiállítójának (rendszergazdai és nem rendszergazdai szerepkörök). Ebben a szakaszban megadhatja a kiállító köznapi nevét és a megfelelő tárolónevet ahelyett, hogy a ClientCertificateCommonNames területen adja meg a kiállító ujjlenyomatát. Ez megkönnyíti az ügyfélkibocsátó tanúsítványok átállítását. Több kiállító is megadható, ha több ügyféltanúsítványt használ. Az üres IssuerCommonName az X509StoreNames alatt megadott megfelelő tárolókban lévő összes tanúsítványt engedélyezi. |
| ReverseProxyCertificate | Tesztkörnyezethez ajánlott. Ez az opcionális tanúsítvány akkor adható meg, ha biztonságossá szeretné tenni a fordított proxyt. Ha ezt a tanúsítványt használja, győződjön meg arról, hogy a reverseProxyEndpointPort értéke nodeTypes. |
| ReverseProxyCertificateCommonNames | Éles környezetben ajánlott. Ez az opcionális tanúsítvány akkor adható meg, ha biztonságossá szeretné tenni a fordított proxyt. Ha ezt a tanúsítványt használja, győződjön meg arról, hogy a reverseProxyEndpointPort értéke nodeTypes. |
Íme egy példa fürtkonfigurációra, ahol a fürt, a kiszolgáló és az ügyféltanúsítványok meg lettek adva. Fürt-/kiszolgáló-/reverseProxy-tanúsítványok esetén az ujjlenyomat és a köznapi név nem konfigurálható együtt ugyanahhoz a tanúsítványtípushoz.
{
"name": "SampleCluster",
"clusterConfigurationVersion": "1.0.0",
"apiVersion": "10-2017",
"nodes": [{
"nodeName": "vm0",
"metadata": "Replace the localhost below with valid IP address or FQDN",
"iPAddress": "10.7.0.5",
"nodeTypeRef": "NodeType0",
"faultDomain": "fd:/dc1/r0",
"upgradeDomain": "UD0"
}, {
"nodeName": "vm1",
"metadata": "Replace the localhost with valid IP address or FQDN",
"iPAddress": "10.7.0.4",
"nodeTypeRef": "NodeType0",
"faultDomain": "fd:/dc1/r1",
"upgradeDomain": "UD1"
}, {
"nodeName": "vm2",
"iPAddress": "10.7.0.6",
"metadata": "Replace the localhost with valid IP address or FQDN",
"nodeTypeRef": "NodeType0",
"faultDomain": "fd:/dc1/r2",
"upgradeDomain": "UD2"
}],
"properties": {
"diagnosticsStore": {
"metadata": "Please replace the diagnostics store with an actual file share accessible from all cluster machines.",
"dataDeletionAgeInDays": "7",
"storeType": "FileShare",
"IsEncrypted": "false",
"connectionstring": "c:\\ProgramData\\SF\\DiagnosticsStore"
},
"security": {
"metadata": "The Credential type X509 indicates this cluster is secured by using X509 certificates. The thumbprint format is d5 ec 42 3b 79 cb e5 07 fd 83 59 3c 56 b9 d5 31 24 25 42 64.",
"ClusterCredentialType": "X509",
"ServerCredentialType": "X509",
"CertificateInformation": {
"ClusterCertificateCommonNames": {
"CommonNames": [
{
"CertificateCommonName": "myClusterCertCommonName"
}
],
"X509StoreName": "My"
},
"ClusterCertificateIssuerStores": [
{
"IssuerCommonName": "ClusterIssuer1",
"X509StoreNames" : "Root"
},
{
"IssuerCommonName": "ClusterIssuer2",
"X509StoreNames" : "Root"
}
],
"ServerCertificateCommonNames": {
"CommonNames": [
{
"CertificateCommonName": "myServerCertCommonName",
"CertificateIssuerThumbprint": "7c fc 91 97 13 16 8d ff a8 ee 71 2b a2 f4 62 62 00 03 49 0d"
}
],
"X509StoreName": "My"
},
"ClientCertificateThumbprints": [{
"CertificateThumbprint": "c4 c18 8e aa a8 58 77 98 65 f8 61 4a 0d da 4c 13 c5 a1 37 6e",
"IsAdmin": false
}, {
"CertificateThumbprint": "71 de 04 46 7c 9e d0 54 4d 02 10 98 bc d4 4c 71 e1 83 41 4e",
"IsAdmin": true
}]
}
},
"reliabilityLevel": "Bronze",
"nodeTypes": [{
"name": "NodeType0",
"clientConnectionEndpointPort": "19000",
"clusterConnectionEndpointPort": "19001",
"leaseDriverEndpointPort": "19002",
"serviceConnectionEndpointPort": "19003",
"httpGatewayEndpointPort": "19080",
"applicationPorts": {
"startPort": "20001",
"endPort": "20031"
},
"ephemeralPorts": {
"startPort": "20032",
"endPort": "20062"
},
"isPrimary": true
}
],
"fabricSettings": [{
"name": "Setup",
"parameters": [{
"name": "FabricDataRoot",
"value": "C:\\ProgramData\\SF"
}, {
"name": "FabricLogRoot",
"value": "C:\\ProgramData\\SF\\Log"
}]
}]
}
}
Tanúsítványátállítás
Ha ujjlenyomat helyett gyakran használt tanúsítványnevet használ, a tanúsítványváltáshoz nincs szükség fürtkonfiguráció-frissítésre. A kiállítói ujjlenyomatok frissítéséhez győződjön meg arról, hogy az új ujjlenyomatlista metszi a régi listát. Először konfigurálási frissítést kell végeznie az új kiállítói ujjlenyomatokkal, majd telepítenie kell az új tanúsítványokat (a fürt-/kiszolgálótanúsítványokat és a kiállítói tanúsítványokat is) az áruházban. Az új kiállítói tanúsítvány telepítése után legalább két órán át tartsa a régi kiállítói tanúsítványt a tanúsítványtárolóban. Kiállítói tárolók használata esetén nem szükséges konfigurációfrissítést végezni a kiállítói tanúsítványok átállításához. Telepítse az új kiállítói tanúsítványt egy utolsó lejárati dátummal a megfelelő tanúsítványtárolóban, és néhány óra elteltével távolítsa el a régi kiállítói tanúsítványt.
Az X.509-tanúsítványok beszerzése
A fürtön belüli kommunikáció biztonságossá tételéhez először X.509-tanúsítványokat kell beszereznie a fürtcsomópontokhoz. Emellett ahhoz, hogy a fürthöz való csatlakozás engedélyezett gépekre/felhasználókra legyen korlátozva, tanúsítványokat kell beszereznie és telepítenie az ügyfélszámítógépekhez.
Éles számítási feladatokat futtató fürtök esetén a fürt védelméhez használjon hitelesítésszolgáltató (CA) által aláírt X.509-tanúsítványt. További információ a tanúsítványok beszerzéséről: Tanúsítvány beszerzése.
A tanúsítványnak számos tulajdonsággal kell rendelkeznie a megfelelő működéshez:
A tanúsítvány szolgáltatójának Microsoft Enhanced RSA és AES titkosítási szolgáltatónak kell lennie
RSA-kulcs létrehozásakor győződjön meg arról, hogy a kulcs 2048 bites.
A Kulcshasználat bővítmény értéke digitális aláírás, kulcs-titkosítás (a0)
A Bővített kulcshasználat bővítmény kiszolgáló-hitelesítés (OID: 1.3.6.1.5.5.7.3.1) és ügyfél-hitelesítés (OID: 1.3.6.1.5.5.7.3.2) értékekkel rendelkezik.
Tesztelési célokra használt fürtök esetén önaláírt tanúsítványt is használhat.
További kérdésekért tekintse meg a tanúsítványsal kapcsolatos gyakori kérdéseket.
Nem kötelező: Önaláírt tanúsítvány létrehozása
Az önaláírt tanúsítvány megfelelő biztonságossá tételének egyik módja, ha a C:\Program Files\Microsoft SDKs\Service Fabric\ClusterSetup\Secure könyvtár Service Fabric SDK mappájában található CertSetup.ps1 szkriptet használja. Szerkessze ezt a fájlt a tanúsítvány alapértelmezett nevének módosításához. (Keresse meg a CN=ServiceFabricDevClusterCert értéket.) Futtassa ezt a szkriptet a következő néven: .\CertSetup.ps1 -Install.
Most exportálja a tanúsítványt egy védett jelszóval rendelkező .pfx fájlba. Először kérje le a tanúsítvány ujjlenyomatát.
A Start menüben futtassa a Számítógéptanúsítványok kezelése parancsot.
Lépjen a Helyi számítógép\Személyes mappába, és keresse meg a létrehozott tanúsítványt.
Kattintson duplán a tanúsítványra a megnyitásához, válassza a Részletek lapot, és görgessen le az Ujjlenyomat mezőhöz.
Távolítsa el a szóközöket, és másolja az ujjlenyomat értékét a következő PowerShell-parancsba.
Módosítsa az
Stringértéket megfelelő biztonságos jelszóra a védelméhez, és futtassa a következőt a PowerShellben:$pswd = ConvertTo-SecureString -String "1234" -Force –AsPlainText Get-ChildItem -Path cert:\localMachine\my\<Thumbprint> | Export-PfxCertificate -FilePath C:\mypfx.pfx -Password $pswdA számítógépre telepített tanúsítvány részleteinek megtekintéséhez futtassa a következő PowerShell-parancsot:
$cert = Get-Item Cert:\LocalMachine\My\<Thumbprint> Write-Host $cert.ToString($true)
Ha rendelkezik Azure-előfizetéssel, kövesse a Service Fabric-fürt létrehozása az Azure Resource Manager használatával című témakör lépéseit.
A tanúsítványok telepítése
Miután rendelkezik tanúsítványokkal, telepítheti őket a fürtcsomópontokra. A csomópontoknak telepítve kell lenniük a legújabb Windows PowerShell 3.x-nek. Ismételje meg ezeket a lépéseket az egyes csomópontokon a fürt- és kiszolgálótanúsítványok, valamint a másodlagos tanúsítványok esetében.
Másolja a .pfx fájlt vagy fájlokat a csomópontra.
Nyisson meg egy PowerShell-ablakot rendszergazdaként, és írja be a következő parancsokat. Cserélje le $pswd a tanúsítvány létrehozásához használt jelszóra. Cserélje le $PfxFilePath a csomópontra másolt .pfx teljes elérési útjára.
$pswd = "1234" $PfxFilePath ="C:\mypfx.pfx" Import-PfxCertificate -Exportable -CertStoreLocation Cert:\LocalMachine\My -FilePath $PfxFilePath -Password (ConvertTo-SecureString -String $pswd -AsPlainText -Force)Most állítsa be a hozzáférés-vezérlést ezen a tanúsítványon, hogy a Network Service-fiók alatt futó Service Fabric-folyamat az alábbi szkript futtatásával tudja használni. Adja meg a szolgáltatásfiók tanúsítványának és HÁLÓZATI SZOLGÁLTATÁSának ujjlenyomatát. A tanúsítvány ACL-jei helyességét aSzámítógéptanúsítványok kezeléseindítása> és a Minden feladat>titkos kulcsok kezelése című témakörben található tanúsítvány megnyitásával ellenőrizheti.
param ( [Parameter(Position=1, Mandatory=$true)] [ValidateNotNullOrEmpty()] [string]$pfxThumbPrint, [Parameter(Position=2, Mandatory=$true)] [ValidateNotNullOrEmpty()] [string]$serviceAccount ) $cert = Get-ChildItem -Path cert:\LocalMachine\My | Where-Object -FilterScript { $PSItem.ThumbPrint -eq $pfxThumbPrint; } # Specify the user, the permissions, and the permission type $permission = "$($serviceAccount)","FullControl","Allow" # "NT AUTHORITY\NetworkService" is the service account $accessRule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $permission # Location of the machine-related keys $keyPath = Join-Path -Path $env:ProgramData -ChildPath "\Microsoft\Crypto\RSA\MachineKeys" $keyName = $cert.PrivateKey.CspKeyContainerInfo.UniqueKeyContainerName $keyFullPath = Join-Path -Path $keyPath -ChildPath $keyName # Get the current ACL of the private key $acl = (Get-Item $keyFullPath).GetAccessControl('Access') # Add the new ACE to the ACL of the private key $acl.SetAccessRule($accessRule) # Write back the new ACL Set-Acl -Path $keyFullPath -AclObject $acl -ErrorAction Stop # Observe the access rights currently assigned to this certificate get-acl $keyFullPath| flIsmételje meg az előző lépéseket az egyes kiszolgálótanúsítványok esetében. Ezekkel a lépésekkel telepítheti az ügyféltanúsítványokat azokra a gépekre, amelyeken engedélyezni szeretné a fürthöz való hozzáférést.
A biztonságos fürt létrehozása
Miután konfigurálta a ClusterConfig.X509.MultiMachine.json fájl biztonsági szakaszát, továbbléphet a Fürt létrehozása szakaszra a csomópontok konfigurálásához és az önálló fürt létrehozásához. A fürt létrehozásakor ne felejtse el használni a ClusterConfig.X509.MultiMachine.json fájlt. A parancs például a következőhöz hasonlóan nézhet ki:
.\CreateServiceFabricCluster.ps1 -ClusterConfigFilePath .\ClusterConfig.X509.MultiMachine.json
Miután sikeresen futtatta a biztonságos önálló Windows-fürtöt, és beállította a hitelesített ügyfeleket a csatlakozáshoz, kövesse a Csatlakozás fürthöz a PowerShell használatával című szakasz lépéseit. Például:
$ConnectArgs = @{ ConnectionEndpoint = '10.7.0.5:19000'; X509Credential = $True; StoreLocation = 'LocalMachine'; StoreName = "MY"; ServerCertThumbprint = "057b9544a6f2733e0c8d3a60013a58948213f551"; FindType = 'FindByThumbprint'; FindValue = "057b9544a6f2733e0c8d3a60013a58948213f551" }
Connect-ServiceFabricCluster $ConnectArgs
Ezután más PowerShell-parancsokat is futtathat a fürt használatához. Futtathatja például a Get-ServiceFabricNode parancsot a biztonságos fürtön található csomópontok listájának megjelenítéséhez.
A fürt eltávolításához csatlakozzon a fürt azon csomópontjára, ahol letöltötte a Service Fabric-csomagot, nyisson meg egy parancssort, és lépjen a csomag mappájába. Most futtassa a következő parancsot:
.\RemoveServiceFabricCluster.ps1 -ClusterConfigFilePath .\ClusterConfig.X509.MultiMachine.json
Megjegyzés
A tanúsítvány helytelen konfigurációja megakadályozhatja, hogy a fürt megjelenjen az üzembe helyezés során. A biztonsági problémák öndiagnosztikaához tekintse meg az Alkalmazások és szolgáltatások naplói>Microsoft-Service Fabric eseménymegtekintő csoportját.