CMG-kiszolgáló hitelesítési tanúsítványa

  • Cikk

A következőre vonatkozik: Configuration Manager (aktuális ág)

A felhőfelügyeleti átjáró (CMG) beállításakor az első lépés a kiszolgálóhitelesítési tanúsítvány lekérése. A CMG létrehoz egy HTTPS-szolgáltatást, amelyhez az internetalapú ügyfelek csatlakoznak. A kiszolgálónak kiszolgálói hitelesítési tanúsítványra van szüksége a biztonságos csatorna létrehozásához. Ehhez a célra beszerezhet egy tanúsítványt egy nyilvános szolgáltatótól, vagy kiadhatja azt a nyilvános kulcsú infrastruktúrából (PKI).

Amikor létrehozza a CMG-t a Configuration Manager konzolon, meg kell adnia ezt a tanúsítványt. A tanúsítvány köznapi neve (CN) határozza meg a CMG szolgáltatásnevét.

Megjegyzés:

Előfordulhat, hogy további tanúsítványokra van szüksége az ügyfelekhez és a felügyeleti pontokhoz. Ezeket a tanúsítványokat a CMG beállítási folyamatának harmadik lépése, az Ügyfél-hitelesítés konfigurálása című lépés ismerteti.

Emlékeztető az ebben a cikkben használt CMG-terminológiáról:

  • Szolgáltatásnév: A CMG-kiszolgáló hitelesítési tanúsítványának köznapi neve (CN). Az ügyfelek és a CMG csatlakozási pont helyrendszerszerepköre ezzel a szolgáltatásnévvel kommunikálnak. Például: GraniteFalls.contoso.com vagy GraniteFalls.WestUS.CloudApp.Azure.Com.

  • Üzembe helyezés neve: A szolgáltatásnév első része, valamint a felhőszolgáltatás üzembe helyezésének Azure-helye. A szolgáltatáskapcsolódási pont felhőszolgáltatás-kezelő összetevője ezt a nevet használja, amikor üzembe helyezi a CMG-t az Azure-ban. Az üzembe helyezés neve mindig egy Azure-tartományban található. Az Azure helye az üzembe helyezési módszertől függ, például:

    • Virtuálisgép-méretezési csoport: GraniteFalls.WestUS.CloudApp.Azure.Com
    • Klasszikus üzembe helyezés: GraniteFalls.CloudApp.Net

    Fontos

    Ez a cikk egy virtuálisgép-méretezési csoporttal rendelkező példákat használ a 2107-es és újabb verziók ajánlott üzembehelyezési módszereként. Ha klasszikus üzemelő példányt használ, vegye figyelembe a különbséget a cikk elolvasása és a kiszolgálóhitelesítési tanúsítvány előkészítése során.

Válassza ki a tanúsítvány típusát

Először döntse el, hol szeretné beszerezni a tanúsítványt. Több tényezőt is figyelembe kell venni.

Az ügyfeleknek megbízhatónak kell lenniük a CMG-kiszolgáló hitelesítési tanúsítványában, hogy létrehozzák a HTTPS-csatornát a CMG szolgáltatással. A megbízhatóság kétféleképpen valósítható meg:

  1. Használjon nyilvános és globálisan megbízható tanúsítványszolgáltatótól származó tanúsítványt.

    • A Windows-ügyfelek megbízható legfelső szintű hitelesítésszolgáltatókat (CA-kat) tartalmaznak ezektől a szolgáltatóktól. Az egyik szolgáltató által kiadott tanúsítvány használatával az ügyfelek automatikusan megbíznak benne.

    • Ehhez a tanúsítványhoz tartozik egy költség, amely a szolgáltatóra jellemző.

  2. Használjon egy vállalati hitelesítésszolgáltató által a nyilvános kulcsú infrastruktúrából (PKI) kibocsátott tanúsítványt.

    • A legtöbb vállalati PKI-implementáció hozzáadja a megbízható legfelső szintű hitelesítésszolgáltatókat a Windows-ügyfelekhez. Ha például az Active Directory tanúsítványszolgáltatást használja csoportházirenddel. Ha olyan hitelesítésszolgáltatótól adja ki a CMG-kiszolgáló hitelesítési tanúsítványát, amelyet az ügyfelek nem bíznak meg automatikusan, adja hozzá a hitelesítésszolgáltató megbízható főtanúsítványát az internetalapú ügyfelekhez.

      Ha az Configuration Manager-ügyfelet az Intune-ból tervezi telepíteni, az Intune tanúsítványprofiljaival tanúsítványokat is kiépíthet az ügyfeleken. További információ: Tanúsítványprofil konfigurálása.

    • Előfordulhat, hogy a szervezetnek belső költsége van a tanúsítványok kiállításához, de általában nincsenek külső költségek ehhez a tanúsítványhoz társítva.

Fontos

A tanúsítvány beszerzését megelőzően győződjön meg arról, hogy a szolgáltatás neve globálisan egyedi a felhőszolgáltatás és a tárfiók esetében. Győződjön meg arról is, hogy a név támogatott karaktereket használ. További információ: Globálisan egyedi név.

Tanúsítványtípusok összefoglaló összehasonlítása

Nyilvános szolgáltató Vállalati PKI
Ügyfélmegbízhatóság Alapértelmezés szerint megbízható a Windowsban Automatikus néhány implementációval, máskülönben üzembe kell helyezni
Költség Igen Nem jellemző
Példa szolgáltatásnévre GraniteFalls.contoso.com GraniteFalls.contoso.com Vagy GraniteFalls.WestUS.CloudApp.Azure.Com
DNS CNAME szükséges Igen Nem az Azure tartományi szolgáltatásnévhez (GraniteFalls.WestUS.CloudApp.Azure.Com)

Megjegyzés:

A CMG-kiszolgáló hitelesítési tanúsítványa támogatja a helyettesítő karaktereket. Egyes hitelesítésszolgáltatók helyettesítő karaktert használva bocsátanak ki tanúsítványokat a szolgáltatásnév-előtaghoz. Használja például a *.contoso.com címet. Egyes szervezetek helyettesítő tanúsítványokat használnak a PKI egyszerűsítése és a karbantartási költségek csökkentése érdekében.

További információ a helyettesítő tanúsítványok CMG-vel való használatáról: CMG beállítása.

Globálisan egyedi név

Ez a tanúsítvány globálisan egyedi nevet igényel a szolgáltatás azonosításához az Azure-ban. Mielőtt tanúsítványt kérne, győződjön meg arról, hogy a kívánt Azure-beli üzemelő példány neve egyedi. Használja például a GraniteFalls.WestUS.CloudApp.Azure.Com címet.

Virtuálisgép-méretezési csoport

  1. Jelentkezzen be az Azure portálra.

  2. A Azure Portal kezdőlapján válassza az Erőforrás létrehozása lehetőséget az Azure-szolgáltatások területen.

  3. Keressen rá a Virtuálisgép-méretezési csoport kifejezésre. Válassza a Létrehozás lehetőséget.

  4. Válassza ki a CMG-hez használni kívánt előfizetést és erőforráscsoportot .

  5. A Virtuálisgép-méretezési csoport neve mezőbe írja be a kívánt előtagot. Használja például a GraniteFalls címet.

  6. Válassza ki a CMG-hez használni kívánt régiót . Például az (USA) USA nyugati régiója.

Az interfész azt tükrözi, hogy a tartománynév elérhető-e, vagy már használatban van-e egy másik szolgáltatás.

Fontos

Ne hozza létre a szolgáltatást a portálon, csak ezzel a folyamattal ellenőrizze a név rendelkezésre állását.

Ismételje meg ezt a folyamatot a Key Vault erőforrás esetében. A virtuálisgép-méretezési csoport üzembe helyezése létrehoz egy azonos nevű kulcstartót, amelynek globálisan egyedinek kell lennie.

Tartalombarát CMG-tárfiók

Ha a CMG-t is engedélyezi a tartalomhoz, győződjön meg arról, hogy ez egy egyedi Azure Storage-fióknév is. Ha a CMG üzembehelyezési neve egyedi, de a tárfiók nem, Configuration Manager nem tudja kiépíteni a szolgáltatást az Azure-ban. Ismételje meg a fenti folyamatot a Azure Portal a következő módosításokkal:

  • Keressen rá a Tárfiók kifejezésre.

  • Tesztelje a nevét a Tárfiók neve mezőben.

Fontos

A DNS-névelőtagnak 3–24 karakter hosszúságúnak kell lennie, és csak számokat és kisbetűket tartalmazhat. Ne használjon speciális karaktereket, például kötőjelet (-). Például: granitefalls.

A tanúsítvány kiállítása

A CMG-kiszolgáló hitelesítési tanúsítványa a következő konfigurációkat támogatja:

  • 2048 bites vagy 4096 bites kulcshossz

  • Ez a tanúsítvány támogatja a titkos tanúsítványkulcsok (v3) kulcstároló-szolgáltatóját. További információ: CNG v3-tanúsítványok áttekintése.

Nyilvános szolgáltatói tanúsítvány használata

Egy külső tanúsítványszolgáltató nem hozhat létre tanúsítványt egy Azure-tartományhoz (például cloudapp.azure.com: ), mert ezek a tartományok a Microsoft tulajdonában vannak. Csak a saját tartományához tartozó tanúsítványt kaphatja meg. A tanúsítvány külső szolgáltatótól való beszerzésének fő oka az, hogy az ügyfelek már megbíznak a szolgáltató főtanúsítványában.

A tanúsítvány beszerzésének konkrét folyamata szolgáltatónként eltérő. További információért forduljon külső tanúsítványszolgáltatójához.

A webkiszolgáló-tanúsítvány köznapi neve (CN):

  • Gondoskodott arról, hogy az üzembe helyezés neveglobálisan egyedi legyen az Azure-ban a felhőszolgáltatás és a tárfiók esetében. Használja például a GraniteFalls.WestUS.CloudApp.Azure.Com címet.

  • A szolgáltatásnév meghatározásához fűzze hozzá a központi telepítési név előtagját (GraniteFalls) a szervezet tartománynevéhez (contoso.com).

  • Használja ezt a szolgáltatásnevet a tanúsítvány köznapi nevéhez (CN). Használja például a GraniteFalls.contoso.com címet.

Ezután létre kell hoznia egy DNS CNAME aliast.

Vállalati PKI-tanúsítvány használata

A webkiszolgáló-tanúsítványnak a szervezet PKI-ből való kiállítása termékenként változik. A szolgáltatástanúsítvány felhőalapú terjesztési pontokon való üzembe helyezésére vonatkozó utasítások az Active Directory tanúsítványszolgáltatásaihoz tartoznak. Ez a folyamat általában a CMG-kiszolgáló hitelesítési tanúsítványára vonatkozik.

A webkiszolgáló-tanúsítvány köznapi neve (CN):

  • Gondoskodott arról, hogy az üzembe helyezés neveglobálisan egyedi legyen az Azure-ban a felhőszolgáltatás és a tárfiók esetében. Használja például a GraniteFalls.WestUS.CloudApp.Azure.Com címet.

  • A szolgáltatás nevének meghatározásához két lehetőség közül választhat:

    • Használja a tartománynevét (ajánlott). Fűzze hozzá a központi telepítési név előtagját (GraniteFalls) a szervezet tartománynevéhez (contoso.com). Használja például a GraniteFalls.contoso.com címet. Ehhez a beállításhoz létre kell hoznia egy DNS CNAME aliast is.

    • Használja az Azure üzemelő példány nevét. Ehhez a beállításhoz nincs szükség DNS CNAME aliasra. Például:

      • Az Azure nyilvános felhőhöz: GraniteFalls.WestUS.CloudApp.Azure.Com.

      • Az Azure US Government-felhő esetében: GraniteFalls.usgovcloudapp.net.

      Megjegyzés:

      Ha az Azure-beli üzemelő példány neve megváltozik, újra üzembe kell helyeznie a szolgáltatást a szolgáltatás nevének módosításához. Ha például a szolgáltatás neve a cloudapp.net tartományban van, nem konvertálhatja a klasszikus felhőszolgáltatás CMG-ját virtuálisgép-méretezési csoporttá. Ha a CMG-szolgáltatásnévhez a saját tartománynevét használja, frissítheti a DNS CNAME-et az új üzembehelyezési névhez.

  • Használja ezt a szolgáltatásnevet a tanúsítvány köznapi nevéhez (CN).

DNS CNAME-alias létrehozása

Ha a CMG-szolgáltatásnév a szervezet tartománynevét használja (GraniteFalls.contoso.com), létre kell hoznia egy DNS-beli canonical name record (CNAME) rekordot. Ez az alias a szolgáltatás nevét az üzemelő példány nevére képezi le.

Hozzon létre egy CNAME rekordot a szervezet nyilvános DNS-ében. Az Azure-beli CMG-szolgáltatásnak és az azt használó összes ügyfélnek fel kell oldania a szolgáltatás nevét. Például:

  • Contoso a CMG GránitFalls nevet ad.

  • Az Üzembe helyezés neve az Azure-ban a következő GraniteFalls.WestUS.CloudApp.Azure.Com: .

  • A Contoso nyilvános DNS-névterében contoso.com a DNS-rendszergazda létrehoz egy új CNAME rekordot a szolgáltatásnévhez GraniteFalls.contoso.com az Azure üzemelő példányának nevéhez. GraniteFalls.WestUS.CloudApp.Azure.Com

Amikor létrehozza a CMG-t, miközben a tanúsítvány CN-ként szerepelGraniteFalls.contoso.com, Configuration Manager csak a szolgáltatásnév-előtagot nyeri ki, például: GránitEsetek. Ezt az előtagot hozzáfűzi az Azure-szolgáltatás tartományához (cloudapp.azure.com) a régióval (westus) az üzemelő példány nevének létrehozásához. Használja például a GraniteFalls.WestUS.CloudApp.Azure.Com címet. A tartomány DNS-névterében lévő CNAME alias (contoso.com) ezt a két teljes tartománynevet képezi le.

Az Configuration Manager ügyfélházirend tartalmazza a CMG-szolgáltatás nevét( GraniteFalls.contoso.com). Az ügyfél a CNAME aliason keresztül oldja fel a szolgáltatás nevét a(z) üzemelő példány nevére. GraniteFalls.WestUS.CloudApp.Azure.Com Ezután feloldhatja az üzemelő példány nevének IP-címét, hogy kommunikáljon a szolgáltatással az Azure-ban.

Következő lépések

Folytassa a CMG beállítását Microsoft Entra azonosító konfigurálásával:

Microsoft Entra-azonosító konfigurálása