Azure Stack 公開キー インフラストラクチャ証明書の要件Azure Stack public key infrastructure certificate requirements

Azure Stack には、少数の Azure Stack サービスやテナント VM に割り当てられた外部からアクセス可能なパブリック IP アドレスを使用するパブリック インフラストラクチャ ネットワークが存在します。Azure Stack has a public infrastructure network using externally accessible public IP addresses assigned to a small set of Azure Stack services and possibly tenant VMs. Azure Stack のデプロイ中に、これらの Azure Stack パブリック インフラストラクチャ エンドポイントの適切な DNS 名を持つ PKI 証明書が必要です。PKI certificates with the appropriate DNS names for these Azure Stack public infrastructure endpoints are required during Azure Stack deployment. この記事では、次の項目に関する情報を提供します。This article provides information about:

  • Azure Stack をデプロイするために必要な証明書の種類What certificates are required to deploy Azure Stack
  • これらの仕様に一致する証明書を取得するプロセスThe process of obtaining certificates matching those specifications
  • デプロイ中にこれらの証明書を準備、検証、および使用する方法How to prepare, validate, and use those certificates during deployment

注意

デプロイ時には、その対象となる ID プロバイダー (Azure AD または AD FS) に合ったデプロイ フォルダーに証明書をコピーする必要があります。During deployment you must copy certificates to the deployment folder that matches the identity provider you are deploying against (Azure AD or AD FS). すべてのエンドポイントについて 1 つの証明書を使用する場合は、後述の表に記載した各デプロイ フォルダーに、その証明書ファイルをコピーしてください。If you use a single certificate for all endpoints, you must copy that certificate file into each deployment folder as outlined in the tables below. フォルダー構造は、デプロイ仮想マシンにあらかじめ作成されており、次の場所で確認できます。C:\CloudDeployment\Setup\Certificates The folder structure is pre-built in the deployment virtual machine and can be found at: C:\CloudDeployment\Setup\Certificates.

証明書の要件Certificate requirements

次の一覧では、Azure Stack をデプロイするために必要な証明書の要件について説明します。The following list describes the certificate requirements that are needed to deploy Azure Stack:

  • 証明書は、内部の証明機関または公的証明機関のどちらかから発行されている必要があります。Certificates must be issued from either an internal Certificate Authority or a Public Certificate Authority. 公的証明機関が使用されている場合は、Microsoft の信頼されたルート機関プログラムの一部として基本オペレーティング システム イメージに含まれている必要があります。If a public certificate authority is used, it must be included in the base operating system image as part of the Microsoft Trusted Root Authority Program. 詳細な一覧については、 https://gallery.technet.microsoft.com/Trusted-Root-Certificate-123665ca をご覧ください。You can find the full list here: https://gallery.technet.microsoft.com/Trusted-Root-Certificate-123665ca
  • お使いの Azure Stack インフラストラクチャは、証明書において公開されている証明機関の証明書失効リスト (CRL) の場所にネットワーク アクセスできる必要があります。Your Azure Stack infrastructure must have network access to the certificate authority's Certificate Revocation List (CRL) location published in the certificate. この CRL は、http エンドポイントである必要がありますThis CRL must be an http endpoint
  • 証明書を交換する場合、証明書は、デプロイ時に指定された証明書の署名に使用したのと同じ内部の証明機関、または上記の公的パブリック証明機関のいずれかから発行されたものである必要があります。When rotating certificates, certificates must be either issued from the same internal certificate authority used to sign certificates provided at deployment or any public certificate authority from above
  • 自己署名証明書は使用できません。The use of self-signed certificates are not supported
  • デプロイおよびローテーションの場合は、証明書のサブジェクト名フィールドとサブジェクトの別名 (SAN) フィールドのすべての名前空間をカバーする 1 つの証明書を使用するか、または、各名前空間で利用する予定の Azure Stack サービスが必要とする個別の証明書を使用することができます。For deployment and rotation you can either use a single certificate covering all name spaces in the certificate's Subject Name and Subject Alternative Name (SAN) fields OR you can use individual certificates for each of the namespaces below that the Azure Stack services you plan to utilize require. 注: どちらの方法でも、それらが必要とされる場所のエンドポイントに対してワイルドカードを使用する必要があります (例: KeyVaultKeyVaultInternal)。Both approaches require using wild cards for endpoints where they are required, such as KeyVault and KeyVaultInternal.
  • 証明書の PFX 暗号化は、3 DES になっている必要があります。The certificate's PFX Encryption should be 3DES.
  • 証明書の署名アルゴリズムを SHA1 にすることはできません。The certificate signature algorithm should not be SHA1.
  • Azure Stack のインストールには公開キーと秘密キーの両方が必要なため、証明書の形式は PFX である必要があります。The certificate format must be PFX, as both the public and private keys are required for Azure Stack installation. 秘密キーにはローカル コンピューターのキー属性が設定されている必要があります。The private key must have the local machine key attribute set.
  • PFX 暗号化は、3DES (これは、Windows 10 クライアントまたは Windows Server 2016 証明書ストアからエクスポートする場合の既定です) である必要があります。The PFX encryption must be 3DES (this is default when exporting from a Windows 10 client or Windows Server 2016 certificate store).
  • 証明書 pfx ファイルの "Key Usage" フィールドには、"Digital Signature" と "KeyEncipherment" の値が含まれている必要があります。The certificate pfx files must have a value "Digital Signature" and "KeyEncipherment" in its "Key Usage" field.
  • 証明書の pfx ファイルの "Enhanced Key Usage" フィールドには、"Server Authentication (1.3.6.1.5.5.7.3.1)" と "Client Authentication (1.3.6.1.5.5.7.3.2)" の値が含まれている必要があります。The certificate pfx files must have the values "Server Authentication (1.3.6.1.5.5.7.3.1)" and "Client Authentication (1.3.6.1.5.5.7.3.2)" in the "Enhanced Key Usage" field.
  • 証明書の "Issued to:" フィールドは "Issued by:" フィールドと同じにしないでください。The certificate's "Issued to:" field must not be the same as its "Issued by:" field.
  • デプロイの時点で、すべての証明書 pfx ファイルのパスワードが同じである必要があります。The passwords to all certificate pfx files must be the same at the time of deployment
  • 証明書 pfx に対するパスワードは、複雑なパスワードである必要があります。Password to the certificate pfx has to be a complex password. 次のパスワードの複雑さの要件を満たしているパスワードを作成します。Create a password that meets the following password complexity requirements. 8 文字の最小長。A minimum length of eight characters. パスワードに、大文字、小文字、0 - 9 の数字、特殊文字、および大文字でも小文字でもない英字のうち 3 種類以上が含まれている。The password contains at least three of the following: uppercase letter, lowercase letter, numbers from 0-9, special characters, alphabetical character that is neither uppercase nor lowercase. このパスワードを書き留めておいてください。Make note of this password. デプロイ パラメーターとして使用します。You will use it as a deployment parameter.
  • サブジェクト名と、サブジェクトの別名の拡張子 (x509v3_config) のサブジェクトの別名が一致するようにします。Ensure that the subject names and subject alternative names in the subject alternative name extension (x509v3_config) match. サブジェクトの別名フィールドでは、単一の SSL 証明書によって保護される追加のホスト名 (Web サイト、IP アドレス、共通名) を指定できます。The subject alternative name field lets you specify additional host names (websites, IP addresses, common names) to be protected by a single SSL Certificate.

注意

自己署名証明書は使用できません。Self Signed certificates are not supported.

注意

証明書の信頼チェーン内での中間証明機関の存在がサポートされています。The presence of Intermediary Certificate Authorities in a certificate's chain-of-trusts IS supported.

必須の証明書Mandatory certificates

このセクションの表では、Azure AD と AD FS Azure Stack の両方のデプロイに必要な Azure Stack パブリック エンドポイント PKI 証明書について説明します。The table in this section describes the Azure Stack public endpoint PKI certificates that are required for both Azure AD and AD FS Azure Stack deployments. 証明書の要件が領域のほか、使用される名前空間や、名前空間ごとに必要な証明書でグループ化されています。Certificate requirements are grouped by area, as well as the namespaces used and the certificates that are required for each namespace. この表ではまた、ソリューション プロバイダーがパブリック エンドポイントごとに異なる証明書をコピーするフォルダーについても説明します。The table also describes the folder in which your solution provider copies the different certificates per public endpoint.

各 Azure Stack パブリック インフラストラクチャ エンドポイントの適切な DNS 名を持つ証明書が必要です。Certificates with the appropriate DNS names for each Azure Stack public infrastructure endpoint are required. 各エンドポイントの DNS 名は、<prefix>.<region>.<fqdn> の形式で表されます。Each endpoint’s DNS name is expressed in the format: <prefix>.<region>.<fqdn>.

デプロイでは、[region] と [externalfqdn] の値が Azure Stack システム用に選択したリージョン名と外部ドメイン名に一致している必要があります。For your deployment, the [region] and [externalfqdn] values must match the region and external domain names that you chose for your Azure Stack system. 例として、リージョン名が Redmond で、外部ドメイン名が contoso.com である場合、DNS 名は <prefix>.redmond.contoso.com の形式になります。As an example, if the region name was Redmond and the external domain name was contoso.com, the DNS names would have the format <prefix>.redmond.contoso.com. <prefix> 値は、その証明書によってセキュリティ保護されるエンドポイントを指定するようにマイクロソフトによって事前に設計されています。The <prefix> values are predesignated by Microsoft to describe the endpoint secured by the certificate. さらに、外部インフラストラクチャ エンドポイントの <prefix> 値は、特定のエンドポイントを使用する Azure Stack サービスによって異なります。In addition, the <prefix> values of the external infrastructure endpoints depend on the Azure Stack service that uses the specific endpoint.

注意

運用環境では、各証明書がエンドポイントごとに生成され、対応するディレクトリにコピーされることをお勧めします。For the production environments, we recommend individual certificates are generated for each endpoint and copied into the corresponding directory. 開発環境では、証明書は、すべてのディレクトリにコピーされるサブジェクト フィールドおよびサブジェクトの別名 (SAN) フィールドのすべての名前空間をカバーする 1 つのワイルドカード証明書として提供することができます。For development environments, certificates can be provided as a single wild card certificate covering all namespaces in the Subject and Subject Alternative Name (SAN) fields copied into all directories. すべてのエンドポイントとサービスをカバーする 1 つの証明書は開発専用であるため、安全でない状態です。A single certificate covering all endpoints and services is an insecure posture hence development-only. どちらのオプションでも、証明書を必要とする acs や Key Vault などのエンドポイントにはワイルドカード証明書を使う必要があることに注意してください。Remember, both options require you to use wildcard certificates for endpoints such as acs and Key Vault where they are required.

デプロイ フォルダーDeployment folder 必要な証明書のサブジェクト名とサブジェクトの別名 (SAN)Required certificate subject and subject alternative names (SAN) スコープ (リージョンごと)Scope (per region) サブドメインの名前空間SubDomain namespace
パブリック ポータルPublic Portal portal.<region>.<fqdn>portal.<region>.<fqdn> ポータルPortals <region>.<fqdn><region>.<fqdn>
管理ポータルAdmin Portal adminportal.<region>.<fqdn>adminportal.<region>.<fqdn> ポータルPortals <region>.<fqdn><region>.<fqdn>
Azure Resource Manager パブリックAzure Resource Manager Public management.<region>.<fqdn>management.<region>.<fqdn> Azure Resource ManagerAzure Resource Manager <region>.<fqdn><region>.<fqdn>
Azure Resource Manager 管理Azure Resource Manager Admin adminmanagement.<region>.<fqdn>adminmanagement.<region>.<fqdn> Azure Resource ManagerAzure Resource Manager <region>.<fqdn><region>.<fqdn>
ACSBlobACSBlob *.blob.<region>.<fqdn>*.blob.<region>.<fqdn>
(ワイルドカード SSL 証明書)(Wildcard SSL Certificate)
Blob StorageBlob Storage blob.<region>.<fqdn>blob.<region>.<fqdn>
ACSTableACSTable *.table.<region>.<fqdn>*.table.<region>.<fqdn>
(ワイルドカード SSL 証明書)(Wildcard SSL Certificate)
Table StorageTable Storage table.<region>.<fqdn>table.<region>.<fqdn>
ACSQueueACSQueue *.queue.<region>.<fqdn>*.queue.<region>.<fqdn>
(ワイルドカード SSL 証明書)(Wildcard SSL Certificate)
Queue StorageQueue Storage queue.<region>.<fqdn>queue.<region>.<fqdn>
KeyVaultKeyVault *.vault.<region>.<fqdn>*.vault.<region>.<fqdn>
(ワイルドカード SSL 証明書)(Wildcard SSL Certificate)
Key VaultKey Vault vault.<region>.<fqdn>vault.<region>.<fqdn>
KeyVaultInternalKeyVaultInternal *.adminvault.<region>.<fqdn>*.adminvault.<region>.<fqdn>
(ワイルドカード SSL 証明書)(Wildcard SSL Certificate)
内部 KeyvaultInternal Keyvault adminvault.<region>.<fqdn>adminvault.<region>.<fqdn>
管理者拡張機能ホストAdmin Extension Host *.adminhosting.<リージョン>.<FQDN> (ワイルドカード SSL 証明書)*.adminhosting.<region>.<fqdn> (Wildcard SSL Certificates) 管理者拡張機能ホストAdmin Extension Host adminhosting.<リージョン>.<FQDN>adminhosting.<region>.<fqdn>
パブリック拡張機能ホストPublic Extension Host *.hosting.<リージョン>.<FQDN> (ワイルドカード SSL 証明書)*.hosting.<region>.<fqdn> (Wildcard SSL Certificates) パブリック拡張機能ホストPublic Extension Host hosting.<リージョン>.<FQDN>hosting.<region>.<fqdn>

Azure AD デプロイ モードを使用して Azure Stack をデプロイする場合は、前の表に一覧表示されている証明書を要求するだけで済みます。If you deploy Azure Stack using the Azure AD deployment mode, you only need to request the certificates listed in previous table. ただし、AD FS デプロイ モードを使用して Azure Stack をデプロイする場合は、次の表で説明されている証明書も要求する必要があります。However, if you deploy Azure Stack using the AD FS deployment mode, you must also request the certificates described in the following table:

デプロイ フォルダーDeployment folder 必要な証明書のサブジェクト名とサブジェクトの別名 (SAN)Required certificate subject and subject alternative names (SAN) スコープ (リージョンごと)Scope (per region) サブドメインの名前空間SubDomain namespace
ADFSADFS adfs.<region>.<fqdn>adfs.<region>.<fqdn>
(SSL 証明書)(SSL Certificate)
ADFSADFS <region>.<fqdn><region>.<fqdn>
GraphGraph graph.<region>.<fqdn>graph.<region>.<fqdn>
(SSL 証明書)(SSL Certificate)
GraphGraph <region>.<fqdn><region>.<fqdn>

重要

このセクションに一覧表示されているすべての証明書のパスワードは同じである必要があります。All the certificates listed in this section must have the same password.

オプションの PaaS 証明書Optional PaaS certificates

Azure Stack がデプロイおよび構成された後に追加の Azure Stack PaaS サービス (SQL、MySQL、および App Service) をデプロイする予定がある場合は、それらの PaaS サービスのエンドポイントに対応する追加の証明書を要求する必要があります。If you are planning to deploy the additional Azure Stack PaaS services (SQL, MySQL, and App Service) after Azure Stack has been deployed and configured, you will need to request additional certificates to cover the endpoints of the PaaS services.

重要

App Service、SQL、および MySQL リソース プロバイダーに使用する証明書は、グローバル Azure Stack エンドポイントに使用されるものとルート証明機関が同じである必要があります。The certificates that you use for App Service, SQL, and MySQL resource providers need to have the same root authority as those used for the global Azure Stack endpoints.

次の表では、SQL および MySQL アダプターと App Service に必要なエンドポイントと証明書について説明します。The following table describes the endpoints and certificates required for the SQL and MySQL adapters and for App Service. これらの証明書を Azure Stack デプロイ フォルダーにコピーする必要はありません。You don’t need to copy these certificates to the Azure Stack deployment folder. 代わりに、追加のリソース プロバイダーをインストールするときにこれらの証明書を指定します。Instead, you provide these certificates when you install the additional resource providers.

スコープ (リージョンごと)Scope (per region) 証明書Certificate 必要な証明書のサブジェクト名とサブジェクトの別名 (SAN)Required certificate subject and Subject Alternative Names (SANs) サブドメインの名前空間SubDomain namespace
SQL、MySQLSQL, MySQL SQL および MySQLSQL and MySQL *.dbadapter.<region>.<fqdn>*.dbadapter.<region>.<fqdn>
(ワイルドカード SSL 証明書)(Wildcard SSL Certificate)
dbadapter.<region>.<fqdn>dbadapter.<region>.<fqdn>
App ServiceApp Service Web トラフィックの既定の SSL 証明書Web Traffic Default SSL Cert *.appservice.<region>.<fqdn>*.appservice.<region>.<fqdn>
*.scm.appservice.<region>.<fqdn>*.scm.appservice.<region>.<fqdn>
*.sso.appservice.<region>.<fqdn>*.sso.appservice.<region>.<fqdn>
(マルチドメイン ワイルドカード SSL 証明書1)(Multi Domain Wildcard SSL Certificate1)
appservice.<region>.<fqdn>appservice.<region>.<fqdn>
scm.appservice.<region>.<fqdn>scm.appservice.<region>.<fqdn>
App ServiceApp Service APIAPI api.appservice.<region>.<fqdn>api.appservice.<region>.<fqdn>
(SSL 証明書2)(SSL Certificate2)
appservice.<region>.<fqdn>appservice.<region>.<fqdn>
scm.appservice.<region>.<fqdn>scm.appservice.<region>.<fqdn>
App ServiceApp Service FTPFTP ftp.appservice.<region>.<fqdn>ftp.appservice.<region>.<fqdn>
(SSL 証明書2)(SSL Certificate2)
appservice.<region>.<fqdn>appservice.<region>.<fqdn>
scm.appservice.<region>.<fqdn>scm.appservice.<region>.<fqdn>
App ServiceApp Service SSOSSO sso.appservice.<region>.<fqdn>sso.appservice.<region>.<fqdn>
(SSL 証明書2)(SSL Certificate2)
appservice.<region>.<fqdn>appservice.<region>.<fqdn>
scm.appservice.<region>.<fqdn>scm.appservice.<region>.<fqdn>

1 複数のワイルドカード サブジェクトの別名を持つ 1 つの証明書が必要です。1 Requires one certificate with multiple wildcard subject alternative names. 1 つの証明書での複数のワイルドカード SAN は、公的証明機関によってはサポートされない可能性があります。Multiple wildcard SANs on a single certificate might not be supported by all Public Certificate Authorities

2 これらの 3 つの証明書 (api.appservice.<region>.<fqdn>、ftp.appservice.<region>.<fqdn>、および sso.appservice.<region>.<fqdn>) の代わりに *.appservice.<region>.<fqdn> ワイルドカード証明書を使用することはできません。2 A *.appservice.<region>.<fqdn> wild card certificate cannot be used in place of these three certificates (api.appservice.<region>.<fqdn>, ftp.appservice.<region>.<fqdn>, and sso.appservice.<region>.<fqdn>. App Service では、これらのエンドポイントに個別の証明書を明示的に使用する必要があります。Appservice explicitly requires the use of separate certificates for these endpoints.

詳細情報Learn more

Azure Stack デプロイのための PKI 証明書を生成する方法について理解を深めましょう。Learn how to generate PKI certificates for Azure Stack deployment.

次の手順Next steps

ID の統合Identity integration