Requisiti dei certificati di infrastruttura a chiave pubblica (PKI) dell'hub di Azure StackAzure Stack Hub public key infrastructure (PKI) certificate requirements

Azure Stack Hub ha una rete di infrastruttura pubblica che usa indirizzi IP pubblici accessibili esternamente assegnati a un piccolo set di servizi hub Azure Stack e possibilmente macchine virtuali tenant.Azure Stack Hub has a public infrastructure network using externally accessible public IP addresses assigned to a small set of Azure Stack Hub services and possibly tenant VMs. I certificati PKI con i nomi DNS appropriati per questi endpoint dell'infrastruttura pubblica dell'hub Azure Stack sono necessari durante la distribuzione di Azure Stack Hub.PKI certificates with the appropriate DNS names for these Azure Stack Hub public infrastructure endpoints are required during Azure Stack Hub deployment. Questo articolo fornisce informazioni su:This article provides information about:

  • Requisiti dei certificati per l'hub Azure Stack.Certificate requirements for Azure Stack Hub.
  • Certificati obbligatori necessari per la distribuzione di Azure Stack Hub.Mandatory certificates required for Azure Stack Hub deployment.
  • Certificati facoltativi richiesti per la distribuzione di provider di risorse a valore aggiunto.Optional certificates required when deploying value-add resource providers.

Nota

Per impostazione predefinita, Azure Stack Hub USA anche certificati emessi da un'autorità di certificazione interna integrata Active Directory (CA) per l'autenticazione tra i nodi.Azure Stack Hub by default also uses certificates issued from an internal Active Directory-integrated certificate authority (CA) for authentication between the nodes. Per convalidare il certificato, tutti i computer dell'infrastruttura dell'hub Azure Stack considerano attendibile il certificato radice della CA interna per mezzo dell'aggiunta del certificato all'archivio certificati locale.To validate the certificate, all Azure Stack Hub infrastructure machines trust the root certificate of the internal CA by means of adding that certificate to their local certificate store. Non è presente alcun blocco o filtro dei certificati nell'hub Azure Stack.There's no pinning or filtering of certificates in Azure Stack Hub. La SAN di ogni certificato del server viene convalidata in base al nome di dominio completo (FQDN) della destinazione.The SAN of each server certificate is validated against the FQDN of the target. Viene convalidata anche l'intera catena di trust, insieme alla data di scadenza del certificato (autenticazione server TLS standard senza blocco del certificato).The entire chain of trust is also validated, along with the certificate expiration date (standard TLS server authentication without certificate pinning).

Requisiti per i certificatiCertificate requirements

Nell'elenco seguente vengono descritti i requisiti generali di rilascio, sicurezza e formattazione dei certificati:The following list describes the general certificate issuance, security, and formatting requirements:

  • I certificati devono essere emessi da un'autorità di certificazione interna o da un'autorità di certificazione pubblica.Certificates must be issued from either an internal certificate authority or a public certificate authority. Se viene utilizzata un'autorità di certificazione pubblica, è necessario che sia inclusa nell'immagine del sistema operativo di base come parte del programma Microsoft Trusted Root Authority.If a public certificate authority is used, it must be included in the base operating system image as part of the Microsoft Trusted Root Authority Program. Per l'elenco completo, vedere l' elenco dei partecipanti: programma radice Microsoft attendibile.For the full list, see List of Participants - Microsoft Trusted Root Program.
  • L'infrastruttura dell'hub Azure Stack deve avere accesso di rete al percorso dell'elenco di revoche di certificati (CRL) dell'autorità di certificazione pubblicato nel certificato.Your Azure Stack Hub infrastructure must have network access to the certificate authority's Certificate Revocation List (CRL) location published in the certificate. Questo CRL deve essere un endpoint HTTP.This CRL must be an http endpoint.
  • Quando si ruotano i certificati nelle compilazioni precedenti a 1903, i certificati devono essere rilasciati dalla stessa autorità di certificazione interna utilizzata per firmare i certificati forniti in fase di distribuzione o da qualsiasi autorità di certificazione pubblica.When rotating certificates in pre-1903 builds, certificates must be either issued from the same internal certificate authority used to sign certificates provided at deployment or any public certificate authority from above.
  • Quando si ruotano i certificati per le compilazioni 1903 e versioni successive, i certificati possono essere emessi da un'autorità di certificazione pubblica o aziendale.When rotating certificates for builds 1903 and later, certificates can be issued by any enterprise or public certificate authority.
  • L'uso di certificati autofirmati non è supportato.The use of self-signed certificates aren't supported.
  • Per la distribuzione e la rotazione, è possibile usare un singolo certificato che copra tutti gli spazi dei nomi nei campi nome soggetto del certificato e nome alternativo soggetto (SAN) oppure è possibile usare i singoli certificati per ogni spazio dei nomi di seguito che i servizi di Azure Stack Hub che si prevede di usare richiedono.For deployment and rotation, you can either use a single certificate covering all name spaces in the certificate's Subject Name and Subject Alternative Name (SAN) fields OR you can use individual certificates for each of the namespaces below that the Azure Stack Hub services you plan to utilize require. Entrambi gli approcci richiedono l'uso di caratteri jolly per gli endpoint dove sono necessari, ad esempio l' insieme di credenziali e KeyVaultInternal.Both approaches require using wild cards for endpoints where they're required, such as KeyVault and KeyVaultInternal.
  • L'algoritmo di firma del certificato non deve essere SHA1.The certificate signature algorithm shouldn't be SHA1.
  • Il formato del certificato deve essere PFX, perché le chiavi pubbliche e private sono necessarie per l'installazione di Azure Stack Hub.The certificate format must be PFX, as both the public and private keys are required for Azure Stack Hub installation. Per la chiave privata deve essere impostato l'attributo chiave del computer locale.The private key must have the local machine key attribute set.
  • La crittografia PFX deve essere 3DES (questa crittografia è predefinita quando si esporta da un client Windows 10 o da un archivio certificati Windows Server 2016).The PFX encryption must be 3DES (this encryption is default when exporting from a Windows 10 client or Windows Server 2016 certificate store).
  • I file pfx del certificato devono avere un valore "firma digitale" e "KeyEncipherment" nel campo "utilizzo chiave".The certificate pfx files must have a value "Digital Signature" and "KeyEncipherment" in its "Key Usage" field.
  • I file pfx del certificato devono avere i valori "autenticazione server (1.3.6.1.5.5.7.3.1)" e "autenticazione client (1.3.6.1.5.5.7.3.2)" nel campo "utilizzo chiavi avanzato".The certificate pfx files must have the values "Server Authentication (1.3.6.1.5.5.7.3.1)" and "Client Authentication (1.3.6.1.5.5.7.3.2)" in the "Enhanced Key Usage" field.
  • Il campo "rilasciato a:" del certificato non deve corrispondere al campo "rilasciato da:".The certificate's "Issued to:" field must not be the same as its "Issued by:" field.
  • Le password per tutti i file pfx del certificato devono essere le stesse al momento della distribuzione.The passwords to all certificate pfx files must be the same at the time of deployment.
  • La password per il file pfx del certificato deve essere una password complessa.Password to the certificate pfx has to be a complex password. Prendere nota di questa password perché verrà usata come parametro di distribuzione.Make note of this password because you'll use it as a deployment parameter. La password deve soddisfare i requisiti di complessità delle password seguenti:The password must meet the following password complexity requirements:
    • Lunghezza minima di otto caratteri.A minimum length of eight characters.
    • Almeno tre dei caratteri seguenti: lettere maiuscole, lettere minuscole, numeri da 0-9, caratteri speciali, carattere alfabetico non maiuscolo o minuscolo.At least three of the following characters: uppercase letter, lowercase letter, numbers from 0-9, special characters, alphabetical character that's not uppercase or lowercase.
  • Verificare che i nomi oggetto e i nomi alternativi del soggetto nell'estensione del nome alternativo del soggetto (x509v3_config) corrispondano.Ensure that the subject names and subject alternative names in the subject alternative name extension (x509v3_config) match. Il campo nome alternativo soggetto consente di specificare nomi host aggiuntivi (siti Web, indirizzi IP, nomi comuni) che devono essere protetti da un singolo certificato SSL.The subject alternative name field lets you specify additional host names (websites, IP addresses, common names) to be protected by a single SSL certificate.

Nota

I certificati autofirmati non sono supportati.Self-signed certificates aren't supported.
Quando si distribuisce Azure Stack Hub in modalità disconnessa, è consigliabile usare i certificati emessi da un'autorità di certificazione dell'organizzazione.When deploying Azure Stack Hub in disconnected mode it is recommended to use certificates issued by an enterprise certificate authority. Questo è importante perché i client che accedono a endpoint di Azure Stack Hub devono essere in grado di contattare l'elenco di revoche di certificati (CRL).This is important because clients accessing Azure Stack Hub endpoints must be able to contact the certificate revocation list (CRL).

Nota

La presenza di autorità di certificazione intermedie in una catena di trust del certificato è supportata.The presence of Intermediary Certificate Authorities in a certificate's chain-of-trusts is supported.

Certificati obbligatoriMandatory certificates

La tabella in questa sezione descrive i certificati PKI dell'endpoint pubblico dell'hub Azure Stack necessari sia per le distribuzioni di Azure AD che di AD FS di Azure Stack Hub.The table in this section describes the Azure Stack Hub public endpoint PKI certificates that are required for both Azure AD and AD FS Azure Stack Hub deployments. I requisiti del certificato sono raggruppati per area, nonché gli spazi dei nomi usati e i certificati necessari per ogni spazio dei nomi.Certificate requirements are grouped by area, as well as the namespaces used and the certificates that are required for each namespace. La tabella descrive anche la cartella in cui il provider di soluzioni copia i diversi certificati per ogni endpoint pubblico.The table also describes the folder in which your solution provider copies the different certificates per public endpoint.

Sono necessari certificati con i nomi DNS appropriati per ogni endpoint dell'infrastruttura pubblica dell'hub Azure Stack.Certificates with the appropriate DNS names for each Azure Stack Hub public infrastructure endpoint are required. Il nome DNS di ogni endpoint è espresso nel formato: < prefisso>. < area>. < FQDN>.Each endpoint's DNS name is expressed in the format: <prefix>.<region>.<fqdn>.

Per la distribuzione, i valori [Region] e [externalfqdn] devono corrispondere all'area e ai nomi di dominio esterni scelti per il sistema Azure Stack Hub.For your deployment, the [region] and [externalfqdn] values must match the region and external domain names that you chose for your Azure Stack Hub system. Ad esempio, se il nome dell'area era Redmond e il nome di dominio esterno era contoso.com, i nomi DNS avrebbero il formato < Prefix>. Redmond.contoso.com.As an example, if the region name was Redmond and the external domain name was contoso.com, the DNS names would have the format <prefix>.redmond.contoso.com. Il < prefisso> valori è preimpostato da Microsoft per descrivere l'endpoint protetto dal certificato.The <prefix> values are predesignated by Microsoft to describe the endpoint secured by the certificate. Inoltre, il < prefisso> valori degli endpoint di infrastruttura esterni dipendono dal servizio Hub Azure stack che usa l'endpoint specifico.In addition, the <prefix> values of the external infrastructure endpoints depend on the Azure Stack Hub service that uses the specific endpoint.

Per gli ambienti di produzione, è consigliabile generare singoli certificati per ogni endpoint e copiarli nella directory corrispondente.For the production environments, we recommend individual certificates are generated for each endpoint and copied into the corresponding directory. Per gli ambienti di sviluppo, i certificati possono essere forniti come un singolo certificato con caratteri jolly che copre tutti gli spazi dei nomi dei campi oggetto e nome alternativo oggetto (SAN) copiati in tutte le directory.For development environments, certificates can be provided as a single wildcard certificate covering all namespaces in the Subject and Subject Alternative Name (SAN) fields copied into all directories. Un singolo certificato che copre tutti gli endpoint e i servizi è una postura non sicura e pertanto solo per lo sviluppo.A single certificate covering all endpoints and services is an insecure posture and hence development-only. Tenere presente che entrambe le opzioni richiedono l'uso di certificati con caratteri jolly per endpoint come ACS e Key Vault in cui sono necessari.Remember, both options require you to use wildcard certificates for endpoints like acs and Key Vault where they're required.

Nota

Durante la distribuzione, è necessario copiare i certificati nella cartella di distribuzione corrispondente al provider di identità con cui si esegue la distribuzione (Azure AD o AD FS).During deployment, you must copy certificates to the deployment folder that matches the identity provider you're deploying against (Azure AD or AD FS). Se si usa un singolo certificato per tutti gli endpoint, è necessario copiare il file del certificato in ogni cartella di distribuzione, come descritto nelle tabelle seguenti.If you use a single certificate for all endpoints, you must copy that certificate file into each deployment folder as outlined in the following tables.La struttura di cartelle è precompilata nella macchina virtuale di distribuzione ed è disponibile all'indirizzo: C:\CloudDeployment\Setup\Certificates. The folder structure is pre-built in the deployment virtual machine and can be found at: C:\CloudDeployment\Setup\Certificates.

Cartella di distribuzioneDeployment folder Oggetto certificato obbligatorio e nomi alternativi soggetto (SAN)Required certificate subject and subject alternative names (SAN) Ambito (per area)Scope (per region) Spazio dei nomi del sottodominioSubdomain namespace
Portale pubblicoPublic Portal portale. < area>. < FQDN>portal.<region>.<fqdn> PortaliPortals <area>. < FQDN><region>.<fqdn>
Portale di amministrazioneAdmin Portal adminportal. < area>. < FQDN>adminportal.<region>.<fqdn> PortaliPortals <area>. < FQDN><region>.<fqdn>
Azure Resource Manager pubblicoAzure Resource Manager Public gestione di. < area>. < FQDN>management.<region>.<fqdn> Azure Resource ManagerAzure Resource Manager <area>. < FQDN><region>.<fqdn>
Amministratore di Azure Resource ManagerAzure Resource Manager Admin adminManagement. < area>. < FQDN>adminmanagement.<region>.<fqdn> Azure Resource ManagerAzure Resource Manager <area>. < FQDN><region>.<fqdn>
ACSBlobACSBlob *. blob. < area>. < FQDN>*.blob.<region>.<fqdn>
(Certificato SSL con caratteri jolly)(Wildcard SSL Certificate)
Archiviazione BLOBBlob Storage BLOB. < area>. < FQDN>blob.<region>.<fqdn>
ACSTableACSTable *. Table. < area>. < FQDN>*.table.<region>.<fqdn>
(Certificato SSL con caratteri jolly)(Wildcard SSL Certificate)
Archiviazione tabelleTable Storage tabella. < area>. < FQDN>table.<region>.<fqdn>
ACSQueueACSQueue *. Queue. < area>. < FQDN>*.queue.<region>.<fqdn>
(Certificato SSL con caratteri jolly)(Wildcard SSL Certificate)
Archiviazione codeQueue Storage coda. < area>. < FQDN>queue.<region>.<fqdn>
Insieme di credenziali delle chiaviKeyVault *. Vault. < area>. < FQDN>*.vault.<region>.<fqdn>
(Certificato SSL con caratteri jolly)(Wildcard SSL Certificate)
Key VaultKey Vault insieme di credenziali. < area>. < FQDN>vault.<region>.<fqdn>
KeyVaultInternalKeyVaultInternal *. adminvault. < area>. < FQDN>*.adminvault.<region>.<fqdn>
(Certificato SSL con caratteri jolly)(Wildcard SSL Certificate)
Insieme di credenziali delle credenziali internoInternal Keyvault adminvault. < area>. < FQDN>adminvault.<region>.<fqdn>
Host estensione amministratoreAdmin Extension Host * <region> . adminhosting.<fqdn>*.adminhosting.<region>.<fqdn> (Certificati SSL con caratteri jolly)(Wildcard SSL Certificates) Host estensione amministratoreAdmin Extension Host adminhosting. <region> .<fqdn>adminhosting.<region>.<fqdn>
Host di estensione pubblicoPublic Extension Host *. Hosting. <region> .<fqdn>*.hosting.<region>.<fqdn> (Certificati SSL con caratteri jolly)(Wildcard SSL Certificates) Host di estensione pubblicoPublic Extension Host hosting. <region> ..<fqdn>hosting.<region>.<fqdn>

Se si distribuisce Azure Stack hub usando la modalità di distribuzione Azure AD, è necessario richiedere solo i certificati elencati nella tabella precedente.If you deploy Azure Stack Hub using the Azure AD deployment mode, you only need to request the certificates listed in previous table. Tuttavia, se si distribuisce Azure Stack hub usando la modalità di distribuzione AD FS, è necessario richiedere anche i certificati descritti nella tabella seguente:But, if you deploy Azure Stack Hub using the AD FS deployment mode, you must also request the certificates described in the following table:

Cartella di distribuzioneDeployment folder Oggetto certificato obbligatorio e nomi alternativi soggetto (SAN)Required certificate subject and subject alternative names (SAN) Ambito (per area)Scope (per region) Spazio dei nomi del sottodominioSubdomain namespace
AD FSADFS ADFS. < area>. < FQDN>adfs.<region>.<fqdn>
(Certificato SSL)(SSL Certificate)
AD FSADFS <area>. < FQDN><region>.<fqdn>
GraficoGraph grafico. < area>. < FQDN>graph.<region>.<fqdn>
(Certificato SSL)(SSL Certificate)
GraficoGraph <area>. < FQDN><region>.<fqdn>

Importante

Tutti i certificati elencati in questa sezione devono avere la stessa password.All the certificates listed in this section must have the same password.

Certificati PaaS facoltativiOptional PaaS certificates

Se si prevede di distribuire i servizi PaaS aggiuntivi dell'hub Azure Stack (ad esempio SQL, MySQL, servizio app o hub eventi) dopo che Azure Stack Hub è stato distribuito e configurato, è necessario richiedere certificati aggiuntivi per coprire gli endpoint dei servizi di PaaS.If you're planning to deploy the additional Azure Stack Hub PaaS services (such as SQL, MySQL, App Service, or Event Hubs) after Azure Stack Hub has been deployed and configured, you must request additional certificates to cover the endpoints of the PaaS services.

Importante

I certificati utilizzati per i provider di risorse devono avere la stessa autorità radice di quelli usati per gli endpoint dell'hub Azure Stack globale.The certificates that you use for resource providers must have the same root authority as those used for the global Azure Stack Hub endpoints.

Nella tabella seguente vengono descritti gli endpoint e i certificati necessari per i provider di risorse.The following table describes the endpoints and certificates required for resource providers. Non è necessario copiare questi certificati nella cartella di distribuzione dell'hub Azure Stack.You don't need to copy these certificates to the Azure Stack Hub deployment folder. Al contrario, questi certificati vengono forniti durante l'installazione del provider di risorse.Instead, you provide these certificates during resource provider installation.

Ambito (per area)Scope (per region) CertificatoCertificate Oggetto del certificato obbligatorio e nomi alternativi del soggetto (San)Required certificate subject and Subject Alternative Names (SANs) Spazio dei nomi del sottodominioSubdomain namespace
Servizio appApp Service Certificato SSL predefinito per il traffico WebWeb Traffic Default SSL Cert *. Appservice. < area>. < FQDN>*.appservice.<region>.<fqdn>
*. SCM. Appservice. < area>. < FQDN>*.scm.appservice.<region>.<fqdn>
*. SSO. Appservice. < area>. < FQDN>*.sso.appservice.<region>.<fqdn>
(Certificato SSL con caratteri jolly multidominio1)(Multi Domain Wildcard SSL Certificate1)
Appservice. < area>. < FQDN>appservice.<region>.<fqdn>
SCM. Appservice. < area>. < FQDN>scm.appservice.<region>.<fqdn>
Servizio appApp Service APIAPI API. Appservice. < area>. < FQDN>api.appservice.<region>.<fqdn>
(Certificato SSL2)(SSL Certificate2)
Appservice. < area>. < FQDN>appservice.<region>.<fqdn>
SCM. Appservice. < area>. < FQDN>scm.appservice.<region>.<fqdn>
Servizio appApp Service FTPFTP FTP. Appservice. < area>. < FQDN>ftp.appservice.<region>.<fqdn>
(Certificato SSL2)(SSL Certificate2)
Appservice. < area>. < FQDN>appservice.<region>.<fqdn>
SCM. Appservice. < area>. < FQDN>scm.appservice.<region>.<fqdn>
Servizio appApp Service SSOSSO SSO. Appservice. < area>. < FQDN>sso.appservice.<region>.<fqdn>
(Certificato SSL2)(SSL Certificate2)
Appservice. < area>. < FQDN>appservice.<region>.<fqdn>
SCM. Appservice. < area>. < FQDN>scm.appservice.<region>.<fqdn>
Hub eventiEvent Hubs SSLSSL *. eventhub. < area>. < FQDN>*.eventhub.<region>.<fqdn>
(Certificato SSL con caratteri jolly)(Wildcard SSL Certificate)
eventhub. < area>. < FQDN>eventhub.<region>.<fqdn>
Hub IoTIoT Hub SSLSSL *. mgmtiothub. < area>. < FQDN>*.mgmtiothub.<region>.<fqdn>
(Certificato SSL con caratteri jolly)(Wildcard SSL Certificate)
mgmtiothub. < area>. < FQDN>mgmtiothub.<region>.<fqdn>
SQL, MySQLSQL, MySQL SQL e MySQLSQL and MySQL *. dbadapter. < area>. < FQDN>*.dbadapter.<region>.<fqdn>
(Certificato SSL con caratteri jolly)(Wildcard SSL Certificate)
dbadapter. < area>. < FQDN>dbadapter.<region>.<fqdn>

1 richiede un certificato con più nomi alternativi del soggetto con caratteri jolly.1 Requires one certificate with multiple wildcard subject alternative names. È possibile che più San jolly in un singolo certificato non siano supportate da tutte le autorità di certificazione pubbliche.Multiple wildcard SANs on a single certificate might not be supported by all public certificate authorities.

2 A *. Appservice. < area>. < il nome FQDN> certificato con caratteri jolly non può essere usato al posto di questi tre certificati (API. Appservice.< area>. < FQDN>, FTP. Appservice. < area>. < FQDN> e SSO. Appservice. < area>. < FQDN>.2 A *.appservice.<region>.<fqdn> wildcard certificate can't be used in place of these three certificates (api.appservice.<region>.<fqdn>, ftp.appservice.<region>.<fqdn>, and sso.appservice.<region>.<fqdn>. Appservice richiede in modo esplicito l'uso di certificati distinti per questi endpoint.Appservice explicitly requires the use of separate certificates for these endpoints.

Altre informazioniLearn more

Informazioni su come generare certificati PKI per la distribuzione di Azure stack Hub.Learn how to generate PKI certificates for Azure Stack Hub deployment.

Passaggi successiviNext steps

Integrare ad FS identità con il Data Center dell'Hub Azure stack.Integrate AD FS identity with your Azure Stack Hub datacenter.