Mengaktifkan akses jarak jauh dari intranet dengan sertifikat TLS/SSL (Lanjutan)
Dalam tutorial ini, Anda akan mempelajari cara menyiapkan waktu proses integrasi yang dihosting sendiri dengan beberapa mesin lokal dan mengaktifkan akses jarak jauh dari intranet dengan sertifikat TLS/SSL (Lanjutan) untuk mengamankan komunikasi antara node waktu proses integrasi.
Prasyarat
- Pengenalan Enkripsi Kuat SSL/TLS.
- Sertifikat bisa menjadi sertifikat TLS umum untuk Server Web. Persyaratan:
- Sertifikat harus merupakan sertifikat X509 v3 yang dipercaya publik. Kami menyarankan agar Anda menggunakan sertifikat yang dikeluarkan oleh otoritas sertifikasi mitra publik (CA).
- Setiap simpul runtime integrasi harus mempercayai sertifikat ini.
- Kami merekomendasikan sertifikat Nama Alternatif Subjek (SAN) karena semua nama domain yang sepenuhnya memenuhi syarat (FQDN) dari node runtime integrasi harus diamankan oleh sertifikat ini. (WCF TLS/SSL melakukan validasi hanya pemeriksaan Nama DNS terakhir di SAN yang diperbaiki di .NET Framework 4.6.1. Lihat Mitigasi: Metode X509CertificateClaimSet.FindClaims untuk informasi selengkapnya.)
- Sertifikat wildcard (*) tidak didukung.
- Sertifikat harus memiliki kunci pribadi (seperti format PFX).
- Sertifikat dapat menggunakan ukuran kunci apa pun yang didukung oleh Windows Server 2012 R2 untuk sertifikat TLS/SSL.
- Kami hanya mendukung sertifikat CSP (Cryptographic Service Provider) sejauh ini. Sertifikat yang menggunakan kunci CNG (Penyedia Storage Kunci) tidak didukung.
Langkah-langkah
Jalankan di bawah perintah PowerShell pada semua mesin untuk mendapatkan FQDN mereka:
[System.Net.Dns]::GetHostByName("localhost").HostName
Misalnya, FQDN node1.domain.contoso.com dan node2.domain.contoso.com.
Buat sertifikat dengan FQDN dari semua mesin dalam Nama Alternatif Subjek.
Instal sertifikat pada semua node ke Local Machine ->Personal sehingga dapat dipilih pada manajer konfigurasi runtime integrasi:
Klik sertifikat dan instal.
Pilih Mesin Lokal dan masukkan kata sandi.
Pilih Tempatkan semua sertifikat di toko berikut. Klik Telusuri. Pilih Pribadi.
Pilih Selesai untuk menginstal sertifikat.
Aktifkan akses jarak jauh dari intranet:
Selama pendaftaran node runtime integrasi yang dihost sendiri:
Pilih Aktifkan akses jarak jauh dari intranet dan pilih Berikutnya.
Atur Port Tcp (8060 secara default). Pastikan port terbuka di firewall.
Klik Pilih. Di jendela pop-up, pilih sertifikat yang tepat dan pilih Selesai.
Belum ada node runtime integrasi yang dihost sendiri yang terdaftar:
Catatan
Runtime integrasi yang dihost sendiri dapat mengubah pengaturan akses jarak jauh hanya ketika memiliki node tunggal, yaitu dengan desain. Jika tidak, tombol radio tidak dapat diperiksa.
Buka Configuration Manager Runtime Integrasi yang dihosting sendiri ->Pengaturan ->Akses jarak jauh dari intranet. Klik ubah.
Pilih Aktifkan dengan sertifikat TLS/SSL (Tingkat Lanjut).
Klik Pilih. Di jendela pop-up, pilih sertifikat yang tepat dan pilih Oke.
Verifikasi pengaturan akses jarak jauh di Configuration Manager Runtime Integrasi yang dihosting sendiri.
Menggunakan sertifikat yang ditandatangani sendiri jika Anda tidak memiliki sertifikat tepercaya publik:
Hasilkan dan ekspor sertifikat yang ditandatangani sendiri (langkah ini dapat dilewati jika Anda sudah memiliki sertifikat):
Buat sertifikat yang ditandatangani sendiri melalui PowerShell (dengan hak istimewa yang ditinggikan):
New-SelfSignedCertificate -DnsName contoso.com, node1.domain.contoso.com, node2.domain.contoso.com -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" -CertStoreLocation cert:\LocalMachine\My
Untuk mengekspor sertifikat yang dihasilkan dengan kunci pribadi ke file PFX yang dilindungi kata sandi, Anda memerlukan cap jempolnya. Itu dapat disalin dari hasil
New-SelfSignedCertificate
perintah. Misalnya, ini adalahCEB5B4372AA7BF877E56BCE27542F9F0A1AD197F
.Ekspor sertifikat yang dihasilkan dengan kunci pribadi melalui PowerShell (dengan hak istimewa yang ditinggikan):
$CertPassword = ConvertTo-SecureString -String “Password” -Force -AsPlainText Export-PfxCertificate -Cert cert:\LocalMachine\My\CEB5B4372AA7BF877E56BCE27542F9F0A1AD197F -FilePath C:\self-signedcertificate.pfx -Password $CertPassword
Anda telah mengekspor sertifikat dengan kunci pribadi ke C:\self-signedcertificate.pfx.
Instal sertifikat di semua node ke: Local Machine ->Trusted Root Certification Authorities store:
- Klik sertifikat dan instal.
- Pilih Mesin Lokal dan masukkan kata sandi.
- Pilih Tempatkan semua sertifikat di toko berikut. Klik Telusuri. Pilih Otoritas Sertifikasi Root Tepercaya.
- Pilih Selesai untuk menginstal sertifikat.
Pemecahan Masalah
Verifikasi sertifikat yang ada di toko target:
Ikuti prosedur ini Cara: Lihat sertifikat dengan snap-in MMC - WCF untuk melihat Sertifikat (Komputer Lokal) di snap-in MMC.
Konfirmasikan bahwa sertifikat tersebut diinstal di toko Otoritas Sertifikasi AkarPribadi dan Tepercaya (Jika itu adalah sertifikat yang ditandatangani sendiri).
Verifikasi sertifikat memiliki kunci privat dan tidak kedaluwarsa.
Pastikan akun layanan untuk runtime integrasi yang dihost sendiri (akun default adalah NT SERVICE\DIAHostService) telah membaca izin ke kunci privat sertifikat:
Klik kanan pada sertifikat ->Semua Tugas ->Kelola Kunci Privat.
Jika tidak, berikan izin, Terapkan dan simpan.